Steht neue Art der Google Fonts Abmahnungen bevor (hier geht es zu meinem Beitrag zum „Urtyp“ der Google Fonts Abmahnungen von Kilian Lenard)? Mir liegt eine Abmahnung der „Meur-Media Datenschutzgemeinschaft“ in Flinsbach vor (www.meur-media.de).
Der Vorwurf
Die Abmahner machen das, was schon zuvor die „altbekannten“ Abmahner tun: Sie machen eine Verletzung des allgemeinen Persönlichkeitsrechts geltend durch die serverseitige Einbindung von Google Fonts.
Zur Erläuterung: Drittdienste (eingebettete Dateien, iFrames usw.) darfst du – wenn überhaupt – nur mit Einwilligung des Nutzers in deine Website einbinden. Denn beim Laden von Dateien von fremden Servern gelangt der Betreiber des anderen Servers – hier Google – an die IP-Adresse der Nutzers.
Nach Ansicht der Rechtsprechung ist das schon eine Verletzung der DSGVO, weil auch die IP-Adresse zu den personenbezogenen Daten zählt. Die Rechtsprechung (LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20) hat zumindest in einem Fall ein „Schmerzensgeld“ von 100 € zugesprochen und das Einbinden von Google Fonts als nicht „unbedingt erforderliche“ Datenverarbeitung eingestuft.
Die Abmahner schreiben nun:
Ich [Unterzeichner ist ein „Jonas Wulinger“] habe in Erfahrung bringen müssen, dass Sie auf Ihrer Website Cookies von unter anderem einem US-Konzern (Google) verwenden, für mich und andere Nutzer gibt es keine Möglichkeit diesem zuzustimmen, teilweise zuzustimmen oder widersprechen. Dies verstößt konkretisiert gegen Art. 7 und Art. 8 der DSGVO. Sie verwenden externe Schriften (Google Web Fonts), da diese nicht lokal ausgeführt werden, wird die IP von unserem Mitglied und jedem weiterem Besucher automatisch in ein unsicheres Drittland weitergeleitet ohne die Möglichkeit des Widerspruchs und vorherige Zustimmung dies geschieht unabhängig von der Zustimmung vom Cookie Banner direkt beim Besuch der Website.
Sodann schreiben sie:
Die Weitergabe der personenbezogenen Daten unseres Mitglieds ist ein tiefer Eingriff in die Privatsphäre, es verstößt nicht nur gegen die DSGVO, sondern ist auch moralisch verwerflich, da es sich um ein unsicheres Drittland handelt …
Was fordern die Abmahner?
Die Abmahner fordern
- die Abgabe einer strafbewehrten Unterlassungserklärung und
- Auskunft nach Art. 15 DSGVO
Der Unterlassungsanspruch ist lachhaft, bezieht sich auf „Die Einhaltung der DSGVO auf Ihrer Website“ (was viel zu unbestimmt ist für einen Unterlassungsanspruch).
Auch der Auskunftsanspruch lässt sich meiner Meinung nach leicht abwehren. Im Unterschied zu den Abmahnungen von RA Kilian Lenard für Martin Ismail und der Kanzlei RAAG (für Wang Yu bzw. Jolanta Januszewski) weisen die hiesigen Abmahner darauf hin, dass nach Art. 12 DSGVO eine Identitätsprüfung möglich ist. Sofern man Auskunft über die Identität des angeblich Betroffenen verlangt, heißt es:
In diesem Fall sende ich Ihnen binnen 3 Werktagen unter Beachtung der DSGVO eine Kopie des Personalausweises unseres Mitglieds zu.
Beachten Sie, dass die Ausübung Ihres Rechts nach Art. 12 DSGVO keine aufschiebende Wirkung hat.
Und dann folgt das „Vergleichsangebot“:
Durch die Zahlung und insbesondere die zukünftige Unterlassung von Datenschutzverstößen auf Ihrer Website vorausgesetzt erklären wir uns bereit durch einen Vergleich, den Vorfall nicht der Aufsichtsbehörde für Datenschutz zu übermitteln und auf die o.g. Auskunft gemäß Art. 15 DSGVO sowie die Unterlassungserklärung zu verzichten, die zukünftige Unterlassung weiterer DSGVO Verstöße muss aber dennoch ausnahmslos gewährleistet sein.
Was halte ich davon?
Auch wenn die Abmahner hier etwas fortgeschrittener argumentieren und schon die mittlerweile bekannten Abwehrstrategien mit einpreisen (Identitätsnachweis nach Art. 12 Abs. 6 DSGVO) sind sie doch nichts weiter als plumpe Trittbrettfahrer.
Der Umstand, dass sie sich am Ende plötzlich alle Ansprüche für 159 € „abkaufen“ lassen spricht dafür, dass der Auskunfts- und Unterlassungsanspruch nur geltend gemacht wird, um ein Druckmittel in der Hand zu haben. Das stellt aus meiner Sicht einen Rechtsmissbrauch dar.
Ist es eine Massenabmahnung? Weiß ich nicht. Auf der Website schreibt die Gemeinschaft in den FAQ:
Wir versenden täglich eine Handvoll Abmahnungen, weit entfernt von tausenden.
Klingt hochseriös und ehrenhaft, oder? Dass die Abmahner die Person nicht nennen, die den Anspruch stellen, ist ebenfalls lächerlich (zudem erscheint sie dann auf der allerletzten Seite auf der Rechnung). Kollege Matthias Lederer schreibt dazu:
Geradezu an Satire grenzt es, wenn die Anonymität des Mitglieds gewahrt werden soll, aber sodann eine Rechnung beigefügt ist, die zu einer Zahlung auf das Konto des hier namentlich benannten Mitglieds führen soll.
Die Rechnung hält den gesetzlichen Vorgaben mit der Formulierung („Umkehrung der Steuerschuld gemäß § 13b Abs. 2 Nr. 7 i“) ebenfalls nicht stand. Welches Gesetz ist gemeint? Und eine „Nr. 7 i“ gibt es nicht.
Muss ich reagieren?
Gerade den datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DSGVO würde ich nicht ignorieren. Ich würde mir tatsächlich einen Identitätsnachweis nach Art. 12 Abs. 6 DSGVO zuschicken lassen und dann – nach Erhalt – entsprechend zurückweisen wegen Missbrauchs (und das auch der Gegenseite mitteilen, Art. 12 Abs. 4 u. 5 DSGVO).
Den Unterlassungsanspruch würde ich knallhart zurückweisen oder ignorieren. Denn wer einen Anspruch geltend macht, muss offenlegen, für wen der Anspruch geltend gemacht wird. Ein „Abmahnverband“ kann nicht einen Anspruch wegen Verletzung des Persönlichkeitsrechts nach § 823 I BGB für eine unbekannte Person geltend machen sondern höchstens auf Grundlage des UWG tätig werden. Dafür würden hier aber offensichtlich die Voraussetzungen fehlen.
Gibt es diese Datenschutzgemeinschaft „Meur-Media“ wirklich?
Ob diese „Datenschutzgemeinschaft“ wirklich besteht, ist zweifelhaft. Das Impressum der Seite https://www.meur-media.de weist auf Seitenbetreiber in der Provinz Istanbul hin. Das alleine macht schon einen höchst unseriösen Eindruck.
Aber auch die Website selbst begeht ihrerseits zahlreiche Datenschutzverstöße. So bindet die Seite selbst Google Fonts und andere Dateien von Google Servern ein (ohne, dass Benutzer vorher per Cookie Banner eingewilligt haben):
Bei Fragen: gerne melden!
Update (18.11.2022): Statement von Meur-Media
„Meur-Media“ haben auf meinem YouTube-Video Stellung genommen. Sie schreiben u. a.
Zu meinem Vorwurf, dass sie selbst die DSGVO auf ihrer Website nicht beachten schreiben sie:
Zudem beziehen Sie sich auf unsere Website, die Google Fonts verwendet, unsere Website baut auf WordPress, wie Sie im Video erwähnt haben geben wir eine simple Anleitung wie bei WordPress Lokal installiert werden kann, dies haben wir ebenso bei uns umgesetzt, leider ist das Plugin „Local Google Fonts“ relativ neu Realest worden, weshalb sich ein Bug eingeschlichen hatte wir haben dieses behoben und händisch alle Fonts Lokal installiert.
und
Bedeutet theoretisch lägen Sie falsch den die Abmahnung einer Organisation die sich nicht im Geltungsbereich der DSGVO befindet wegen eines DSGVO-Verstoßes abzumahnen ist nicht möglich, dennoch ist bei uns Google Fonts lokal installiert, den wir stehen dazu und finden dies richtig.
und
Unsere Abmahnungen haben das Ziel bei den Menschen einen Denkeffekt auszulösen und nicht weiter zu schädigen. Weshalb wir bei glaubhafter Darlegung der wirtschaftlichen Situation auf jeden Anspruch verzichten unter Voraussetzung der Behebung der DSGVO Verstöße auch dies in der Vergangenheit mehrfach nachweislich. Es ist manchmal nötig, dass ein Lehrgeld gezahlt wird, um ein Umdenken zu erzielen. Es ist tatsächlich mehrfach der Fall, dass wir auf Websites stoßen, die ein Kontaktformular verwenden, jedoch keine SSL-Verschlüsselung besitzen, jedoch müssen auch laut DSGVO die Daten verschlüsselt übertragen werden.
Ich frage mich, ob das wirklich Ernst gemeint sein kann? Auch folgendes Statement:
Mein Screenshot hier und mein YouTube Video belegen zweifelsfrei, dass diese Abmahner selbst die DSGVO missachten. Und das auch noch mit dem Argument, sie seien ja in der Türkei und für sie würde die DSGVO nicht gelten. Art. 3 Abs. 2 DSGVO zwingt auch einen türkischen Website-Betreiber zur DSGVO-konformität, wenn sich die Seite an EU-Bürger (hier: Deutsche) mit einer Dienstleistung richtet, die auch unentgeltlich sein kann. Die Dienstleistung (Statement auf der Startseite „Wir schützen Ihre Daten. Garantiert!“) liegt unproblematisch vor.
Update (28.11.2022): Meur-Media gibt auf
Meur-Media schreibt wörtlich:
Meldung bezüglich Abmahnungen
Zum 25.11.2022 stellen wir die Datenschutzgemeinschaft ein.
Abmahnungen, die zwischen dem 14.11.2022 und dem 25.11.2022 versendet wurden, können trotz eines rechtlichen Anspruchs durch unser Mitglied verworfen werden, da wir diese Verstöße nicht weiter verfolgen können.
Dennoch sollten ausnahmslos alle DSGVO-Verstöße behoben werden.
Mit freundlichen Grüßen
Meur-Media Datenschutz
Ich kann behaupten, dass ich durch meine schnelle Veröffentlichung der Infos auf allen Kanälen sicher einen erheblichen Beitrag dazu geleistet habe, dass diese – in meinen Augen halbseidenen – Machenschaften ein schnelles Ende gefunden haben.