Seit einiger Zeit geht das Gespenst von einem Herrn Martin Ismail durch das Internet. In seinem Namen und mit einer Vollmacht ausgestattet, beschickt der Anwalt Kilian Lenard tausende, wahrscheinlich abertausende nichtsahnende Website-Betreiber, um von ihnen „Lösegeld“ zu verlangen. Die Begründung? Man verstoße gegen seine Persönlichkeitsrechte in Form der informationellen Selbstbestimmung, die durch die Weitergabe von User-IP-Adressen durch die Verwendung von Google Fonts, also Schriftarten von Google, verletzt würden. In dem Schreiben behauptet Rechtsanwalt Kilian Lenard sein Mandant (Martin Ismail) habe einen Anspruch auf Unterlassung und dass „deutsche Gerichte in den letzten zwei Jahren Betroffenen von unterschiedlichsten Datenverstößen Schmerzensgelder (…) bis zu einem Maximum von 2.500,00 € zugesprochen“ wurden. Des Weiteren führt der Anwalt aus, dass Herr Ismail auf eine weitere Verfolgung verzichtet, wenn der Betrag in Höhe von 170,00 EUR bis zu einer gesetzten Frist auf ein Treuhandkonto einginge. Genau hier wird aus meiner Sicht das Schreiben unseriös und fraglich, ob es sich überhaupt um eine Abmahnung mit Unterlassungserklärung handelt. Darauf werde ich weiter unten nochmal explizit eingehen. Viele der Empfänger dürfte diese Nachricht erst einmal aufgeschreckt haben.
Ich möchte den Sachverhalt im Folgenden genauer beleuchten und Aufschluss darüber geben, was an den Vorwürfen dran ist und wie ich mich an der Stelle des hier „abgemahnten“ Empfängers verhalten würde.
Was ist Google Fonts und was ist an dem Datenschutzverstoß dran?
Bei Google Fonts handelt es sich um ein interaktives Verzeichnis von mehr als 1.400 Schriftarten („Fonts“ ist das englische Wort für „Schriftarten“), die von Google bereitgestellt werden. Durch diese große Auswahl an Schriftarten, mit der sich Texte auf Webseiten schlicht, einfach und letztlich individuell anpassen lassen, erfreut sich das Angebot großer Beliebtheit.
Es gibt jedoch auch eine Schattenseite. Denn Google Fonts können sowohl per remote als auch lokal eingebunden werden. Ersteres führt jedoch dazu, dass Daten ins Ausland, hier namentlich die USA, wo der Google-Konzern Alphabet seinen Hauptsitzt hat, geleitet werden. Darunter befinden sich auch personenbezogene Daten. Die IP-Adresse gehört eindeutig dazu, denn sie sind die „Hausnummern des Internets“. Dass diese unter das DSGVO-geforderte Schutzgut fällt, entschied der EuGH bereits am 19.10.2016. Der Website-Nutzer hat demnach keine Kontrolle über die Weitergabe seiner personenbezogenen Daten, womit die Nutzung von Google Fonts – zumindest remote – datenschutzrechtlich nicht erlaubt ist.
USA, kein sicheres Drittland
Obwohl tagtäglich ein Großteil der in Europa erfassten Daten mittlerweile in die USA transferiert werden, ist selbiges kein sicheres Drittland aus Sicht der DSGVO, denn dafür müsste es eine entsprechende dem europäischen Datenschutzrecht angemessene Vereinbarung zwischen US-Amerika und der EU geben. Gibt es diese nicht, bedarf es konkreter Standardvertragsklauseln mit den jeweiligen datenverarbeitenden Unternehmen bzw. Organisationen und der EU. Ob diese allerdings eingehalten werden, steht wieder auf einem anderen Papier. Google bindet die Standardvertragsklauseln zwar in die Kundenverträge mit ein, aber es handelt sich bekanntlich um eine der größten Datensammler der Welt. Google bzw. Alphabet gerieren sich zwar inzwischen als Vorreiter des Datenschutzes, aber Aufsichtsbehörden sowie Datenschutzbeauftragte warnen immer noch vor der enormen Datensammlung dieses Tech-Giganten. Durch diesen Umstand ist die Übermittlung in die USA ohne die vorhergehende Einwilligung des Betroffenen (also des „Datenspenders“) untersagt. Denn die DSGVO regelt ein Verbot mit Erlaubnisvorbehalt für jegliche Verarbeitung von Daten. Das bedeutet jede Handlung mit Daten, die direkt oder indirekt auf die Identität des Besitzers schließen lassen, ist grundsätzlich verboten. Die einzige Ausnahme besteht in der ausdrücklichen Erlaubnis.
Daher gilt grundsätzlich, dass die Übermittlung von personenbezogenen Daten in die USA problematisch ist, solange nicht eine Einwilligung vorliegt. Das betrifft im Grunde genommen eine Vielzahl der größten Unternehmen, die in den USA europäische Daten verarbeiten. Daher ist hier aus datenschutzrechtlichen Gründen Vorsicht geboten.
Verstößt die Nutzung von Google Fonts gegen die Persönlichkeitsrechte gem. § 823 Abs. 1 BGB?
Wie gerade eben schon angedeutet, kann Google Fonts sowohl remote als auch lokal eingebunden werden. Letztes bedeutet, dass die Schriftart lokal gespeichert und dann in den Quellcode integriert wird. Erstes führt zur unerwünschten Weitergabe von IP-Adressen in ein unsicheres Drittland, ohne Zustimmung des Betroffenen. Dies entspricht tatsächlich einer Persönlichkeitsverletzung gem. § 823 Abs. 1 BGB, da das auch durch das Grundgesetz verbriefte informationelle Selbstbestimmungsrecht des Einzelnen angetastet bzw. verletzt wird.
Es handelt sich demnach, dann um eine Persönlichkeitsverletzung nach § 823 Abs. 1 BGB, wenn Google Fonts nicht lokal eingebunden ist.
Google Fonts richtig nutzen
Um Google Fonts trotzdem nutzen zu können, ist also zunächst einmal auf die lokale Verwendung umzustellen. Wie das geht, ist mehrfach im Internet beschrieben. Es finden sich zig Anleitungen dazu. Ich verlinke hiermit eine solche Beschreibung, die mir persönlich ganz gut gefiel. An dieser Stelle möchte ich betonen, dass ich keinerlei Verbindung zu den Website-Betreibern habe. Mir gefällt lediglich die Art und Weise, wie hier Schritt für Schritt erklärt wird, wie man Google Fonts von remote auf lokal umstellt.
Ansonsten bleibt lediglich der Weg keine Google Schriftarten zu verwenden und auf andere auszuweichen. Grundsätzlich gilt hier das gleiche. Bitte überprüft vorher, ob es hier zu einer Weitergabe von personenbezogenen Daten in ein unsicheres Drittland kommt.
Handelt es sich bei dem Schreiben um eine richtige Abmahnung?
Grundsätzlich gilt erst einmal, dass eine Abmahnung nicht zwangsläufig einem entsprechenden Formzwang unterliegt. Sie kann auch mündlich ausgesprochen werden, auch wenn dies natürlich aufgrund von mangelhafter Beweisführung sich eher nachteilig auswirken dürfte. Dennoch gibt es einige inhaltliche Vorgaben für Abmahnungen, damit diese Wirksamkeit entfalten.
Die wesentlichsten und unabdingbaren Inhalte einer Abmahnung sind:
• der konkrete rechtliche Vorwurf und die Rechtsgutverletzung mit genauer Angabe des Sachverhaltes,
• die Klarstellung, dass das Rechtsgut zu schützen ist,
• eine strafbewehrte Unterlassungserklärung,
• eine Frist für die Unterlassungserklärung,
• die Androhung der gerichtlichen Auseinandersetzung
• und letztlich die Unterschrift des Abmahnenden.
Zur Abmahnung könnten Konkurrenten, die Personen, deren Recht verletzt wurden, IHK‘s sowie Interessengemeinschaften oder gem. § 4 UKlaG qualifizierte Verbraucherschutzvereine berechtigt sein. Hier tritt namentlich Martin Ismail als Vertreter der „Interessengemeinschaft Datenschutz“ als Abmahnender auf. Die IG Datenschutz allerdings kann als nicht berechtigte Anspruchsgegnerin bezeichnet werden, da sie die Voraussetzungen dafür gar nicht mitbringt.
Des Weiteren ist im Allgemeinen fraglich, ob die hier vorgeworfene Pflichtverletzung tatsächlich ein Persönlichkeitsrecht von Martin Ismail verletzt hat, denn dieser geht offenbar mit einer hinreichenden Aggressivität vor und bietet sogar an, die Sache nach Zahlung der o.g. Summe auf sich beruhen zu lassen. Es wird demnach gar nicht wirklich ersichtlich, ob es dem Versender des Schreibens tatsächlich um die Unterlassung geht. Denn dieser verlangt die Unterlassung vom Empfänger gar nicht ausdrücklich. Lediglich weist er auf einen Unterlassungsanspruch hin, der zumindest fraglich ist.
Die Zahlungsaufforderung, nicht etwa von Mahngebühren, sondern von „Lösegeld“ – was aus meiner Sicht der hier korrekte Begriff ist – steht meines Erachtens im Verdacht rechtmissbräuchlich zu sein. Aufgrund des Ausbleibens einer konkreten Aufforderung das rechtverletzende Verhalten zu unterlassen und der Tatsache, dass das Schreiben wohl an Tausende, wenn nicht gar Zehntausende Internetseitenbetreiber rausging, lässt die Vermutung nahe, dass es sich um einen Rechtsmissbrauch handelt.
Denn es ist fraglich, dass sich Martin Ismail hier in dieser Größenordnung den Aufwand gemacht hat, all diese Webseiten auf eine falsche Einbindung von Google Fonts zu untersuchen. Vielmehr ist aufgrund der schieren Anzahl von bereits im Internet bekanntgewordenen gleichartigen Fällen zu vermuten, dass mit Crawler-Software gearbeitet wurde, was den Rechtsmissbrauch erhärten würde. „Crawler“, oder auch „Bots“ genannt, sind Software-Programme, die das Internet auf Daten absuchen und diese ggf. auch kopieren. Hinzukommt die Tatsache, dass sowohl der Name Martin Ismail als auch der in dem Schreiben benannte Verein IGD e. V. in der Vergangenheit mehrfach mit derartig ähnlichen Schreiben für Aufmerksamkeit gesorgt haben. Dadurch erweckt sich mir der Eindruck, dass es sich hierbei eher um ein „Geschäftsmodell“ handelt.
Es handelt sich demnach nicht um eine echte Abmahnung, da keine konkreten gerichtlichen Schritte angedroht und keine strafbewehrte Unterlassungserklärung vorliegt. Des Weiteren ist der Vorwurf der Verletzung des Persönlichkeitsrechts zumindest fraglich.
Kann Unterlassungsklage bei einem Datenschutzverstoß erhoben werden?
Diese Frage ist zumindest nicht eindeutig zu beantworten. Gerichte haben hier in den letzten Jahren sehr unterschiedlich entschieden.
Z.B. hat das Landgericht Wiesbaden in seinem Urteil vom 22.01.2022 entschieden, dass es in dem damaligen Sachverhalt kein Unterlassungsanspruch des Betroffenen gibt. Demnach könne auch das in Art. 79 Abs. 1 DSGVO normierte Recht auf einen wirksamen gerichtlichen Rechtsbehelf nicht als Grundlage hergeleitet werden. Es bleiben der Ansicht des LG Wiesbaden lediglich verwaltungsrechtliche oder außergerichtliche Rechtsbehelfe unbeschadet. Die o.g. Rechtsnorm entfalte demnach eine Sperrwirkung. Das Verwaltungsgericht Regensburg entschied am 06.08.2020 genauso und leitete die gleiche Argumentation wie das LG Wiesbaden her.
Hingegen entschied mehr als ein Jahr zuvor das Landgericht Frankfurt vollkommen diametral dazu. Mit seinem Beschluss vom 15.10.2020 entschied es, dass die rechtswidrige Verarbeitung von personenbezogenen Daten einen datenschutzrechtlichen Unterlassungsanspruch gem. § 1004 BGB darstelle. Das in Art. 79 Abs. 1 DSGVO normierte Recht entfalte der Ansicht des LG Frankfurt hingegen keine Sperrwirkung.
Es ist also wie so oft in der Jurisprudenz: Es kommt drauf an. Jeder Fall ist einzeln zu betrachten. Eine eindeutige Rechtsauffassung gibt es hierzu bisher nicht.
Ist der Verein „Interessengemeinschaft Datenschutz“ ein rechtsmissbräuchlicher Abmahner?
Der IG Datenschutz e. V. hat bereits früher schon von sich Reden gemacht. So soll er bereits am Tag seiner Gründung, d. 06.03.2019 die ersten Abmahnungen gegen Unternehmen ausgesprochen haben, deren Webseiten fehlende vom damaligen Telemediengesetz geforderte SSL/TSL-Verschlüsselungen aufwiesen. So berichtete u.a. die Welt seinerzeit über die „dubiosen Abmahnungen“ des IGD. Die Rechtsanwaltskanzlei LHR Rechtsanwälte verkündeten erst vor einer Woche auf ihrem Blog, dass sie gegen Martin Ismail eine einstweilige Verfügung in einem konkreten Abmahn-Fall wegen der Nutzung von Google Fonts erwirkten. Der Beschluss sei zwar noch nicht rechtskräftig (Stand 24.10.2022), befindet sich allerdings schon in der Zustellung. Bei Zuwiderhandlung drohe Martin Ismail ein Ordnungsgeld von bis zu 250.000 EUR. Zu dem Artikel geht es hier.
Selbst wenn der Beschluss rechtskräftig ist, gilt dieser natürlich nur für die entsprechende Klägerpartei. Andere Betroffene müssten entsprechende Klagen ebenfalls erheben, um Unterlassungsanspruch gegen die Machenschaften von Martin Ismail oder dem Verein Interessengemeinschaft Datenschutz zu erwirken. Dennoch hat das Urteil eine entsprechende Signalwirkung und dürfte die vielleicht aufgescheuchten Betroffenen beruhigen.
Was würde ich nun als „Abgemahnter“ tun?
Aufgrund der oben benannten Tatsachen, kann ein solches Schreiben gut und gerne in den Papierkorb landen. Bisher ist zumindest mir kein einziger Fall bekannt, in dem dieser ominöse Verein oder einer seiner angeblichen Akteure seinen vermeintlichen Anspruch auf Unterlassung durchgefochten hätte. Wahrscheinlich würde ich es hier auch auf eine Klage ankommen lassen.
Wer jedoch dennoch darauf reagieren möchte, kann auch ein kleines Anschreiben dazu aufzusetzen. Es spricht nichts dagegen solchen Machenschaften zumindest erst einmal Gegenwehr entgegenzusetzen. Zuletzt bleibt natürlich immer noch die Möglichkeit der Durchsetzung auf Unterlassung gegen den IGD e. V. oder Martin Ismail, auch wenn ich dies für sehr fragwürdig halte. Die Gründe habe ich ja oben zu genüge ausgeführt.
Daher würde ich ein Schreiben folgenden Inhalts aufsetzen:
• Zahlung und Abmahnung zurückweisen
• Bitte um einen Nachweis, dass die Internetseite tatsächlich von der IP-Adresse der Mandantschaft aufgerufen wurde und zugleich der Konkretisierung welche Persönlichkeitsrechte tatsächlich verletzt wurden
• Anzweifeln, dass tatsächlich Rechte verletzt worden sind, da es fraglich ist warum die Mandantschaft auf die Internetseite zugegriffen hat
• Verdacht des Rechtsmissbrauchs klar äußern
• Äußerung des Vorbehaltes von Gegenansprüchen wie Unterlassungsklage, ggf. Schadensersatz oder sogar Strafanzeige wegen versuchten Betruges
Sollte sich der Umstand bewahrheiten, dass meine Internetseite tatsächlich Google Fonts nutzt, würde ich sofort entweder auf eine lokale Nutzung umstellen oder die Schriftarten einfach gegen andere „datenschutzkonforme“ austauschen. Die Aufsichtsbehörden ahnden im Zweifelsfalle solche Verstöße. Eine sofortige Umstellung nach Bekanntwerden, dürfte sich bei der Bußgeldbestimmung milde auswirken. Ob überhaupt ein Bußgeld bei einem solchen Verstoß in Frage käme – zumindest, wenn nach Bekanntwerden der Verstoß sofort abgestellt wird – darf gerne hinterfragt werden. Letztlich wird nirgendwo so heiß gegessen, wie gekocht.
Im Übrigen, obwohl im Schreiben von Schadensersatzforderungen von bis zu 2.500 EUR für Datenschutzverstöße die Rede ist, handelt es sich dabei um weitaus gravierendere Fälle. In einem Urteil des LG München vom 20.01.2022 zu einem vergleichbaren Fall, betrug der Schadensersatz lediglich 100 EUR.
Zuletzt noch: Rettung der Anwaltsehre
Ich bin selber kein Anwalt, bin als Datenschutzbeauftragter und angehender Wirtschaftsjurist jedoch Berater im Datenschutz- und Internetrecht. Auch wenn das Verhalten, wie die des Herrn RA Kilian Lennart durchaus das alte Klischee von den bösen Anwälten und anderen Juristen als Scharlatane bestätigt, möchte ich auch eine Lanze für diesen Beruf brechen. Der Jurist und sicherlich erst recht der Beruf des Anwaltes ist ein durchaus ehrbarer. Verbrechen oder unrechtmäßiges Verhalten legen grundsätzlich Menschen an den Tag, nicht deren Berufsverbände oder Berufsgruppen im Kollektiv. Das gilt im Übrigen auch für alle anderen Gruppierungen. Von dem Verhalten einzelner auf einen ganzen Berufsstand zu schließen, wird der Sache nicht gerecht. Man sollte sich auf jeden Fall spätestens daran erinnern, wenn man selber wieder einmal ein rechtliches Problem hat und Hilfe benötigt. Da gehört ein gewisses Vertrauensverhältnis einfach mal dazu.
Hinweis: Ich habe hiermit lediglich meine eigenen persönlichen Ansichten zu dem Thema wiedergegeben, da einige meiner Kunden und Mandanten gerade damit konfrontiert sind. Es handelt sich bei dem oben gesagten keineswegs um eine Rechtsdienstleistung i. S. d. § 2 RDG. Die Benennung der im Text erwähnten Personen ist ebenfalls aufgrund des öffentlichen Interesses ohne weiteres zulässig.
Dipl.-Ing. Pierre Dornbrach, MBA & Eng.
Als zertifizierter Datenschutzbeauftragter und angehender Wirtschaftsjurist (LL.M) mit der Vertiefung in Datenschutzrecht und Internetrecht berate ich vor allem mittelständische Unternehmen und helfe ihnen dabei den betrieblichen Datenschutz im Unternehmen umzusetzen. Als technisch sehr versierter Wirtschaftsingenieur interessiere ich mich besonders für die digitale Transformation und welche Auswirkungen sie auf unser Leben hat.