Wie zahlreiche Medien berichten bekommen derzeit viele Unternehmer in Österreich Schreiben von einem “Datenschutzanwalt”, in welchem eine Zahlung von 190 Euro gefordert wird. Laut Schätzungen vom ORF sind es 10.000 fast wortgleiche Schreiben, die Rechtsanwalt Mag. Marcus Hohenecke aus Gross Enzersdorf versendet hat.
Auch an uns haben sich schon zahlreiche Betroffene gewendet. Darum wollen wir hier eine allgemeine Hilfestellung geben, falls Sie ein Schreiben von Datenschutzanwalt.eu bekommen haben.
Die Frage ob tatsächlich ein Anspruch der Mandantin Eva Z. besteht, muss im Einzelfall geprüft werden. Der Sachverhalt ist in vielen Fällen sehr ähnlich und auch der Anwalt hat sich, aufgrund der riesigen Anzahl an Schreiben, wohl nicht ausführlich mit jedem einzelnen Fall befasst.
Darum werden diese Ausführungen auf die meisten Fälle zutreffen. Entscheidende Details können abweichen und sollten darum geprüft werden.
Zunächst möchten wir die Sachverhaltsebene klären. Dazu ist es wichtig, die Technik hinter einer Webseite etwas zu verstehen. So kann man auch dieses Datenschutzrechtliche Problem verstehen. Wir versuchen das so einfach und leicht verständlich wie möglich zu erklären. Dann werden wir die datenschutzrechtlichen Fragen klären und zuletzt noch die zivilrechtliche Frage, ob Frau Eva Z. tatsächlich einen Anspruch hat.
Google Fonts auf einer Webseite
Möchte jemand eine Webseite besuchen, und gibt die Adresse der Seite an seinem PC ein, dann wird diese Webseite vom jeweiligen Web-Server heruntergeladen. Die Webseite besteht nicht nur aus dem, was wir auf dem Bildschirm sehen, sondern aus einem sogenannten Quellcode im Hintergrund. Durch drücken von Strg+Q kann man diesen Code sehen.
In diesem Code können Elemente eingebaut werden, die den PC veranlassen, weitere Elemente der Webseite im Hintergrund herunterzuladen – ohne dass man das als Benutzer merkt. Diese Elemente können Bilder, Schriften oder Scripts sein. Solange diese vom eigenen Webserver heruntergeladen werden, ist das kein Problem.
Manche Webseitenprogrammierer sind dazu übergegangen, gewisse Elemente nicht auf dem eigenen Webserver zu speichern, sondern direkt vom Hersteller zu laden. Das hat gewisse Vorteile. Es macht die Webseite schneller, es entlastet den Server, es spart Zeit für Aktualisierungen. Datenschutztechnisch ist das allerdings ein Problem. Denn wenn man Z.B. Schriftarten von Google Fonts so einbindet und direkt vom Google Server lädt. Werden verschiedene Informationen an den Google Server gesendet, ohne dass der Webseitenbesucher das merkt. Diese Informationen sind wie in diesem Fall die IP-Adresse.
Wie kann man das Google Fonts Problem lösen?
Die schönen, kostenlosen Schriftarten von Google werden von sehr vielen Webseiten verwendet. Das ist auch ok und stellt per se keinen Verstoss gegen die DSGVO oder andere Datenschutzvorschriften dar. Wichtig ist nur, dass die Schriftart-Dateien (WOFF) auf dem eigenen Server gespeichert werden und nicht extern abgerufen werden müssen.
Wenn Sie eine Webseite haben, und wissen möchten, ob das bei Ihnen der Fall ist oder wie man das umsetzten kann, dann empfehlen wir den kostenlosen Datenschutz-Check.
Kann man das mit einem Cookie-Banner lösen?
Nein, denn in diesem Fall geht es nicht um Cookies, die auf einem PC gespeichert werden sondern um die Übertragung von IP-Adressem beim Abruft der Seite. Darum kann man diese Problematik nicht einfach durch den Einbau eines Cookie-Banners, z.B. mit einem WordPress-Plugin beheben. Es wäre zwar theoretisch möglich, zuerst ein Popup zu zeigen und zu Fragen, ob es für den Benutzer ok ist, externe Schriftarten zu laden und erst dann die Seite anzuzeigen. Das ist jedoch sehr unschön und durch die zuvor erwähnte Methode auch nicht notwendig.
Datenschutzrechtliche Frage
Bei jenen Fällen, die wir gesehen haben, war es tatsächlich so, dass auf der Webseite Google Fonts falsch eingebunden waren, Google Analytics, Google Tag Manager oder andere externen Diensten aus den USA verwendet wurden.
Ist das der Fall wird tatsächlich beim Aufrufen der Webseite die IP-Adresse des Benutzers übertragen, ohne dass er es weiss. Ein Hinweis in der Datenschutzerklärung einer Webseite ist meist zu spät. Die IP-Adresse wurde schon übertragen, bevor der Nutzer diese lesen oder ihr zustimmen konnte. Das gleich gilt für Cookie-Consent-Banner. Diese genügen ebenfalls nicht.
Die Österreichische Datenschutzbehörde hat in einer Aussendung mitgeteilt, dass alleine sie für die Verfolgung von solchen Datenschutzverstössen zuständig ist. Keinesfalls Privatpersonen oder Rechtsanwälte. Dem ist zuzustimmen.
Hat Frau Eva Z. einen Anspruch auf Zahlung von 190,- Euro?
Hier liegt die Krux an dem ganzen Geschehen. Der Rechtsanwalt bezieht sich in seiner Rechtsauffassung auf ein Urteil des Landgerichts München. Die Rechtslage in Deutschland unterscheidet sich von der Österreichischen in diesem Fall gravierend. Das in Deutschland bekannte Rechtsinstrument der Abmahnung gibt es in dieser Form in Österreich nicht. Und das ist gut so.
Was ist eine Abmahnung?
In Deutschland kann jemand, wenn er von einem Gesetzesverstoss eines anderen auch nur marginal betroffen ist, diesem von einem Rechtsanwalt eine Abmahnung schicken lassen. Dieser hat, wenn der Verstoss tatsächlich vorliegt, die Kosten des Rechtsanwalts zu zahlen, selbst wenn der Mandant selbst gar keinen gerichtlich durchsetzbaren Anspruch hat, wie z.B. einen Schadenersatzanspruch. Die deutsche Rechtsprechung gründet dies auf die Idee der Geschäftsführung ohne Auftrag. Es sei ja im Interesse des Betroffenen, wenn er von seinem Verstoss in Kenntnis gesetzt wird, bevor es eine Behörde merkt oder tatsächlich ein Schaden entsteht.
In Österreich funktioniert das so nicht. Zwar kann ich auch bei uns jeden anderen darauf Hinweisen, dass er gegen ein Gesetz verstösst. Wer will, kann das durch einen Rechtsanwalt schreiben lassen. Die Kosten für diesen Hinweis, kann man in den allermeisten Fällen nicht einklagen. Darum sind derartige Abmahnungen wegen Datenschutz, fehlenden Angaben im Impressum usw. bei uns sehr selten.
Anders sieht es aus, wenn man tatsächlich einen Anspruch gegenüber einem anderen hat. In diesem Fall kann man sich – in der Regel auch ohne vorherige Kontaktaufnahme – an einen Rechtsanwalt wenden. Schreibt diese dem Gegner einen Brief und die Forderung wird daraufhin erfüllt, so muss er die Kosten für das Anwaltsschreiben bezahlen. Die Kosten dafür berechnen sich nach TP2 des Rechtsanwaltstarifs und sind relativ gering. Trotzdem könnte der Betrag vor Gericht eingeklagt werden.
Besteht in diesem Fall ein Anspruch?
Aus den gerade ausgeführten Gründen musste Frau Eva Z. und Ihr Rechtsanwalt eine konkrete Forderung – sagen wir “erfinden”. In den uns vorliegenden Schreiben behauptet sie, dass sie durch geschockt war, dass Ihre IP-Adresse an Google übertragen wurde. Theoretisch könnte es so einen Schockschaden tatsächlich geben. Die Höhe würde sich nach den Schmerzensgeldtabellen berechnen. Hätte sie tatsächlich für einen Tag lang einen Schock, der als leichte Schmerzen einzuordnen wäre, bestünde vermutlich ein Anspruch.
Ein derartiges Schockereignis ist jedoch extrem unwahrscheinlich schon alleine dadurch, dass Frau Z. wohl tausende Seite am Tag besucht hat, welche Ihre IP-Adresse an Google übertrage haben. So ist es leicht zu argumentieren, dass der Schock, durch eine einzelne Webseite nicht mehr verstärkt wurde.
Das tatsächliche Vorhandensein eines so tiefgreifenden Schocks, müsste Frau Z. durch einen Sachverständigen – vermutlich durch einen Psychiater – nachweisen. Jetzt bin ich natürlich kein Psychiater, doch halte ich das für sehr unwahrscheinlich. Jedenfalls ist uns nicht bekannt, dass Frau Z. über in derartiges Gutachten verfügt.
Zusammenfassung und Handlungsempfehlung
Zunächst einmal sollten Sie ruhe bewahren. Aus den hier ausgeführten Gründen – und noch vielen anderen – ist es sehr unwahrscheinlich, dass der Anspruch von Frau Z. tatsächlich durchsetzbar sein wird. Gehen wir davon aus, dass die Schätzung vom ORF richtig ist, und es tatsächlich 10.000 betroffene Unternehmer sind, kann ein einzelner Rechtsanwalt kaum alle Verfahren gleichzeitig führen. Zudem müssten alle Gerichtskosten vorab bezahlt werden. Das Frau Z. das wirklich tut, ist sehr unwahrscheinlich. Zwar hat der Anwalt auf seiner Webseite ein paar “Musterklagen” veröffentlicht.
Das sind aber nur Klagen und keine Urteile. Dies beweist in keinem Fall, dass tatsächlich ein Anspruch besteht oder die Rechtsmeinung des Datenschutzanwalts von der Rechtsprechung geteilt wird. Diese Zivilprozesse wird er vermutlich, bis zu einem Urteil führen. Bevor die Angelegenheit rechtskräftig entschieden wurde, wird er eher nicht unzählige Musterprozesse führen.
Schreiben ignorieren? Ganz schlechte Idee!
Es gibt keine Garantie dass Herr Rechtsanwalt nicht doch Klagen einbringen wird. Deshalb sollte man das Schreiben vom Datenschutzanwalt nicht einfach in den Papierkorb schmeissen. Es ist davon auszugehen, dass er sich in diesem Fall eher einen Gegner aussuchen wird, bei dem mit wenig Gegenwehr zu rechnen ist. Vielleicht hofft man, ein Versäumnisurteil zu bekommen.
Vorlage eines Antwortschreibens an den Datenschutzanwalt
Das Schreiben von Herrn Rechtsanwalt Hohenecke sollte beantwortet werden. In der Antwort sollte der Anspruch von Frau Z. zurückgewiesen werden. Sie sollten klar machen, dass Sie sich auf jeden Fall gegen eine Klage zur Wehr setzen werden.
Um Ihnen die Arbeit zu erleichtern, haben wir hier eine Vorlage für ein Antwortschreiben zum herunterladen:
Webseite prüfen und Datenschutzlücken schliessen
Zusätzlich empfiehlt sich, die problematischen Elemente von der Webseite zu entfernen. Dazu hilft Ihnen unser Datenschutz-Check.