Ein Berliner Anwalt und sein Mandant stehen unter Verdacht des versuchten Abmahnbetruges wegen Google Fonts-Nutzung und versuchter Erpressung
Gegen einen 53‑jährigen Rechtsanwalt mit Kanzleisitz in Berlin und dessen 41‑jährigen Mandanten, dem vermeintlichen Repräsentanten einer „IG Datenschutz“ erfolgten Ermittlungen. Das Duo muss sich nun wegen Vorwürfen zu einem Verdacht des versuchten Abmahnbetruges und einer versuchten Erpressung in mindestens 2.418 Fällen verantworten. Ziele ihrer Abmahnungen waren kleine Unternehmen, die auf ihren Websites eine Google-Schrift, Google Fonts, verwendeten. Darüber berichtete die Generalstaatsanwaltschaft Berlin in einer Pressemitteilung.
Die Polizei hat am Mittwochmorgen im Auftrag der Staatsanwaltschaft Berlin Durchsuchungsbeschlüsse sowie zwei Arrestbeschlüsse mit einer Gesamtsumme vom 346.000 Euro vollstreckt. Zum einen betraf dies die Rechtsanwaltskanzlei von Abmahnanwalt Kilian Lenard in Berlin-Mitte. Zum anderen durchleuchteten die Ermittler drei weitere Objekte in Ratzeburg, Hannover und Baden-Baden, darunter das des Mandanten Martin Ismail.
Die Beamten beschlagnahmten dabei zahlreiche Beweismittel, darunter Unterlagen und Datenträger. Sie erhoffen sich davon Aufklärung bezüglich „Anzahl, Auswahlkriterien und Identität, die tatsächlichen Umsätze und die genaue Vorgehensweise“.
Im Rahmen ihres Betruges sollen die Beschuldigten laut Staatsanwaltschaft:
„bundesweit Privatpersonen und Kleingewerbetreibende, die auf Ihren Homepages sog. Google Fonts – ein interaktives Verzeichnis mit über 1.400 Schriftarten, die das Schriftbild einer Webseite bestimmen – eingesetzt haben, per Anwaltsschreiben abgemahnt haben. Zugleich wurde diesen angeboten, ein Zivilverfahren gegen Zahlung einer Vergleichssumme in Höhe von jeweils 170 Euro vermeiden zu können.
Dass die behaupteten Schmerzensgeldforderungen wegen Verletzung des Rechts auf informationelle Selbstbestimmung nicht bestanden, soll den Beschuldigten dabei bewusst gewesen sein. Entsprechend sollen sie auch gewusst haben, dass für die Angeschriebenen kein Anlass für einen entsprechenden Vergleich bestand, da sie die angeblichen Forderungen gerichtlich nicht hätten durchsetzen können. Die Androhung eines Gerichtsverfahrens soll daher tatsächlich nur mit dem Ziel erfolgt sein, die Vergleichsbereitschaft zu wecken.“
Die Google-Schriftarten umfassen eine Bibliothek mit 1474 Open-Source-Schriftfamilien und APIs zur bequemen Verwendung über CSS und Android. Die Bibliothek ist frei verfügbar. Alle Google Fonts sind Open Source und kostenlos. Deren Einbindung ermöglicht eine Textdarstellung auf Websites. Die Fonts erfordern keine Bereitstellung auf dem eigenen Server. Vielmehr lädt sie der Website-Besucher mit seinem Browser direkt von Google-Servern. Bei dem Vorgang erfolgt allerdings eine Weiterleitung von Nutzerdaten wie die IP-Adresse an Google.
Betrugsmasche gründet auf Urteil des LG München
Ein Urteil des Landgerichts München (Az.: 3 O 17493/20) war mit seiner Entscheidung vom 20. Januar 2022 Auslöser der Abmahnwelle. Auch Lenards Abmahnungen gründeten darauf. Das Gericht stellte fest, dass eine Google Fonts-Integration auf Websites dynamischen IP-Adressen von Nutzern an Googles Server in den USA übermittelt.
Da dies ohne Kenntnis und Einwilligung der User stattfindet, liege ein Verstoß gegen die Datenschutzgrundverordnung vor. Das LG München sah es als erwiesen an, dass der Kläger einen Kontrollverlust über seine personenbezogenen Daten erlitten habe. Man kann davon ausgehen, dass Daten außerhalb der EU nicht in dem Maß geschützt sind wie hierzulande. Dies hätte ein „individuelles Unwohlsein“ zur Folge. Demgemäß sprach das Gericht ihm einen Schadenersatz zu.
Automatisierte Suche nach Google Fonts lässt reale Person vermissen
Sich auf genau das Urteil berufend, verfolgten Lenard und sein Mandant Ismail eine Strategie. Sie nutzten dafür selbst programmierte Software, um Websites aufzuspüren, die Google Fonts verwenden. Diese Websitebesuche protokollierten und trackten sie anschließend. Sie dienten im Anschluss als Grundlage ihrer Abmahnungen wegen angeblicher datenschutzrechtlicher Verstöße und der Geltendmachung von Schadensersatzansprüchen.
Seit Sommer 2022 war das Duo mit der Masche unterwegs, wobei die Beschudigten irrtümlich vorgaben, dass eine reale Person auf der Website unterwegs war, nicht aber ein Programm diese aufspürte. Wie die Staatsanwaltschaft diesbezüglich feststellt, läge mangels Person jedoch keine Verletzung eines Persönlichkeitsrechts vor.
„Da sie diese Besuche außerdem bewusst vorgenommen haben sollen, um die IP‑Adressen‑Weitergabe in die USA auszulösen, hätten sie faktisch auch in die Übermittlung eingewilligt, so dass eben gerade kein datenschutzrechtlicher Verstoß mehr gegeben war, der eine Abmahnung hätte begründen können. In einigen Fällen soll zudem überhaupt keine Datenübermittlung in die USA erfolgt, ein darauf basierender Anspruch aber trotzdem geltend gemacht worden sein.“
Mit ihrer Masche hätte das Duo bereits 346.000 Euro von Internetseiten-Betreibern, Privatpersonen und Kleingewerbetreibende, wegen der Einbindung von Google Fonts eingenommen. Die Berliner Staatsanwaltschaft geht von mindestens 2.418 Fällen aus, in denen etwa 2.000 abgemahnte Personen die geforderten 170 Euro überwiesen.
Sie nahmen das Vergleichsangebot an und zahlten „aus Sorge vor einem Zivilverfahren und in der unzutreffenden Annahme, der behauptete Anspruch bestünde tatsächlich“. Zirka 420 der abgemahnten Webseitenbetreiber gingen hingegen keineswegs darauf ein, sondern stellten stattdessen Strafanzeige.