Grundsätzlich ja, denn ist ihre Aussage korrekt und wurden „Google Fonts“ widerrechtlich verwendet, so liegt tatsächlich eine Rechtsverletzung vor und es ist ihr Recht aufgrund dessen Schadenersatz zu fordern.
ABER: Jeden in Österreich trifft eine Schadensminderungspflicht, das bedeutet, dass der Geschädigte dazu verpflichtet ist den Schaden und die Schadensfolgen gering zu halten. Genau diese Pflicht wurde von Frau Z. verletzt, indem sie offensichtlich absichtlich Webseiten aufsuchte, welche „Google Fonts“ verwenden, um dadurch einen Schaden geltend zu machen.
Zudem kann hier von rechtsmissbräuchlichem Handeln gesprochen werden. Ein Rechtsmissbrauch liegt dann vor, wenn das unlautere Motiv der Rechtsausübung das lautere Motiv eindeutig überwiegt. Hier ist wohl stark davon auszugehen, dass es Frau Z nicht um den Schutz ihrer Daten geht, sondern vielmehr darum den Schadenersatz einzufordern.

Laut den gegebenen Angaben kann davon ausgegangen werden, dass RA Mag. Hoheneckern seine Mandantin rechtmäßig vertritt. Sein im Brief angegebenes Honorar iHv 90,- Euro ist jedenfalls als angemessen zu bewerten. Wir vertreten allerdings die Meinung, dass das Verhalten des Anwalts, sofern dies in voller Absicht geschehen sollte, sittenwidrig und rechtsmissbräuchlich ist und dem entgegensteht, was die eigentliche Aufgabe eines Anwaltes ist, nämlich in erster Linie die Rechte der Menschen zu schützen.

Was sind überhaupt Google Fonts?

Bei Google Fonts handelt es sich um ein Verzeichnis mit über 1300 Schriftarten, die kostenlos für die Einbettung auf Websites von Google zur Verfügung gestellt werden. Technischer Hintergrund ist hierbei, dass die meisten Endgeräte wie Computer, Handys oder Tablets nicht sämtliche von Website-Programmierern verwendeten Schriftarten vorinstalliert haben. Um die Website und die darauf verwendeten Schriftarten trotzdem richtig auf den Endgeräten darstellen zu können, sind viele Websites so programmiert, dass die Schriftarten zur Darstellung von einem Google-Server geladen werden.

Was hat das mit Datenschutz zu tun?

Auch wenn diese Google Fonts zwar keine Cookies setzen, wird vom Anbieter dennoch die IP-Adresse (seit dem EuGH-Urteil aus dem Jahr 2016 gelten auch IP-Adressen als personenbezogene Daten) erfasst. So wird beim Aufruf der Seite automatisch eine Verbindung zu den Servern von Google hergestellt, wodurch es zu einer unrechtmäßigen Datenübertragung in die USA kommt. Neben der IP-Adresse werden teilweise auch Browser- und Gerätedaten übermittelt.

Zwar ist die Verwendung der Schriftarten kostenfrei, Google kann aber über die Schriftarten Zugang zu Daten mehrerer Millionen Webseiten erhalten. Die gesammelten Benutzerdaten und Metadaten können gesammelt und später für gezielte Werbung verwendet werden.

Warum benötige ich eine Rechtsgrundlage zur Datenverarbeitung?

Gemäß der DSGVO dürfen personenbezogene Daten nur verarbeitet werden, wenn eine Rechtsgrundlage vorliegt. Mögliche Rechtsgrundlagen sind in der DSGVO aufgelistet. Denkbar sind bei der Verwendung von Webfonts die Einwilligung und das berechtigte Interesse. Ein berechtigtes Interesse als Rechtsgrundlage scheidet aus, da die Interessen des Webseitenbesuchers deutlich überwiegen. Daher

Wie setzt man Google Fonts rechtssicher ein?

Google Fonts sind lokal auf dem eigenen Server abzulegen beziehungsweise einzubinden. Die Schriftdateien werden dabei heruntergeladen.  Dadurch kommt es zu keiner Datenübertragung an externe Server. Eine Rechtfertigung einer Datenübertragung ist daher auch nicht mehr erforderlich. Da es zu keinem Datenaustausch mit Google kommt, ist auch keine entsprechende Textstelle in den Datenschutzhinweisen mehr erforderlich.

Wie kann man sicherstellten, dass Google Fonts nicht wieder auftreten?

Da es durch Updates oder andere technische Neuerungen dazu kommen kann, dass die vermeintlich lokal eingebundenen Fonts wieder über die Google Server geladen werden, ist eine regelmäßige Überprüfung der Webseite erforderlich. Durch eine laufende Kontrolle der Webseite können erforderliche Änderungen auch zeitnah vorgenommen werden.

Was ist eine Unterlassung?

Es handelt sich hier um ein Rechtsmittel, wodurch das Unterlassen einer bestimmten Handlung eingeklagt werden kann.

Ab wann besteht ein Anspruch auf Unterlassung?

Der Abmahnende muss Inhaber bestimmter Rechte sein und muss zudem tatsächlich in seinen Rechten verletzt worden sein. Weiters müssen auch formale Voraussetzungen erfüllt werden.
Dazu gehört neben den Verjährungsfristen insbesondere die korrekte Nennung von Abgemahntem und Abmahnendem, sowie der konkrete Rechtsverstoß. Wichtig ist zudem, dass der Rechtsverstoß auch tatsächlich vom Abgemahnten begangen wurde.

Eine Abmahnung wird oftmals mit der Aufforderung zur Abgabe einer Unterlassungserklärung verbunden. Ziel ist die Verhinderung einer erneuten Rechtsverletzung. Eine Abmahnung sollte keinesfalls ignoriert werden, da nicht ausgeschlossen werden kann, dass der Betroffene eine  Unterlassungsklage bei Gericht einbringt.
In Regelfall beinhaltet die Unterlassungserklärung die Verpflichtung keine weiteren Rechtsverletzungen zu begehen und eine empfindliche Pönale bei Zuwiderhandeln. Die Unterlassungserklärung gilt zeitlich unbefristet und gewährleistet dem Geschädigten somit dauerhaften Schutz.

Ein Unterlassungsanspruch besteht, wenn Sie „Google Fonts“ nicht DSGVO konform eingebunden haben, wodurch es zur einer Übertragung der IP- Adresse des Webseitenbesuchers gekommen ist. Ein solcher Anspruch besteht nur so lange eine nochmalige Datenschutzverletzung droht oder zu befürchten ist. Deswegen ist es notwendig, den rechtswidrigen Zustand schnellstmöglich zu beheben.

Welche Kosten sind hiermit verbunden?

Man ist prinzipiell als Abgemahnter nicht verpflichtet, die Unterlassungserklärung so zu unterzeichnen, wie sie ihm übermittelt wurde. So kann beispielsweise die Reichweite des Unterlassungsanspruches gemindert werden. Modifizieren lassen sich oft auch nachteilige Regelungen, was die Kostentragung angeht. Forderungen, die Vertragsstrafen oder Schadensersatz angehen, sind nicht selten zu hoch angesetzt und sollten daher jedenfalls nachverhandelt werden.

Welche Urteile gibt es hierzu?

Bisher findet sich keine Judikatur, in welcher bei Datenschutzverstößen ein Anspruch auf Unterlassung anerkannt wurde.

Was ist ein Schadenersatz im Datenschutz?

Grundsätzlich sieht auch das Datenschutzrecht eigenständige Haftungsbestimmungen bei Verletzungen gegen Schutzbestimmungen von personenbezogenen Daten vor, welche einen deliktischen Anspruch auf Schadenersatz begründen. Für diesen Anspruch ist keine direkte Rechtsbeziehung zwischen dem Schädiger und dem Geschädigten notwendig. Ein Verstoß gegen Bestimmungen der DSGVO kann daher zu einer Schadenersatzforderung derjenigen Person führen, deren Daten rechtswidrig verarbeitet wurden.
Vorallem wird hierbei der Ersatz ideeller Schäden anzudenken sein. Das bedeutet, dass hierbei nicht von einem materiellen Schaden im Sinne eines kaputten Autos oder entgangenen Gewinns auszugehen ist, sondern vielmehr von einem emotionalen Schaden. Von einem „immaterieller Schaden“ geht die Rechtsprechung aus, wenn der Beschädigte sich „massiv genervt“ oder „tief verunsichert“ fühlt, auch Stress oder Unbehagen kann als „immaterieller Schaden“ qualifiziert werden. Hierbei wird vom Beschädigten festgelegt, wie hoch er den Schaden einschätzt, also was er denkt, wie viel dieser emotionale Schaden wert ist, wobei das Gericht in Österreich diese Einschätzung beurteilt und gegebenenfalls abändern kann.

Welche Urteile gibt es hierzu bereits?

Urteil: 6Ob56/21k vom 23.06.2021
Hierbei wurde ein Schadenersatz in Höhe von 500,– Euro wurde aufgrund eines geringen Ausmaßes des Unwohlseins wegen nicht Beantwortung des Auskunftsbegehren zugesprochen.

Urteil: OGH 6 Ob 247/08 d vom 17.12.2009
Wegen einem falschen Eintrag in der Bonitätsdatenbank über die schlechte Zahlungsmoral eines Unternehmensberaters wurden 750,– Euro an Ersatz für ideelle Schäden nach § 33 DSG 2000 gewährt.

Wie hoch ist das Risiko einer Zuerkennung eines Schadenersatzes einzuschätzen?

Zu dieser Rechtsmaterie finden sich in Österreich kaum Urteile. Die österreichische Rechtsprechung vertrat in Bezug zu immateriellen Schäden bisher einen sehr strengen Maßstab.
Fraglich ist, ob dieser Maßstab auch bei datenschutzrechtlichen Ansprüchen beibehalten wird. Offen ist auch, ob die exzessiven Forderungen der Frau Z als rechtsmissbräuchlich einstufen sind, was einen Schadenersatzanspruch jedenfalls entgegen stehen würde.

Was ist ein Auskunftsbegehren?

Unter einem Auskunftsbegehren ist das Recht eines Betroffenen Informationen hinsichtlich der Verarbeitung sie betreffender personenbezogenen Daten einzuholen zu verstehen. Das Auskunftsrecht findet sich in Art 15 DSGVO und in § 44 DSG.
Von der Auskunftspflicht betroffen ist allein der Verantwortliche, etwa der Betreiber einer Webseite. An Auftragsverarbeiter gerichtete Anfragen besitzen keine Rechtsgültigkeit. Als Auftragsverarbeiter zählt etwa Google, wenn Sie auf Ihrer Webseite Dienste wie Google Analytics oder Google Fonts verwenden. Dem Auftragsverarbeiter trifft bei einem irrtümlich erhaltenen Auskunftsbegehren jedoch die Pflicht, dieses an den eigentlichen Verantwortlichen weiterzuleiten. Es besteht zudem eine Unterstützungs- und Mitwirkungspflicht des Auftragsverarbeiters gegenüber dem Verantwortlichen, damit dieser den Auskunftsanspruch des Betroffenen zur Gänze erfüllen kann.

Was ist bei einem Auskunftsbegehren zu beachten?

1) Prüfung der Identität

Eine Beantwortung des Auskunftsbegehren ist nur möglich, wenn die Identität des Begehrenden eindeutig feststeht. Fehlen dem Verantwortlichen Informationen, die zur Bestätigung der Identität der Auskunft begehrenden Person erforderlich sind, so müssen weitere Angaben zur Person eingeholt werden. Dies kann etwa die Kopie eines Ausweises sein. Genaue Anforderungen, wie die Identität festzustellen bzw nachzuweisen ist, finden sich im Gesetzestext nicht. Nach Ansicht der Rechtsprechung hat der Identitätsnachweis in einer Form zu erfolgen, „die es dem Verantwortlichen ermöglicht, die Identität des Auskunftswerbers mit der Person zu überprüfen, deren Daten Gegenstand der Auskunft sein soll.“ Überwiegen Zweifel an der Identität, wäre ein zusätzlicher Identitätsnachweis zulässig. Geschwärzte Teile auf einem Ausweis oder fehlende e-Signaturen können Zweifel durchaus begründen. Jedoch ist bei Auftreten von Rechtsvertretern, wie etwa einem Anwalt, die Identität der auskunftswerbenden Person im Zweifelsfall anzuerkennen.

2) Eingangsbestätigung

Das Senden einer Eingangsbestätigung ist in der DSGVO nicht zwingend vorgeschrieben. Jedoch ist es auf jeden Fall zu empfehlen, da Sie hiermit dem Betroffenen mitteilen, dass Sie seine Anfrage behandeln und sich darum kümmern. In weiterer Folge kann dies auch als Nachweis für die fristgerechte Bearbeitung des Auskunftsbegehrens herangezogen werden. Nach einem Antrag auf Auskunft hat der Verantwortliche eine einmonatige Frist um Auskunft zu erteilen. Bei besonders komplexen Anträgen oder bei Vorliegen einer hohen Zahl an Anträgen, kann der Verantwortliche eine Fristverlängerung um zwei Monate vornehmen. Sollte der Verantwortliche die Frist verlängern wollen, so hat er dem Betroffenen dies innerhalb des ersten Monats nach Antragstellung zusammen mit seinen Gründen hierfür mitzuteilen.

3) Überprüfung der Daten

Im nächsten Schritt muss geprüft werden, ob von der betroffenen Person überhaupt personenbezogene Daten verarbeitet werden. Nach Rechtsprechung sind auch IP-Adressen als personenbezogen Daten anzusehen, wenn Rückschlüsse auf eine Person durch weitere Informationen möglich sind. Es wird immer darauf abgestellt, ob eine abstrakte Möglichkeit besteht Rückschlüsse auf eine Person zu ziehen. Überprüfen Sie daher genau, ob Daten der betroffenen Person verarbeitet werden.

In Hinblick auf Google Fonts ist darauf hinzuweisen, dass die Verwendung von Google Fonts, wenn nur zu einer Datenübermittlung der IP-Adresse an Google führt. Eine Speicherung der Daten erfolgt hierdurch grundsätzlich weder auf Ihrer Webseite noch bei Google. Dies geht auch aus den Erklärungen zu Google-Fonts hervor, wonach IP-Adressen nicht protokolliert werden. Zwar kann argumentiert werden, dass eine Verarbeitung der Daten durch die Übermittlung stattgefunden hat, jedoch ist diese bereits abgeschlossen und die Daten wurden nicht gespeichert. Zum Zeitpunkt des Auskunftsbegehren sind diese personenbezogenen Daten daher nicht mehr vorhanden und können dementsprechend auch nicht mehr verarbeitet werden. Der Zeitpunkt des Auskunftsverlangen ist hierfür maßgebend. Über vergangene Daten, welche zum Beispiel schon vor dem Auskunftsbegehren gelöscht wurden, muss der Verantwortliche keine Auskunft geben.
Sofern Sie auf Ihrer Webseite keine sonstigen Daten der Person verarbeiten, etwa indem Sie Informationen über Webseitenbesucher protokollieren, können Sie grundsätzlich davon ausgehen, dass Sie keine personenbezogenen Daten dieser Person verarbeiten. Bitte beachten Sie jedoch, dass auch ein Internetprovider als Auftragsverarbeiter zu klassifizieren ist, und Sie dementsprechend auch bei diesem nachfragen müssen, ob personenbezogene Daten verarbeitet werden.

4) Beauskunften

Der Verantwortliche hat sodann den Betroffenen mitzuteilen, ob personenbezogene Daten von ihr verarbeitet werden. Werden keine personenbezogenen Daten verarbeitet, so muss eine Negativauskunft gegeben werden, das heißt eine Auskunft darüber, dass keine personenbezogene Daten von der betroffenen Personen verarbeitet werden. Werden aber personenbezogene Daten der betroffenen Personen verwendet, so hat der Verantwortliche eine positive Auskunft mit folgenden Informationen zu übermitteln:

• die Zwecke der Verarbeitung der Daten
• die Kategorien personenbezogener Daten, die verarbeitet werden
• die Empfänger bzw. Kategorien von Empfängern, an die die Daten weitergegeben werden/wurden – vor allem auch bei Drittländern
• geplante Dauer der Speicherung der Daten
• bestehen der diversen Rechte der Betroffenen in Bezug auf ihre Daten (Löschung, Widerspruch…)
• alle verfügbaren Informationen über die Herkunft der Daten

Was passiert, wenn ich den Antrag nicht oder nicht ausreichend beantworte?

Wird das Auskunftsbegehren nicht innerhalb der gesetzlichen Frist beantwortet, so kann eine Beschwerde nach Art. 77 DS-GVO bei der Datenschutzbehörde eingelegt werden. Dies kann zu einer Geldbuße von bis zu 20 Millionen Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs führen.

Was ist ein Datenschutzvorfall?

Ein Datenschutzvorfall liegt vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist. Von einer Verletzung wird gesprochen, wenn es unbeabsichtigt oder unrechtmäßig zu einer Datenverarbeitung, -übermittlung, -verlust oder zu einem Zugriff durch Dritte kommt. Damit verbunden ist der Grundsatz der Integrität und Vertraulichkeit der Datenverarbeitung gem. Art 5 Abs 1 lit f DSGVO. So muss jederzeit sichergestellt sein, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit durch geeignete technische und organisatorische Maßnahmen gewährleistet.

Wann ist die Datenschutzbehörde zu informieren?

Liegt ein solcher Datenschutzvorfall vor, so ist grundsätzlich die Datenschutzbehörde binnen 72 Stunden zu informieren. Hiervon kann abgesehen werden, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Im Wesentlichen ergibt sich das Risiko aus den möglichen negativen Folgen des Datenschutzvorfalls sowie deren Eintrittswahrscheinlichkeit.
Die Risikobewertung sollte unter anderem anhand der folgenden Kriterien erfolgen:

• Art der Verletzung
• Art, Empfindlichkeit und Umfang der betroffenen personenbezogenen Daten
• Identifizierbarkeit von Personen
• Schwere der drohenden Konsequenzen für Personen

Im Fall von Frau Z wird eine Meldung an die DSB keinesfalls notwendig sein, vorausgesetzt dass nur die IP-Adresse aufgrund der Google Fonts weitergegeben wurde. Die bloße Übermittlung einer IP-Adresse, welche zudem auch nicht gespeichert wird, ist keinesfalls geeignet um ein Risiko für die Rechte und Freiheiten von Frau Z darzustellen.

Wann müssen die Betroffenen informiert werden?

Betroffene müssen informiert werden, wenn der Datenschutzvorfall zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Ziel dieser Regelung ist es, der Person die Möglichkeit zu geben Vorkehrungen gegen die drohenden Konsequenzen zu geben. Solche Benachrichtigungen sollen in enger Absprache mit der Datenschutzbehörde erfolgen.

Sollte ein Datenschutzvorfall immer dokumentiert werden?

Bei einem Datenschutzvorfall empfiehlt es sich jeden Schritt ab Entdeckung des Vorfalls genau zu dokumentieren, um sich gegebenenfalls für gesetzte Maßnahmen rechtfertigen zu können. Wichtig ist zu betonen, dass jeder Datenschutzvorfall zu dokumentieren ist, auch wenn dieser nicht meldungspflichtig ist.

Was ist ein Datenschutzvorfall?

Ein Datenschutzvorfall liegt vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist. Von einer Verletzung wird gesprochen, wenn es unbeabsichtigt oder unrechtmäßig zu einer Datenverarbeitung, -übermittlung, -verlust oder zu einem Zugriff durch Dritte kommt. Damit verbunden ist der Grundsatz der Integrität und Vertraulichkeit der Datenverarbeitung gem. Art 5 Abs 1 lit f DSGVO. So muss jederzeit sichergestellt sein, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit durch geeignete technische und organisatorische Maßnahmen gewährleistet.

Wann ist die Datenschutzbehörde zu informieren?

Liegt ein solcher Datenschutzvorfall vor, so ist grundsätzlich die Datenschutzbehörde binnen 72 Stunden zu informieren. Hiervon kann abgesehen werden, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Im Wesentlichen ergibt sich das Risiko aus den möglichen negativen Folgen des Datenschutzvorfalls sowie deren Eintrittswahrscheinlichkeit.
Die Risikobewertung sollte unter anderem anhand der folgenden Kriterien erfolgen:

• Art der Verletzung
• Art, Empfindlichkeit und Umfang der betroffenen personenbezogenen Daten
• Identifizierbarkeit von Personen
• Schwere der drohenden Konsequenzen für Personen

Im Fall von Frau Z wird eine Meldung an die DSB keinesfalls notwendig sein, vorausgesetzt dass nur die IP-Adresse aufgrund der Google Fonts weitergegeben wurde. Die bloße Übermittlung einer IP-Adresse, welche zudem auch nicht gespeichert wird, ist keinesfalls geeignet um ein Risiko für die Rechte und Freiheiten von Frau Z darzustellen.

Wann müssen die Betroffenen informiert werden?

Betroffene müssen informiert werden, wenn der Datenschutzvorfall zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Ziel dieser Regelung ist es, der Person die Möglichkeit zu geben Vorkehrungen gegen die drohenden Konsequenzen zu geben. Solche Benachrichtigungen sollen in enger Absprache mit der Datenschutzbehörde erfolgen.

Sollte ein Datenschutzvorfall immer dokumentiert werden?

Bei einem Datenschutzvorfall empfiehlt es sich jeden Schritt ab Entdeckung des Vorfalls genau zu dokumentieren, um sich gegebenenfalls für gesetzte Maßnahmen rechtfertigen zu können. Wichtig ist zu betonen, dass jeder Datenschutzvorfall zu dokumentieren ist, auch wenn dieser nicht meldungspflichtig ist.

Die österreichische Wirtschaftskammer empfiehlt, dass Webseiten mittels eines Webseiten-Checkers zu überprüfen. Hierbei besteht jedoch die Möglichkeit , dass der Check nicht alle nachladenden Schriftarten findet, weswegen das Prüfergebnis nicht 100%ig korrekt ist. Zudem kann nur von einer Momentaufnahme gesprochen werden, da es durchaus vorkommt, dass erst zu einem späteren Zeitpunkt Google Fonts geladen werden. Wir empfehlen daher einen Service zu wählen, welcher einen regelmäßigen und gründlichen Check durchführt, damit Sie sichergehen können, dass Sie Ihre Website tatsächlich rechtskonform betreiben und keinerlei Angriffspunkte für Abmahnungen vorliegen.

Kontaktieren Sie Ihren Hoster und überprüfen Sie, ob dieser die besagte IP-Adresse gespeichert hat bzw. überhaupt ein Zugriff der IP-Adresse auf Ihre Webseite erfolgte.

Wenn die IP-Adresse gespeichert ist:

• Beantworten Sie die Auskunftsanfrage keinesfalls mit einer Negativauskunft! Da die IP-Adresse gespeichert ist, müssen Sie auch darüber informieren.
• Beantworten Sie das Vergleichsangebot des Anwalts.

Wenn die IP-Adresse nicht gespeichert ist:

• Die Auskunftsanfrage kann mit einer Negativauskunft beantwortet werden.
• Wenn kein Zugriff erfolgt ist, besteht kein Anspruch auf Schadenersatz. Beantworten Sie entsprechend das Vergleichsangebot des Anwalts.

Gerne unterstützen wir Sie bei der Beantwortung des Schreibens. Unsere Unterstützung ist dabei unverbindlich und kostenlos! Buchen Sie gleich Ihren Beratungstermin! Zudem bieten wir einen kostenlosen Webseitenchecker an, welcher Ihre Webseite nicht nur auf Google Fonts sondern auf vollständige DSGVO-Konformität prüft.  https://www.dsgvoschutzteam.com/kostenloser-website-check/