Gestern Abend ging bei dem Inhaber aus Nordrhein-Westfalen eine E-Mail mit dem Betreff „Verstoß gegen DSGVO - Rechtswidrige Weitergabe von Daten“ ein. Mustafa Sisic aus Bosnien und Herzegowina fordert darin, Anspruch auf Ersatz des immateriellen Schadens nach DSGVO. „Leider haben Sie auf Ihrer Website dynamisch integrierte Dienste von Drittanbietern, in erster Linie Google-Dienste (Google Fonts und ähnliches) und einige andere Dienste von Drittanbietern, die ohne die Zustimmung des Besuchers, der Ihre Website besucht, automatisch eine Verbindung mit den Servern von Google hergestellt wird (erkennbar an den Quellcode der Seite, beispielsweise durch Verlinkung auf ‚fonts.googleapis.com‘ oder ‚fonts.gstatic.com‘).“ Sein Webprotokoll habe einen Link von der Apotheken-Website zu den Servern von Google aufgezeichnet.

Apotheke mit „enormen Konsequenzen“ gedroht

Sisic sieht „mindestens“ seine IP-Adresse ohne sein Einverständnis weitergeleitet. „Da ich anhand von meiner IP-Adresse z.B. zurückverfolgt werden kann oder Google anhand dieser meine Aktivitäten im Internet verfolgen und Daten über mich sammeln könnte, fällt diese als personenbezogenes Datum unter die DSGVO“, schreibt er. Zudem sei sein Recht auf „informationelle Selbstbestimmung“ verletzt. Die 100 Euro sollen bis Donnerstag per Western Union überwiesen werden. Am Ende der Mail steht noch eine Drohung: „Machen Sie Ihre Website in Zukunft DSGVO-konform, oder Ihr Unternehmen könnte mit enormen Konsequenzen konfrontiert werden.“

Der Apotheker meldete die Mail bei seinem Verband und seinem Websitedienstleister. Dort habe man auf eine Phishing-Mail verwiesen. Dennoch will der Inhaber die Sache ernst nehmen und Kolleg:innen warnen. „Vielleicht denken manche, dass sie schnell die 100 Euro zahlen und damit das kleinere Übel eingehen“, sagt er. Auffällig ist, dass der Mann aus Bosnien und Herzegowina auf der Apotheken-Website gewesen sein soll. Zudem sei die Zahlungsfrist sehr kurz.

Hinweise auf neue Abmahnwelle

Beim Verband verwies man ihn an seinen Datenschutzbeauftragten. „Einzelne Hinweise auf diese neue Welle sind just heute bei uns in der Geschäftsstelle angekommen“, sagt eine Verbandsprecherin. Bereits in den vergangenen Wochen seien Informationen über Abmahnungen mit der Aufforderung einer Unterlassungserklärung eingegangen. „Im Zusammenhang mit solchen Vorfällen bitten wir unsere Mitglieder, ihren Webseiten-Dienstleister und ihren Datenschutzbeauftragten zu kontaktieren. Ferner bitten wir darum, auch uns zu informieren, sodass wir die weiteren Schritte prüfen können.“

Der AVWL warnte erst Ende Juli vor Abmahnungen wegen der Verwendung von Google Fonts und/oder Google reCAPTCHA. Auch der Verband selbst sei betroffen, heißt es in einem Rundschreiben. Konkret abgemahnt würden Betreiber von Internetseiten, die diese interaktiven Verzeichnisse von Schriftarten und/oder Diensten zur Unterscheidung zwischen menschlichem und maschinellem beziehungsweise computergesteuertem Handeln eingebunden hätten.

Bei beiden Tools werde der Vorwurf erhoben, sie übermittelten personenbezogene Daten in die USA. Apotheken, die ebenfalls eine Abmahnung deshalb erhalten haben, sollen sich melden. „Nach eingehender rechtlicher Prüfung werden wir Ihnen dann mitteilen, ob und wenn ja, in welcher Weise auf die Abmahnung reagiert werden sollte“, heißt es weiter.

Auch die Industrie- und Handelskammer (IHK) Koblenz machte bereits auf Abmahnungen in diesem Zusammenhang aufmerksam. Mehrere Unternehmen hätten berichtet, dass sie von Personen wegen einer Datenschutz-Verletzung angeschrieben worden seien. Begründet werde die Forderung mit Verweis auf eine Entscheidung des Landgerichts München vom Januar 2022. Die IHK rät, über den Quellcode zu prüfen, ob auf der Website Webfonts verwendet werden, die automatisch IP-Adresse oder sonstige Daten weiterleiten. Webfonts müssen nicht von einem Server nachgeladen werden, sie könnten alternativ lokal auf dem eigenen Server gespeichert sein.