Seit einigen Tagen rollt eine „Abmahnwelle“ über Österreich und ist nun auch bei Sportvereinen angekommen.
Hintergrund
Kurz zusammengefasst geht es dabei darum, dass ein Anwaltsschreiben eines österreichischen Rechtsanwaltes im Namen einer Mandantin an zahlreiche
Organisationen geschickt wird. Darin wird der Vorwurf erhoben, dass ohne Zustimmung/Einwilligung der betroffenen Mandantin ihre IP-Adresse unzulässigerweise an eine Gesellschaft des US-amerikanischen Konzerns „Alphabet Inc.“ (Google) weitergeleitet wurde, weil sogenannte „Google Fonts“ auf der betreffenden Webseite der Organisation eingebunden wurden. Hierzu ist festzuhalten, dass der Europäische Gerichtshof in der Rechtssache C-582/14 bereits geklärt hat, dass sogar dynamische IP-Adressen personenbezogene Daten sind. Es handelt sich daher bei der IP-Adresse um personenbezogene Daten im Sinne der DSGVO.
Aufgrund einer derartigen (vorgeworfenen unzulässigen) Weiterleitung werden von der betroffenen Mandantin Ansprüche auf (i) Unterlassung, (ii) Schadenersatz, (ii) Ersatz der Kosten der Rechtsverfolgung und (iv) Auskunft über die Datenverarbeitung gemäß Art 15 DSGVO geltend gemacht. Das Schreiben enthält zudem ein „Vergleichsangebot“, auf deren Basis mit der Zahlung von EUR 190,- die Vorwürfe „vollumfänglich und endgültig erledigt“ sein sollen.
Begründet wird der Schadenersatzanspruch jedenfalls mit der unzulässigen Weitergabe der IP Adresse der Mandantin durch die Verwendung von Google Fonts auf Websites in die USA. Da die USA ein unsicheres Drittland ist, da kein Angemessenheitsbeschluss im Sinne des Art 45 DSGVO vorliegt, ist diese Datenweitergabe unzulässig, sollten keine zusätzlichen Maßnahmen vorgesehen worden sein (zB Verschlüsselung, Pseudonymisierung, Einholung einer Einwilligung oÄ). Zur Höhe des Schadenersatzanspruches wird das Urteil eines deutschen Gerichts zitiert (LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20), welches leider rechtskräftig geworden ist. D.h. der grundsätzliche Vorwurf, dass eine Datenweitergabe personenbezogener Daten in die USA DSGVO-widrig ist, ist richtig. Es ist jedoch darauf hinzuweisen, dass – soweit ersichtlich – ein vergleichbarer Fall in Österreich noch nicht entschieden worden ist. Die angeblich Geschädigte möchte Schadenersatz beanspruchen, weil sie der Kontrollverlust über ein personenbezogenes Datum an Google massiv nerve und zu erheblichem Unwohlsein führe. Die angeblich Geschädigte verlangt daher der Sache nach, den Ersatz eines sogenannten Gefühlsschadens, welcher nach Art 82 DSGVO grundsätzlich ersatzfähig ist. Festzuhalten ist weiters, dass nach der DSGVO die Schwelle für die Ersatzfähigkeit eines solchen Schadens sehr niedrig ist. Der Oberste Gerichtshof in Österreich hat bislang zu solchen Gefühlsschäden ausgesprochen, dass ein solcher Schadenersatzanspruch aber nur zusteht, wenn tatsächlich ein Schaden eingetreten ist. Gerade dies könnte im gegenständlichen Zusammenhang allerdings fraglich sein. Da es in Österreich bislang allerdings an Rechtsprechung zu diesem Thema fehlt, macht es Sinn dies im Einzelfall zu prüfen und einen Rechtsbeistand zu kontaktieren.
Was kann ich tun, wenn mein Verein bereits ein „Abmahn-Schreiben“ erhalten hat?
Wir empfehlen jedenfalls folgende Vorgehensweise:
- Das Schreiben sollte ernst genommen werden; es sollte jedenfalls auch zum Anlass genommen werden die eigene Website auf Datenschutzkonformität zu überprüfen. Es sollte Kontakt mit dem Anwalt aufgenommen werden, wenn die Frist nicht eingehalten werden kann. 1-2 Wochen um die Angelegenheit mit einer externen IT zu prüfen, sind legitim. Auf allfällige Vorwürfe des Anwalts, dies sei binnen Minuten erledigt, muss nicht weiter eingegangen werden.
- Du musst unbedingt prüfen, ob
a. Google Fonts im Einsatz ist (kann hier erhoben werden: https://www.ccm19.de/google-fonts-checker) und
b. eine Datenübermittlung in die USA stattfindet (Google Fonts könnte auch lokal eingebunden sein, was zulässig ist oder eine Zustimmung über die Cookie Bestätigung eingeholt werden)
c. und ob die im Schreiben ausgewiesene IP-Adresse in irgendeiner Form verarbeitet wurde (Logfiles, oÄ). - Das Auskunftsbegehren im Schreiben (Artikel 15 DSGVO) sollte jedenfalls und unabhängig beantwortet werden. Hierfür besteht gemäß Art 12 Abs 3 DSGVO eine Frist von einem Monat zur Verfügung.
a. Wird die IP Adresse nicht verarbeitet (d.h. du findest die IP Adresse in euren Systemen nicht oder ihr habt Google Fonts zentral oder gar nicht eingebunden), muss eine Negativauskunft erteilt werden
b. Wird die IP Adresse verarbeitet, muss eine volle Datenauskunft erteilt werden
Bei offenen Fragen sollte ein Rechtsbeistand kontaktiert werden, der hinsichtlich rechtlich korrekter Vorgangsweise weitere Auskunft geben kann. Grundsätzlich ist zu sagen, dass es eine Judikatur in Österreich zu diesem Thema noch nicht gibt. Zahlreiche befragte Rechtsexperten empfehlen, gar nicht auf das Schreiben zu reagieren. Sie glauben, dass der Anspruch aufgrund technischer und rechtlicher Bedenken nicht zu Recht besteht und dass es nicht zu Klagen kommen wird. Das kann aber niemand garantieren. Letztlich muss jeder Verein für sich selbst entscheiden, ob er das Risiko einer Klage eingeht oder ob er zahlt. Dass das Ganze eine Abzocke ist, ist klar.
Wenn ein Antwortschreiben erwogen wird in dem die Forderung bestritten werden soll, weil sie eurer Meinung nach zu unrecht besteht, kannst du dich an der Vorlage der Sport Austria orientieren: Muster-Antwortschreiben_Google_Fonts.
Aktuelle Entwicklungen die Abmahnwelle betreffend, kannst du hier verfolgen: https://marketingrecht.eu/google-fonts-abmahnungen/
Abschließend dürfen wir darauf hinweisen, dass diese Rechtsauskunft und das zur Verfügung gestellte Muster-Antwortschreiben ausschließlich eurer Information dienen. Diese wurden nach bestem Wissen und Gewissen erstellt.
Wie kann ich solche Probleme in Zukunft verhindern?
Checke auf jeden Fall gleich, ob dein Verein auf der Webseite Google Fonts verwendet. Hier noch einmal das entsprechende Tool dafür: https://www.ccm19.de/google-fonts-checker
Wenn du Google Fonts verwendest, kläre mit deinem Website-Admin, ob du das irgendwie umgehen kannst. Google Fonts lassen sich auch lokal einbinden oder können auch ganz ausgestellt werden. Die Vorgangsweise ist jedoch je nach verwendetem Website-System unterschiedlich.