Abmahnung wegen Datenschutz

Wenn der Datenschutz für Abmahnungen missbraucht wird

Datenschutz ist ein hohes Gut, für das wir in Westeuropa dankbar sein sollten. Leider untergräbt aktuell eine Abmahnwelle des niederösterreichischen Anwalts Markus Hohenecker das eigentliche Ziel, den Schutz vor Missbrauch. Unter dem Deckmantel des Datenschutzes (er firmiert als datenschutzanwalt.eu) versucht dieser Anwalt, von tausenden Webseitenbetreibern in Österreich 190,- Euro für einen Vergleich einzutreiben. Unter den Empfängern des Schreibens sind auch viele Vermieter von Ferienwohnungen oder Hotels. So unglücklich diese Aktion ist, sie zeigt die große Bedeutung von IT-Sicherheit und Datenschutzthemen – dazu mehr weiter unten. Aber zunächst zum Fall „Eva Z.“:

Die Abmahnung

Auch ich bekam für diesen Wissensblog eCoach.at das Abmahnschreiben des Anwalts Markus Hohenecker. Der Schock war bei mir erstmal groß. Habe ich tatsächlich rechtliche Bestimmungen verletzt? Muss ich Schadensersatz zahlen? Gegen eine Zahlung von 190 Euro sei die Sache „vollumfänglich und endgültig erledigt“.

Der Vorwurf

Der Vorwurf im Schreiben lautet: Die Verwendung von Google Schriftarten (engl. Fonts) führe beim Aufruf meiner Webseite zu einem automatischen Weiterleiten der IP-Adresse des Besuchers an einen Server von Google, der nicht in Europa, also einem aus Datenschutzsicht unsicheren Land stehe. Der erfolgte Kontrollverlust über die eigenen Daten hätte bei der Mandantin des Anwalts, einer gewisse Eva Zajaczkowska,

„erhebliches Unwohlsein verursacht und nervt sie massiv“.

Und, ja, ein deutsches Gericht hat Anfang des Jahres tatsächlich in einem ähnlichen Fall dem Beklagten 100,- Euro Schadensersatz wegen Weitergabe der IP-Adresse an Google aufgebrummt. Das Landgericht München (Az.:3 O 17493/20 vom 20.01.2022) sieht durch die IP-Weitergabe an Google einen Kontrollverlust des Nutzers und damit das

„vom Nutzer empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist.“

Massenabmahnung

Ein Blick ins Internet zeigt viele Webseiten und Medien, die über diesen Fall berichten. Tröstliche Erkenntnis: Man ist also nicht allein. Aus dieser Tatsache, dass tausende Webseiten betroffenen sind, leitet sich auch gleich das schlagkräftigste Gegenargument ab: Um tausende Webseiten aufzurufen und Serienbriefe mit Screenshots zu produzieren, muss ein automatisches Programm eingesetzt worden sein. Und ein Programm (Bot) hat keine Gefühle, die verletzt worden sein können. Also kein Schaden entstanden?

Komische Anekdote am Rande: das nötige Wissen, um automatisiert Webseite zu crawlen, könnte sich die Betroffene Eva in einem AMS-Kurs (für die deutschen Leser: Arbeitsamt) angeeignet haben, berichtet der Standard. Und da sage einer, die Kurse brächten nix  😉.

Der Fall lässt sich natürlich noch in viele technische und juristische Details zerlegen. Unabhängig von der Sachlage ist die menschliche Entrüstung über so viel Dreistigkeit des Anwalts groß, die vielen Kommentare und vorgeschlagenen Gegenaktionen sprechen Bände.

Wer selber lesen möchte, diese Webseiten fand ich zum Thema besonders interessant:

• Digital Society – darauf basierend habe auch ich mein Antwortschreiben formuliert, DANKE!
• Futurezone – immer eine gute Quelle für Digitalisierungsthemen
• Landingpage der Webagentur digital now marketing, die sich in das Thema hinein gekniet hat.
• Niederösterreichische Anwaltskammer – der ich auch eine E-Mail geschrieben habe, um sachlich Schritte gegen ihr Mitglied vorzuschlagen. Ich habe ja Verständnis, dass eine Ständevertretung alle Seiten genau abwiegen muss. Entsprechend habe ich die Stellungnahme auf der Homepage eh eingeordnet. Dass dann aber zwei Wochen später mir die Kammer per Papier(!)brief antwortet und eben genau die sieben Punkte nochmal schickt, auf die ich mich in meiner Mail schon bezogen hatte, ist dann doch aufschlussreich: Die Anwaltskammer ist mit dieser Materie heillos überfordert.
• Die Wirtschaftskammer (WKO) vertritt logischerweise eher die Interessen von abgemahnten Unternehmern und stellt durchaus praktikabel, aktuell und umfassend Inhalte ins Netz.

Schlaglicht auf Datenschutz

Jedenfalls gibt der Fall Anlass, die wichtigsten Regeln im Datenschutz und in der IT-Sicherheit für die eigene Webseite genau zu prüfen. Hier ein paar typische Fallstricke:

• Impressumspflicht

Wer der Betreiber einer Webseite ist, muss klar auf der Seite beschrieben sein. Geregelt ist die Informationspflicht in § 5 Abs. 1 E-Commerce-Gesetz (ECG). Es gibt im Internet zahlreiche Generatoren für ein Impressum, die bei der Erstellung helfen. Z.B. Idigit.

• Datenschutzerklärung

Auf einer Seite sollten alle Fragen eines Webseitenbesuchers zum Umgang mit seinen persönlichen Daten beschrieben sein. Zu prüfen ist, ob alle datenschutzrelevanten Funktionen der Webseite wie Kontaktformulare und Buchungstechnologie abgehandelt werden. Die Datenschutzerklärung für eCoach.at habe ich jetzt beispielsweise zum Umgang mit Google Fonts erweitert.

• Copyright

Urheberrechte insbesondere an Bildern sind ein heißes Eisen im Netz. Auch Bilder auf Webseiten können Roboter (Crawler) automatisiert nach Urheberrechtsverletzungen durchsuchen. Darum: seien Sie gewissenhaft, welche Bilder wie verwendet werden dürfen und entsprechend ausgezeichnet werden müssen.

• Persönlichkeitsrechte

Wenn wir schon beim Thema Bilder sind: nicht nur der Urheber (Fotograf) hat Rechte, auch abgebildete Personen. Schriftliches Einverständnis sollte vorliegen, das gilt im Besonderen bei Aufnahmen von Kindern!

• Cookies

Cookies sind kleine Textdateien, die am Computer oder Smartphone im Webbrowser abgespeichert werden, wenn eine Website aufgerufen wird. Sie speichern Informationen zum letzten Besuch. Diese Textdateien können vom Server einer solchen Website bei erneutem Besuch ausgelesen werden. Nach der Datenschutzgrundverordnung (DSGVO) braucht es für jede Verarbeitung von persönlichen Daten eines konkreten legitimen Zwecks. Dieser ist im Rahmen der Informationspflichten (Datenschutzerklärung) offen zu legen. Zudem muss für alle „technisch nicht notwendigen Cookies“ eine Einwilligung eingeholt werden. Nur wenn keine „technisch nicht notwendigen“ Cookies auf der Website verwendet werden, ist auch keine Einwilligung und somit kein Cookie-Banner notwendig. Mehr dazu bei der Österreichischen Datenschutzbehörde.

Auf eCoach.at vermeide ich das Setzten von Cookies, darum wird auch kein Einwilligungs-Banner angezeigt. Prüfen können Sie den Einsatz von Cookies z.B. mit dem Tool Cookiemetrix.

• AGB, insbesondere Stornobedingungen

Wie verzwickt die Angaben zu Stornobedingungen aus Sicht des Gastes manchmal sein können, lesen sie in diesem Artikel auf eCoach.at, ein Erfahrungsbericht.

• IT-Sicherheit

Wenn Daten des Besuchers von der Webseite erhoben und übertragen werden, sollte der User sicher sein, dass diese Übertragung verschlüsselt passiert. Dafür gibt es den https-Standard. Alles genau beschrieben in diesem eCoach-Beitrag.

Schutz vor Hacking gehört indirekt auch zum Datenschutz. Der Besucher Ihrer Webseite sollte sicher sein, dass die besuchte Seite nicht von anderen übernommen wurde. Auch hier kann ich leider mitreden. eCoach.at wurde 2020 gehackt und ich musste die Webseite neu aufsetzten. Einfachster Rat: Passwörter müssen lang sein (mind. 8 Zeichen) und für jedes System ein eigenes. Mehr einfache Sicherheits-Regeln diesem Beitrag: https://ecoach.at/it-sicherheitsregeln

• Vorsicht vor Phishing

Die vermeintliche Aufforderung, irgendwelche Bank-Zugänge zu bestätigen oder Post-Sendungen zu verfolgen, sollten immer mit Vorsicht gelesen werden. Meist sieht man schon an der Schreibseite des Absende, das ist Fake. Gleich löschen, wenn nicht hundertprozentig bekannt und gewollt.

Genau lesen hilft oft, Absender dieser falschen SMS ist „Posts-ag.com“.