Haben Sie auch eine Abmahnung von Rechtsanwalt Mag. Marcus Hohenecker in der Rechtssache Eva Z erhalten?

Wir haben alle Beweise für erfolgsversprechende Gegenmaßnahmen.

Sachverhaltsdarstellung
bei der Staatsanwaltschaft Korneuburg

Der ORF hat gestern bereits darüber berichtet:

Unsere Kanzlei hat in der von Rechtsanwalt Mag. Marcus Hohenecker betrieben Rechtssache “Eva Z” bereits eine Sachverhaltsdarstellung bei der Staatsanwaltschaft und bei der Rechtsanwaltskammer Niederösterreich eingebracht. Die wichtigsten Fakten haben wir auf auf dieser Seite zusammengefasst.

Auf über 15 Seiten zeigen wir darin im Detail, dass der überwiegende Teil der Abmahnwelle mit hoher Wahrscheinlichkeit rein automatisiert abgewickelt wurde. Die Beweise indizieren, dass die Websites lediglich mit mehreren unterschiedlichen Softwareprodukten besucht wurden und daher kein Mensch in seinem Recht auf Datenschutz verletzt wurde.

Wir vertreten bereits deutlich über hundert MandantInnen. Die genaue Zahl können wir noch nicht nennen, da laufend neue Aufträge eintreffen und viele noch gar nicht aktenmäßig erfasst sind.

Samt Beweismitteln und den Unterlagen zum Privatbeteiligtenanschluss unserer MandantInnen wird die Starfanzeige weit über 1000 Seiten umfassen.

Rechtliche Schritte / Website-Checkjetzt beauftragen

Es gilt die Unschuldsvermutung

Nun ist es Aufgabe, der Staatsanwaltschaft Korneuburg und des Gerichtes, den Sachverhalt und die Beweise zu würdigen. Bis das Verfahren rechtskräftig abgeschlossen ist, gilt die Unschuldsvermutung.

Nächste Schritte

Beweise übermitteln

Herzlichen Dank an alle Websitebetreiber, Internetagenturen, Datenschutzbeauftragte und IT-Admins! Nur dank der von euch übermittelten Daten könnten wir eine geschlossene, dichte Beweiskette aufstellen.

Bitte sendet uns weitere Beweise wie Logfiles oder Aufforderungsschreiben, welche Ungereimtheiten enthalten. Wir sammeln, ordnen und senden alle Beweise an die Staatsanwaltschaft.

Rechtliche Schritte setzen

Wer eine Abmahnung erhalten hat, kann unsere Schritte zur Abwehr der Abmahnung gegen einen geringen Pauschalbetrag beauftragen.

Website kontrollieren

In jedem Fall ist eine umfassende datenschutzrechtliche Kontrolle der eigenen Website ratsam. Es geht nicht nur um Google Fonts.

Dazu bieten wir am Donnerstag, dem 1.9.2022, von 15:00 – 17:00 Uhr ein kostenloses Webinar via Linkedin Live und Teams. Datenschutzfreundlich ist keine Anmeldung erforderlich.

Zudem bieten wir einen persönlichen Check Ihrer Website.

Rechtliche Schritte / Website-Checkjetzt beauftragen

Beweise

Uns liegen folgende Beweise vor:

Auslesen von Branchenverzeichnissen

Es ist davon auszugehen, dass in einem ersten Schritt Branchenverzeichnisse, Vereinsverzeichnisse und andere öffentlich zugängliche Register ausgelesen wurden.

  1. Nur so ist erklärbar, dass z. B. in manchen Orten lückenlos alle Privatzimmervermieter, die auf der Website des Tourismusverbandes angeführt sind, ein Aufforderungsschreiben erhalten haben.
  2. Zudem existieren Aufforderungsschreiben, in welchen die alte, nicht mehr verwendete Webadresse verwendet wurde. Die alte Webadresse ist jedoch noch in einigen Branchenverzeichnissen enthalten und kann nur auf diesem Weg noch aufgefunden werden. Ruft man diese Webadresse auf, wird man automatisch auf die neue Webadresse weitergeleitet – was die im zweiten Schritt eingesetzte Software jedoch nicht protokolliert haben dürfte und daher wohl nicht aufgefallen ist.
  3. Zudem existieren AdressatInnen, welche zwei Aufforderungsschreiben für dieselbe Website erhalten haben, einmal für die alte, einmal für die neue Adresse.

Prüfung der Websites mittels Software

In einem zweiten Schritt wurde mittels Software die so gewonnenen Webadressen mittels Software aufgerufen.

  1. Es existieren Aufforderungsschreiben, welche im Text eine alte Webadresse anführen, während im Screenshot korrekt die neue Webadresse angeführt ist. Dies zeigt, dass der Wechsel auf die neue Webadresse nach dem Aufruf der alten Webadresse niemanden aufgefallen ist. Eine Software, welche nur die Seite aufrufen und das Vorhandensein des Dienstes Google Fonts prüfen soll, stört der Adresswechsel nicht weiter. Einem Menschen würde so etwas mit großer Wahrscheinlichkeit auffallen.
  2. Zudem liegen Logfiles von Websites vor. Diese Logfiles zeigen eindeutig, dass nur Basisdateien der jeweiligen Website aufgerufen wurden. Konkret wurde die Startseite „/“, die .css-Dateien und – sofern vorhanden – lokale Schriftdateien, z. B. .woff-Dateien, aufgerufen.
    Die Startseite „/“ enthält die HTML-Datei der Startseite, welche alle weiteren Informationen enthält bzw. auf alle Informationen verweist, welche zur Darstellung bzw. zur Funktion der Webseite notwendig sind.
    Die .css-Dateien (css = Cascading Stylesheet) enthalten Gestaltungsanweisungen für die Website wie Größe und Farbe von Elementen, aber auch die verwendeten Schriften.
    Wird der Dienst Google Fonts verwendet, dann wird dieser technisch ebenfalls über eine .css-Datei aufgerufen.
    Die teilweise geladen Schriftdateien zeigen, dass die verwendete Software auch testete, ob die Google-Fonts tatsächlich geladen wurden. Daher wurden die in manchen Fällen zusätzlich vorhandenen lokal installierten Schriftarten ebenso geladen. Die Schriftdateien von Google Fonts selbst sind in den Logdateien nicht ersichtlich, da die Schriften von Google-Fonts ja nicht vom lokalen Webserver der Website, von Google Servern geladen und dieser Vorgang daher nur dort protokolliert wird.
    Andere Dateien wurden gemäß den Logdateien nicht geladen. So wurden insbesondere keine Bilddateien oder Javascriptdateien geladen. Die Websites wären daher je nach Aufbau und Programmierung der Websites entweder zumindest bilderlos oder vollkommen unbrauchbar gewesen.
    Damit ist einerseits nachgewiesen, dass der Aufruf durch keinen Menschen mittels Webbrowser erfolgte. Einem Menschen wäre dies aufgefallen. Für eine Software war die Situation hingegen aufgrund der verringerten Datenmenge = Ladezeit ideal, um ihre eingeschränkte Aufgabe „Suche nach Websites mit Google Fonts“ effizient zur erledigen.
    Zudem ist damit nachgewiesen, dass die Screenshots in einem weiteren Durchgang gemacht wurden. Die Screenshots zeigen ja (bis auf interessante Ausnahmen) vollständig geladene Websites mit Bildern.
    Schlussendlich ist damit auch nachgewiesen, dass die Screenshots nicht mit der im Aufforderungsschreiben angegebenen IP-Adresse erstellt wurden. Wären die Screenshots nämlich mit derselben IP-Adresse erstellt worden, dann würden die Logdateien auch einen Besuch zeigen, bei welchem die Website vollständig geladen wurden.
    Das stellt auch ein starkes Indiz dafür da, dass die im Aufforderungsschreiben enthaltene Behauptung, Eva Z hätte mit dieser IP-Adresse die Websites besucht, unwahr ist.

Erstellung der Screenshots mittels Software

Die Screenshots wurden mittels einer weiteren Software erstellt.

  1. IT-Experten haben bei der Auswertung Ihrer Logfiles auf die IP-Adresse 176.9.20.86 festgestellt, welche Server mit der Software „Scrapy“ zuzuordnen sind. Diese Software dient zur Erstellung von Screenshots von Websites.
    Aufgrund des Umstandes, dass diese IP-Adresse bei zahlreichen AdressatInnen von RA Mag. Hohenecker aufgefunden wurde, ist davon auszugehen, dass die Screenshots auf diese Weise erstellt wurden.
  2. Ein Aufforderungsschreiben beinhaltet einen Screenshot der Website, welcher statt der eigentlichen Website nur eine „Access Forbidden“-Seite zeigt, welche mitteilt, dass die Website gar nicht zugänglich ist.
    Dies passierte deshalb, weil der Websitebetreiber einige bekannte Webcrawler via .htaccess-Datei von seiner Website aussperrte.
    Eine .htaccess-Datei ist eine Datei mit Anweisungen, welche Teile der Website zugänglich sind. Damit ist eine Website nicht nur für alle BesucherInnen, sondern auch selektiv je nach verwendeten User-Agent aussperrbar.
    Der User-Agent ist eine Information, welche viele Internetsoftwareprodukte beim Anruf einer Website an den Webserver übermitteln. Das ist nützlich, weil eine Website so z. B. auf bestimmte vorhandene oder nicht vorhandene Funktionen einer Software reagieren oder eben unerwünschte Useragents aussperren kann.
    Eine Software muss sich nicht an diese Anweisungen halten, sehr viele Softwareprodukte tun dies jedoch. So kann man z. B. festlegen, ob die Website von den Webcrawlern von Google besucht werden soll. Sperrt man Google aus, dann erscheint die Seite verlässlich nicht in der Google-Suche.
    Im konkreten Fall war zufällig der zur Erstellung der Screenshots verwendete Bot ausgesperrt. Daher zeigt der Screenshot lediglich „Access forbidden“.
    Dies ist der Software nicht aufgefallen, sie hat dementsprechend einen Screenshot der „Access forbidden“ Website des Webserver erstellt.
    Einem Menschen wäre dies aufgefallen – wenn er die Seite überhaupt gesehen hätte. Normale Webbrowser waren durch die .htaccess-Datei ja gerade nicht ausgesperrt. Daher hätte ein Mensch die normale Website und nicht die „Access forbidden“-Seite zu Gesicht bekommen. Daher ist damit auch nachgewiesen, dass der Screenshot durch keinen Menschen erstellt wurde.
    Die „Access forbidden“-Seite ruft zudem keine Google Fonts auf. Das beweist wiederum, dass die Analyse, ob die Website den Dienst Google Fonts verwendet, und die Erstellung des Screenshots in unterschiedlichen Durchläufen erstellt wurden. Dieser Durchlauf hätte ja keine Google Fonts ergeben.
  3. Ein Aufforderungsschreiben beinhaltet einen Screenshot der Website, welcher statt der eigentlichen Website nur eine Seite zeigt, welcher mitteilt, dass die Website im Wartungsmodus ist.
    Wenn sich eine Website im Wartungsmodus befindet, wird dies in der Regel durch einen spartanisch ausgestalteten Hinweis mitgeteilt.
    Auch dieser Umstand zeigt wiederrum, dass hier ein Webcrawler eingesetzt wurde. Ein Mensch würde nämlich keinen Screenshot anfertigen, wenn die Website tatsächlich nicht online ist.
    Die „Wartungsmodus“-Seite ruft keine Google Fonts auf. Das beweist wiederum, dass die Analyse, ob die Website den Dienst Google Fonts verwendet, und die Erstellung des Screenshots in unterschiedlichen Durchläufen erstellt wurde. Dieser Durchlauf hätte ja keine Google Fonts ergeben.
  4. Ein Aufforderungsschreiben beinhaltet einen Screenshot der Website, welcher statt der eigentlichen Website nur eine Seite des Internetproviders zeigt, welche mitteilt, dass die Domain zum Verkauf steht.
    Auch dies wäre einem Menschen aufgefallen.

Festzuhalten ist, dass durch die Verwendung einer auf einem Server in einem Rechenzentrum installierten Software denkunmöglich eine Verletzung des Datenschutzes von Eva Z stattfinden konnte.

Auslesen des Impressums mittels Software

Auch das Impressum wurde wohl mittels Software ausgelesen.

  1. Dazu wurde mit großer Wahrscheinlichkeit der netEstate Impressumscrawler verwendet. Auch dieser Crawler wurde wohl vom selben Server der Firma Hetzner ausgeführt.
  2. Es sind mehrere Fälle bekannt, in denen das Abmahnschreiben an den Fotografen/die Fotografin oder die Agentur gesendet wurde, weil diese im unteren Bereich des Impressums im Rahmen eines Copyrighthinweises angeführt waren.
    Auch kam es vor, das Orte und Postleitzahlen vermischt wurden, wenn mehrere Adressen im Impressum angeführt waren. Solche Fehler passieren einem Menschen, der die Adressen aus dem Impressum abschreibt/kopiert wohl kaum. Einem Webcrawler der nach einem bestimmten Muster sucht, kann dies jedoch leicht passieren.
    In einem Fall wurde bei der Adressierung des Aufforderungsschreiben statt „GmbH“ doppelt“ GmbH GmbH“ geschrieben. Ein Test hat ergeben, dass dieser Fehler bei der automatisierten Erhebung der Adresse aus dem Impressum mittels des netEstate Impressumscrawlers reproduzierbar ist. Dies weist die Verwendung dieser Software nach.
  3. Festzuhalten ist, dass durch die Verwendung einer auf einem Server in einem Rechenzentrum installierten Software denkunmöglich eine Verletzung des Datenschutzes von Eva Z stattfinden konnte.

Erstellung der Aufforderungsschreiben mittels Software

Auch die Aufforderungsschreiben wurden wohl automatisiert erstellt und nicht manuell kontrolliert.

  1. Wie bereits ausgeführt enthalten die Aufforderungsschreiben teils fast leere Screenshots, bei jeder menschlichen Kontrolle wäre die „große, nahezu inhaltsleere Fläche auf der ersten Seite (Vorderseite)“ des Schreibens unweigerlich aufgefallen.
  2. Es ist ein Fall bekannt, in dem RA Mag. Hohenecker ein Aufforderungsschreiben an ein rein schweizerisches Unternehmen richtete. Dieses hatte früher eine AT-Domain, welche seit der Übersiedlung in die Schweiz im Jahr 2017 auf die COM-Domain weitergeleitet ist. Die Websites des Unternehmens bietet die Leistung ausschließlich in Schweizer Franken an und ist auch sonst nicht auf die EU ausgerichtet. Damit ist die DSGVO auf dieses Unternehmen nicht anzuwenden. Das ist einfach ersichtlich, die Website besteht aus einer einzigen Seite.
  3. Daraus ergibt sich auch, dass sich RA Mag. Hohenecker weder mit dem Inhalt der Beweismittel auseinandergesetzt hat, noch seine Aufforderungsschreiben kontrolliert hat, sondern wohl vollständig in die Automatisierung eingebunden war.
  4. Soweit die von der Wirtschaftskammer Österreich geschätzten Fallzahlen auch nur annähernd richtig sind, wäre dies angesichts der nach den vorliegenden Informationen nicht umfangreichen Kanzleiinfrastruktur von RA Mag. Hohenecker anders auch gar nicht zu bewerkstelligen gewesen.
Rechtliche Schritte / Website-Checkjetzt beauftragen

Schlussfolgerungen

Aufgrund dieser Ausführungen ist jedenfalls anzunehmen, dass hinter der gesamten Abmahnwelle keine natürliche Person, sondern verschiedene automatisierte Prozesse stehen, mit deren Hilfe die Daten gewonnen wurden.

Auch wenn der Einsatz von Webcrawlern nicht per se unzulässig ist, so steht einem Webcrawler jedenfalls nicht das Recht auf Datenschutz zu. Die bewusste unrichtige Behauptung, es läge eine Datenschutzverletzung vor, obwohl hinter dem gesamten Prozess tatsächlich eine Software steht, wäre strafrechtlich relevant.

Ein gemeinsames Vorgehen liegt aufgrund der Beweise nahe. Zum einen indiziert dies die lückenlose Automatisierung vom ersten Aufruf der Websites bis zum Anwaltsschreiben. Zum anderen dürfte gemäß Medienberichten die Eva Z über ein gewisses IT-Know-how verfügen, während die datenschutzrechtliche Komponente von RA Mag. Hohenecker beigesteuert wurde.

Geht man von der Schätzung der Wirtschaftskammer Österreich aus, so ergibt sich bei der Annahme von 50.000 Aufforderungsschreiben eine versuchte Bereicherung in der Höhe eines geforderten Schadenersatzes von € 5.000.000,00 sowie eines Honorars in der Höhe von € 4.500.000,00, gesamt sohin € 9.500.000,00.

Rechtliche Schritte / Website-Checkjetzt beauftragen

Ablauf der Abmahnwelle

Die uns vorliegenden Beweise indizieren den folgenden Sachverhalt. Die endgültige Wertung obliegt jedoch ausschließlich der Staatsanwaltschaft Korneuburg und dem Gerichtes. Bis das Verfahren rechtskräftig abgeschlossen ist, gilt die Unschuldsvermutung.

(Sehr langer Textteil, beinhaltet den gesamten Ablauf. Wer den Fall schon kennt, scrollt besser nach unten. 🙂

Mag. Marcus Hohenecker ist österreichischer Rechtsanwalt und laut eigenen Angaben rechtsfreundlicher Vertreter von Eva Z. Eva Z ist nach Angaben des von RA Mag. Hohenecker eine „Dauermandantin“ von RA Mag. Hohenecker, laut Medienberichten und laut Anrufern in unserer Kanzlei hingegen seine Lebensgefährtin. In Wahrheit spielt dies jedoch keine Rolle.

RA Mag. Hohenecker übermittelte im Namen von Eva Z seit Juni dieses Jahres an zahlreiche österreichische, deutsche und schweizer Opfer Abmahnschreiben. Inhalt dieser Schreiben war eine angebliche Verletzung des Rechts auf den Schutz der personenbezogenen Daten von Eva Z. Die Opfer waren bunt gemischt Unternehmen jeder Größenordnung sowie Privatpersonen.

RA Mag. Hohenecker führt aus, dass Eva Z auf den in den jeweiligen Abmahnschreiben betroffenen Websites surfte und diese Websites dabei die IP-Adresse von Eva Z ohne die erforderliche Einwilligung von Eva Z an den US-Dienst Google Fonts übermittelt hätten.

RA Mag. Hohenecker forderte von den Opfern die Zahlung eines Schadenersatzes gemäß DSGVO in der Höhe von € 100,00 für das erlittene Unwohlsein von Eva Z sowie € 90,00 für das notwendige Einschreiten von RA Mag. Hohenecker. Damit wären der Unterlassungsanspruch und der Auskunftsanspruch mit abgegolten.

Für den Fall der Nichterfüllung der Forderung kündigte RA Mag. Hohenecker ein Bestehen auf den Auskunftsanspruch, eine Beschwerde bei der Datenschutzbehörde sowie eine Klage auf Unterlassung und Schadenersatz, sohin durchaus aufwendige, teure und damit bedrohliche Folgen an.

Hebel für die Forderungen war ganz klar die nach der wohl überwiegenden Meinung tatsächlich bestehende Datenschutzwidrigkeit der Website hinsichtlich der Verwendung des US-Dienstes Google Fonts.

Dazu ist festzuhalten, dass die meisten der angeschriebenen Websites tatsächlich den Dienst Google Fonts des US-Konzerns Alphabet Inc. genutzt haben. Dieser Dienst ist laut der wohl überwiegenden Rechtsansicht tatsächlich datenschutzwidrig, da dadurch die IP-Adresse der betroffenen InternetbenutzerInnen tatsächlich an Google übermittelt. IP-Adressen stellen laut der Entscheidung des EuGH personenbezogene Daten dar. Die USA ist ein Drittstaat, welcher seit der Aufhebung des „Privacy Shields“ durch den EuGH über keinen Angemessenheitsbeschluss mehr verfügt. Ein Datenexport in einen Drittstaat ohne Angemessenheitsbeschluss ist bei einem Dienst wie Google Fonts daher nur mit Einwilligung der betroffenen InternetnutzerInnen denkbar. Eine derartige Einwilligung wurde auf den uns bekannten Websites, welche tatsächlich Google Fonts verwendet haben, nicht eingeholt. (Das ist technisch auch nicht sinnvoll möglich, da die Einwilligung faktisch vor dem Laden der Schriftarten erfolgen müsste.)

Die Verwendung von Google Fonts stellt daher wohl tatsächlich eine Datenschutzwidrigkeit dar, welche bei Besuch der Website durch einen Menschen zu einer Verletzung des Rechts auf Datenschutz dieses Menschen führt. Die Österreichische Datenschutzbehörde hat zwischenzeitig aufgrund der Abmahnwelle eine amtswegige Prüfung zur endgültigen Klärung dieser Frage eingeleitet.

Betroffene, die in ihrem Recht auf Datenschutz verletzt wurden, haben grundsätzlich unter anderem die geltend gemachten Ansprüche auf Schadenersatz, Auskunft und Unterlassung. Die Ansprüche auf Schadenersatz und Auskunft ergeben sich direkt aus der DSGVO, der Anspruch auf Unterlassung ist der DSGVO fremd, jedoch im allgemeinen Persönlichkeitsrecht verankert.

Daher wäre die Geltendmachung von Rechten einer Betroffenen, deren IP-Adresse zu Google Fonts übermittelt wurden, daher grundsätzlich zulässig und kein Grund für eine Sachverhaltsdarstellung an die Staatsanwaltschaft.

Selbst eine sehr hohe Zahl an Abmahnungen wäre wohl zulässig, wenn tatsächlich reale Datenschutzverletzungen betrieben werden. (Daher raten wir auch jedem, seine Website vollkommen datenschutzkonform zu gestalten. Der nächste Abmahner wird reale Fälle betreiben.)

Einerseits ist die Informationsaufnahme im Internet durch das Grundrecht der Informationsfreiheit grundrechtlich geschützt. Andererseits werden InternetnutzerInnen auf der Mehrzahl der Websites durch vollkommen datenschutzwidrige oder datenschutzwidrig implementierte Dienste in ihrem Recht auf Datenschutz verletzt. Wenn betroffene InternetnutzerInnen sich nach dem Motto „jetzt erst Recht“ dadurch nicht von der Informationsaufnahme abbringen lassen und sich gegen viele zur Wehr setzen ist dies grundsätzlich nicht zu kritisieren.

Ebenso wenig ist die Betreibung einer hohen Anzahl an Abmahnungen durch RechtsanwältInnen zu kritisieren. § 9 RAO verpflichtet RechtsanwältInnen die Rechte ihrer MandantInnen gegen jedermann mit Eifer, Treue und Gewissenhaftigkeit zu vertreten. Davon sind auch rechtliche Schritte gegen eine hohe Zahl an RechtsverletzerInnen umfasst, wenn die hohe Anzahl an Rechtsverletzungen auch tatsächlich vorliegt – und genau das ist wohl nicht der Fall gewesen.

Die Abmahnwelle von Eva Z startete im Juni 2022 mit wenigen Aufforderungsschreiben.

Am Anfang der Abmahnwelle dürfte Eva Z die Websites noch tatsächlich persönlich über einen Webbrowser geöffnet haben. Dies ergibt sich aus einem bekannten Fall, in dem in einem Logfile im Juni 2022 unter der im Aufforderungsschreiben angebenden IP-Adresse ein vollständiger Aufruf der Website protokolliert ist, so wie dies bei einem Aufruf durch einen Menschen mittels Browser der Fall ist. (Dazu später mehr.)

Das persönliche Öffnen der Websites mittels Browser führt durch die grundsätzlich tatsächlich vorliegende Datenschutzwidrigkeit der Websites zu einer individuellen, rechtlich bekämpfbaren Rechtsverletzung von Eva Z.

(Fraglich ist dabei maximal, ob Eva Z dabei wirklich unwohl war und ob daher ein Schadenersatzanspruch entstanden ist.)

Die ersten Aufforderungsschreiben dürften erfolgreich gewesen sein. Aufgrund der sehr klaren Rechtslage und des Fehlens von Indizien für einen Rechtsmissbrauch oder gar einer strafrechtswidrigen Vorgehensweise werden zum damaligen Zeitpunkt die meisten RechtsanwältInnen zur Zahlung geraten haben. Dies insbesondere auch aufgrund des sehr geschickt gewählten Verhältnisses zwischen der geringen Summe von € 190,00 einerseits und dem im Vergleich drohenden massiv großen Ungemach im Fall einer Nichterfüllung. Die angedrohten Folgen sind im Vergleich nämlich wie folgt zu bewerten:

Auskunftserteilung selbst bei Kleinstunternehmen mindestens 2 – 4 Stunden

Auswertung durch externes IT-Unternehmens circa € 250,00 – 500,00 netto
Ausformulierung durch eine RechtsanwältIn circa € 700,00 netto

Verfahren bei der Datenschutzbehörde

Kosten der Beschwerde

Beschwerde bei der Datenschutzbehörde (BMG 17.600,00): € 1.113,60

Klage auf Unterlassung und Schadenersatz

Selbst bei sofortigem Anerkenntnis, also wenn man sofort aufgibt:

Pauschalgebühr bei Streitwert € 6.100: € 335,00
Klage inkl. Einheitssatz: € 572,3
ERV-Kosten € 4,10

Bei einer sorgfältigen Risikoabwägung lautete daher der einzige sinnvolle Rat, der Aufforderung nachzugeben und zu bezahlen sowie die Website sofort datenschutzkonform zu gestalten. Soweit die Zweitbeklagte die Websites persönlich geöffnet hatte, erfolgte die Zahlung auch zu Recht.

Im August 2022 eskalierte die Abmahnwelle. Die Zahl der versendeten Aufforderungsschreiben betrug dann gemäß Auskunft der Wirtschaftskammer Österreich nach deren Einschätzung wohl 50.000 Stück.

Dies scheint aus Sicht der Rechtvertreterin der Einschreiterin realistisch – alleine ihre Website verzeichnete auf jenen Seiten, die den Fall behandeln, 25.000 Zugriffe innerhalb von 3 Tagen.

Ab der KW 33 wurden die Aufforderungsschreiben umfangreich öffentlich diskutiert.

In der KW 34 erhielt die Rechtsvertreterin der Einschreiterin erste Informationen, dass aus den Logfiles einiger betroffener Websites erkennbar wäre, dass unter der angegebenen IP-Adresse in Wahrheit kein menschlicher Aufruf der Website mittels eines Webbrowsers, sondern nur vollautomatisierte Aufrufe mittels einer Software (Webcrawler / Bot) stattgefunden hätten.

Die Rechtsvertreterin der Einschreiterin richtete daraufhin an zahlreiche RechtanwältInnen österreichweit ein Informationsschreiben und startete einen Aufruf an WebsitebetreiberInnen, mit der Bitte um Übermittlung von Informationen zu dem Fall.

Die erhaltenen Informationen indizieren mittlerweile ein Bild, welches den Verdacht nahelegt, dass die gesamte Abmahnung vom ersten Aufruf der Website bis hin zur Erstellung des anwaltlichen Abmahnschreibens vollautomatisiert mittels Software erstellt wurde.

Eine Software ist keine natürliche Person, sondern eine Sache, und verfügt dementsprechend über kein Recht auf Datenschutz. Damit würden die Ansprüche eindeutig nicht mehr zu Recht bestehen.

Damit hätte sich zumindest Eva Z in den Bereich der Illegalität begeben.

Die vorliegenden Beweise indizieren einen ausgeklügelten Tatplan, mit dem voll automatisiert unter Einsatz verschiedener Softwareprodukte 1. eine Vielzahl von Websites gescannt wurden, 2. datenschutzwidrige Websites, welche den Dienst Google Fonts nutzten, identifiziert wurden, 3. mittels Screenshots der Beweis der Datenschutzwidrigkeit gesichert wurde, 4. die Adressdaten für das Aufforderungsschreiben aus dem Impressum ausgelesen wurden und 5. die Aufforderungsschreiben erstellt wurden.

In der gesamten Kette scheint weder ein manueller Zugriff auf die Websites noch eine inhaltliche Kontrolle der erzielten Ergebnisse erfolgt zu sein. Auch nicht durch RA Mag. Hohenecker, dessen Kanzlei in die vollautomatisierte Abarbeitung wohl eingebunden war und dementsprechend Schreiben mit für jeden Menschen im Fall einer Kontrolle offensichtlichen, ein Drittel der Seite einnehmenden, am ersten Blick unübersehbar erkennbaren Fehlern auf der Seite 1 versendete.

Die Abstellung bloßer Datenschutzwidrigkeiten ohne individuelle Auswirkungen auf konkrete MandantInnen obliegt jedoch nicht der Rechtsanwaltschaft, sondern der Datenschutzbehörde in amtswegigen oder angeregten Prüfverfahren.

Ist der aus den Beweisen entstehende Verdacht korrekt, dann haben Eva Z und RA Mag. Hohenecker die so gefundenen Datenschutzwidrigkeiten verwendet, um eine Verletzung der Datenschutzverletzung dvon Eva Z vorzutäuschen und um mit einem aufwendigen Auskunftsbegehren, einer Anzeige bei der Datenschutzbehörde und einer Unterlassungs- und Schadenersatzklage zu drohen, um so je € 100,00 angeblichen Schadenersatz für Eva Z und € 90,00 angebliche Kosten der zweckentsprechenden Rechtsverfolgung für RA Mag. Hohenecker zu lukrieren.

Rechtliche Schritte / Website-Checkjetzt beauftragen

So setzen Sie sich zur Wehr

Wir empfehlen folgende Vorgehensweise:

Rechtliche Schritte

Rechtsanwalt Mag. Hohenecker hat in einem Interview in der Zeitung “Der Standard” mitgeteilt, dass er zwar einerseits keine neuen Schreiben mehr versendet, aber dass die alten Schreiben ihre Gültigkeit behalten. Zudem bezahlt er die bereits erhaltenen Zahlungen nicht zurück.

Wir gehen davon aus, dass Frau Eva Z und Rechtsanwalt Mag. Hohenecker keine Schritte mehr setzen werden und daher weder eine Zahlung noch die Beantwortung des Auskunftsbegehrens notwendig ist.

Unsere Mandanten setzen sich dennoch zur Wehr, weil Sie sich die Sache nicht gefallen lassen wollen.

Die konkreten Maßnahmen

Wir bringen für unsere Mandanten daher folgende Gegenmaßnahmen ein:

Erteilung der Auskunft?

Die Erteilung der Auskunft über die von Ihnen zu der IP-Adresse verarbeiteten Daten ist nicht Bestandteil der beauftragten Gegenmaßnahmen. Einerseits sind wir der Ansicht, dass das Auskunftsbegehren nicht zu Recht besteht, andererseits kann die Erteilung der Auskunft sehr individuell und aufwendig sein, sodass bloß für die rechtliche Kontrolle einer (umfangreicheren) Auskunft leicht hunderte Euro anfallen können.

Wir können Ihnen dazu dennoch zwei Lösungsmöglichkeiten als kostenlosen Zusatz zu dem gebuchten Paket anbieten:

1. Abgabe einer Negativauskunft
Wenn Sie auf Ihrem Webserver und in Ihrem IT-System keine Daten zu der im Schreiben angegeben IP-Adresse bzw. zum Namen „Eva Zajaczkowska“ auffinden können, dann geben wir in Ihrem Namen folgende Auskunft ab:
„Es werden keine personenbezogene Daten Ihrer Mandantin verarbeitet.“

2. Verweigerung der Auskunft
Unserer Ansicht nach besteht auch die Möglichkeit zur Verweigerung der Auskunft. Auch die Österreichische Datenschutzbehörde weist im Zusammenhang mit ihren Informationen zur aktuellen Abmahnwelle auf diese Möglichkeit hin – allerdings naturgemäß ohne Festlegung, ob diese Möglichkeit im Einzelfall zulässig ist.
Diese Möglichkeit ist in der DSGVO vorgesehen, allerdings gibt es zur Verweigerung der Auskunft aufgrund von Massenabmahnungen keine Rechtsprechung und auch keine Erwähnung in der rechtlichen Literatur. Diese Möglichkeit birgt daher Restrisiken. Die Möglichkeit 1 (sowie die im Rahmen unseres Pakets nicht umfasste Möglichkeit einer umfangreichen Auskunft aufgrund der Verarbeitung von zahlreichen Daten von Frau Eva Zajaczkowska) sind daher die sichereren Möglichkeiten.
Wenn Sie die Verweigerung der Auskunft wünschen, dann geben wir in Ihrem Namen folgende Erklärung ab:
Art 12 Abs 5 DSGVO lautet: Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder a) ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder b) sich weigern, aufgrund des Antrags tätig zu werden.
Es ist bekannt, dass Ihre Mandantin tausende Unternehmen aus Branchenverzeichnissen ausgelesen hat. Diesen tausenden Unternehmen hat Ihre Mandantin in weiterer Folge einen Antrag auf Auskunft übermittelt. Darunter beispielsweise alle Privatzimmervermieter einer Tiroler Gemeinde, weil deren Websites zentral über den Tourismusverband abrufbar waren. Bis dahin hatte weder Ihre Mandantin zu diesen Unternehmen einen Bezug, noch hatten diese Unternehmen einen Bezug zu Ihrer Mandantin. Eine Verarbeitung der personenbezogenen Daten Ihrer Mandantin war daher bei den Adressaten Ihrer Aufforderungsschreiben nicht im Geringsten zu erwarten.
Wie die Formulierung „insbesondere“ in Art 12 Abs 5 DSGVO zeigt, ist der exzessive Charakter von Anträgen von Betroffenen nicht auf die zahlreiche Wiederholung des Auskunftsersuchens (bei ein und demselben Verantwortlichen) beschränkt. Die Vorgehensweise Ihrer Mandantin ist eindeutig ebenfalls als exzessiv zu werten. Das blinde Anschreiben von tausenden Unternehmen ist von der DSGVO zweifellos nicht gedeckt.
Zur Erfüllung unserer Rechenschaftspflicht teilt unsere Mandantschaft daher Ihrer Mandantin mit, dass unsere Mandantschaft die Auskunft aus oben genannten Gründen verweigert bzw. nur gegen ein angemessenes Entgelt in der Höhe von € 10,00 anbietet.“

Das Entgelt in der Höhe von € 10,00 deckt zweifelsfrei nicht die tatsächlichen Kosten einer Auskunftserteilung ab. Der Sinn dieser niedrigen Summe liegt darin, für den Fall vorzusorgen, dass trotz des exzessiven Charakters des Auskunftsantrages tatsächlich ein berechtigtes rechtliches Interesse im Einzelfall bestehen könnte. In diesem Fall stellt die geringe Summe von nur € 10,00 für die betroffene Person im sinnvollen Einzelfall kein Hindernis, in Anbetracht der missbräuchlichen Vorgangsweise jedoch einen sinnvollen Filter dar. So werden die Rechte der betroffenen Person selbst in Anbetracht ihrer exzessiven Vorgangsweise bestmöglich gewahrt.

Kosten

Sie können diese Maßnahmen direkt online beauftragen.

Rechtsanwalt Peter Harlander Peter Harlander
Harlander & Partner Rechtsanwälte
"Aufgrund der aktuellen Situation haben wir ein Angebot, dass auch für Kleinstunternehmen leistbar ist."

Wir gehen eher nicht davon aus, dass wir unser Honorar bei der Gegenseite einbringlich machen können. Dennoch wollen wir gerade die vielen kleinen betroffenen UnternehmerInnen und Vereine unterstützen. Daher deckeln wir aufgrund der besonderen Situation im Fall unsere Kosten, für den Fall, dass die Gegner aufgrund der oben beschriebenen Maßnahmen nicht bezahlen, ausnahmsweise auf € 50,00 zzgl. 20 % USt.

Gegenmaßnahmenjetzt beauftragen

Website-Check

Die Verwendung von Google Fonts ist ja tatsächlich datenschutzwidrig – und in der Regel das kleinste Problem auf der Website. Mit einem bloßen Ausbau der Google Fonts ist es daher nicht getan.

Auch wenn der aktuelle Fall gut ausgegangen ist – der nächste Abmahner wird die Sache schlauer angehen.

Häufige Fehler sind rechtswidrige Consent Management Systeme (Cookie Banner), Analyse-Tools, Convertion-Tracking-Tools oder Embeddings (Youtube, Google Maps, Google Recaptcha) sowie veraltete Datenschutzerklärungen.

Unsere auf IT-, Internet- und Datenschutzrecht spezialisierte Kanzlei bietet einen umfassenden datenschutzrechtlichen Website-Check an, der Sie vor Abmahnung zuverlässig schützt:

EUR 290,00 zzgl. 20 % USt. für USt.-befreite KleinunternehmerInnen
EUR 490,00 zzgl. 20 % USt. für alle andere
Preise gelten für “einfache” Websites. Preise für Portale und andere umfangreiche Websites und Webshops auf Anfrage.

Website-Checkjetzt beauftragen

Kostenloses Webinar – jetzt als Video ansehen

Rechtsanwalt Peter Harlander gibt leicht umsetzbare Tipps zur datenschutzkonformen Gestaltung von Websites:

Jetzt kostenlos auf Linkedin als Video ansehen.

Jetzt beauftragen

Unsere Leistungen sind rein auf Unternehmen, Vereine und Körperschaften öffentlichen Rechts ausgerichtet und können daher von Konsumenten nicht gebucht werden.

Auftragsinhalt
Bitte treffen Sie Ihre Auswahl

Hiermit beauftrage die ausgewählten Leistungen. Ich bestätige, dass der Auftrag durch ein Unternehmen, Verein oder eine Körperschaft öffentlichen Rechts erfolgt. Es gelten die Allgemeinen Vollmachts- und Auftragsbedingungen.

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Ihre Ansprechpartner