Search…

X3 Photo Gallery Support Forums

Search…
 
alfie
Topic Author
Posts: 9
Joined: 26 Jan 2011, 11:31

admonition letter about data privacy breach

26 Jul 2022, 08:47

Hello,
I got 2 days ago a letter from an attorney tha says that my imagevue x3 bases website would provided the visitor IP to google while loading and before asking for sharing privilege. It says something about a google font that would be preloaded that shares every user IP to google before admiting into sharing.

Is this a new kind of scam or is this a seriuos problem that should be worked on and solved asap?

here is the link to my website:
https://lightshades.de

whole Mail here:

Sehr geehrter Herr Stolz,

ich verstehe, dass wir alle Schreiben bekommen, die „Spam“ sind – dieses Schreiben ist kein Spam, nehmen Sie es bitte ernst, deswegen schreibe ich Sie ja auch persönlich an.

Am 24.07.2022 habe ich Ihre Internetseite www.lightshades.de besucht und musste leider feststellen, dass Ihre Homepage eine Schriftart von Google Fonts ohne meine Zustimmung von deren Server lädt.

In technischer Hinsicht wird diese Schrift bereits bei Google abgerufen, wenn sich Ihre Internetseite aufbaut und bevor mir überhaupt die Möglichkeit gegeben ist, in eine entsprechende Datennutzung einzuwilligen. Dabei wird auch meine IP-Adresse automatisch bereits beim Laden der Webseite an Google und deren Server übermittelt und Google ist in der Lage, mich zumindest teilweise zu identifizieren und auch meinen Verlauf nachzuvollziehen.

Einverstanden war ich hiermit nicht, im Gegenteil! Laut DSGVO ist diese Art der Übermittlung meiner IP-Adresse ohne meine Zustimmung nicht zulässig und wird völlig zu Recht seit längerem in der Fachpresse angeprangert. Denn Google Fonts kann auch genutzt werden, ohne (!) dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google (in den USA allzumal) stattfindet.

So, wie es auf Ihrer Internetseite geschieht, ärgere ich mich maßlos über die unnötige Datenschleuderei, die ich nicht kontrollieren kann. Personenbezogene Daten werden Google erreichen, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und in einem Land resisidiert, in dem kein angemessenes Datenschutzniveau gegeben ist. Und das, ich betone es nochmals, auch noch völlig unnötig und bevor überhaupt die Möglichkeit gegeben ist, in eine entsprechende Datennutzung einzuwilligen oder nicht.

Das Landgericht München I hat kürzlich in einem solchen Fall mit deutlichen Worten eine klare Verletzung des Rechts auf informationelle Selbstbestimmung und des Persönlichkeitsrechts bejaht und folgendes Urteil gesprochen:

„1. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise Ordnungshaft oder Ordnungshaft bis zu sechs Monaten zu unterlassen, bei einem Aufruf einer von der Beklagten betriebenen Internetseite durch den Kläger dessen IP-Adresse durch Bereitstellung einer Schriftart des Anbieters Google (Google Fonts) dem Anbieter dieser Schriftart offenzulegen.
2. Die Beklagte wird verurteilt, dem Kläger Auskunft zu erteilen, ob den Kläger betreffende personenbezogene Daten verarbeitet werden, sowie gegebenenfalls Auskunft zu erteilen, welche personenbezogenen Daten über den Kläger gespeichert werden.
3. Die Beklagte wird verurteilt, an den Kläger 100,00 € zuzüglich Zinsen hieraus in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem
28.01.2021 zu bezahlen.“

(LG München I, Endurteil vom 20.01.2022 – 3 O 17493/20, abrufbar über https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2022-N-612).


Bitte unterlassen Sie es also unverzüglich, bei einem Aufruf Ihrer Internetseite meine IP-Adresse durch Bereitstellung einer Schriftart des Anbieters Google (Google Fonts) dem Anbieter dieser Schriftart offenzulegen, wie oben angegeben geschehen. Daneben bitte ich Sie zum Ausgleich meines immateriellen Schadens bis spätestens

05.08.2022

100 Euro an mich zu überweisen: Konto Susanne Schober, IBAN: DE86500105175438287836 BIC: INGDDEFFXXX

Mit fristgerechter Zahlung sehe ich die Angelegenheit für mich als erledigt an und gehe davon aus, dass Sie den Datenschutzverstoß in eigenem Interesse beenden. Wenn Sie das klar ausdrücken möchten, geben Sie bitte bei der Überweisung an:
Meldung Datenschutzverstoß auf lightshades.de - Frist bis 05.08.2022 - Schreiben Fr. Schober damit erledigt.

Andernfalls, halte ich mich nicht mehr an dieses Angebot gebunden und werde einen Anwalt zu Rate ziehen. Ich befürchte, dass es dann zu weiterem zu ersetzendem Schaden und Kosten kommt und muss mir auch anderes Vorgehen offenhalten. Dies alles würde ich gerne vermeiden, mir geht es um ein ernsthaftes Zeichen, dass Sie den Datenschutz ernstnehmen.

Bitte sehen Sie es als Gelegenheit für Sie an, sich nicht nur mir gegenüber verantwortlich zu zeigen und meine Rechte zu akzeptieren, sondern vielmehr zügig und ohne umfangreiche Bürokratie einen offensichtlichen, allseits bekannten und völlig unnötigen Fehler in Ihrem Internetauftritt abzustellen.


Ich kann verstehen, dass dieses Schreiben und die technischen Hintergründe Sie möglicherweise unvorbereitet trifft. Oft ist der erste Ansprechpartner bei einer Webseite der Webentwickler. Sie können das Laden der Schrift vom Google Server auf Ihrer Webseite aber auch in wenigen Schritten selbst nachvollziehen. Je nachdem, welchen Internetbrowser Sie in welcher Version nutzen, sind die Wege hierfür unterschiedlich:

Google Chrome / Microsoft Edge:
1. Öffnen Sie Chrome
2. Klicken Sie rechts oben auf die drei Punkte
3. Klicken Sie "Neues Inkognitofenster / Neues InPrivate-Fenster"
4. Klicken Sie mit der rechten Maustaste mittig in das Fenster
5. Klicken Sie auf "Untersuchen"
6. Es öffnet sich rechts oder unten die Entwicklerleiste
7. Klicken Sie in der Entwicklerleiste auf "Quellen / Sources"
8. Öffnen Sie ganz oben in der Adressleiste Ihre Webseite
9. Nun sehen Sie im linken Bereich der Entwicklerleiste die Google Domain „fonts.googleapis.com / fonts.gstatic.com“

Apple Safari:
1. Öffnen Sie Safari
2. Klicken Sie links oben auf "Safari"
3. Klicken Sie auf "Einstellungen"
4. Klicken Sie in den Einstellungen auf "Erweitert"
5. Setzen Sie ganz unten den Haken bei "Menü Entwickler in der Menüleiste anzeigen"
6. Schließen Sie das Fenster Einstellungen links oben mit dem roten X
7. Öffnen Sie nun in Safari Ihre Webseite
8. Klicken Sie oben auf "Entwickler"
9. Klicken Sie in der Mitte auf "Seitenquelltext einblenden / Show Page Source"
10. Es öffnet sich rechts oder unten die Entwicklerleiste
11. Klicken Sie in der Entwicklerleiste auf "Quellen / Sources"
12. Klicken Sie links "Nach Pfad / Sort by Path"
13. Nun sehen in der Entwicklerleiste die Google Domain „fonts.googleapis.com / fonts.gstatic.com“

Mit freundlichen Grüßen

Susanne Schober
Kronstadter Str. 4
81677 München

Datum: 24.07.2022
 
User avatar
mjau-mjau
X3 Wizard
Posts: 13993
Joined: 30 Sep 2006, 03:37

Re: admonition letter about data privacy breach

26 Jul 2022, 10:36

This looks like a scam or blackmail, or at best opportunism. First of all, could you let me know the email of the person that sent this email? I'm pretty sure they are pretending to be "susanne-schober.de" yet the addresses of bank and on website does not match. This is clearly someone searching for websites to blackmail, with all the information ready.

In the meantime, perhaps you could send me FTP info (private message) and I will look into a temporary solution tomorrow with self-hosted fonts? We have to take this seriously, as can't have users being blackmailed unless we have clear response to the issue ... I need to look into it tomorrow ...

FYI, only ONCE has German court ever ruled against a website using Google fonts.
https://www.jsdelivr.com/blog/how-the-g ... fe-to-use/
 
metallissimus
Experienced
Posts: 331
Joined: 17 Oct 2019, 06:54

Re: admonition letter about data privacy breach

26 Jul 2022, 12:31

It's not scam, that's a thing right now in Germany (see here for example: https://www.haendlerbund.de/de/news/akt ... satz-dsgvo or search for "Abmahnung google fonts").

For the future you should probably host your fonts locally, most German website owners I know do this since the above mentioned court ruling.
www.danielbollinger.de – corporate photography
hochzeiten.danielbollinger.de – wedding photography
 
User avatar
mjau-mjau
X3 Wizard
Posts: 13993
Joined: 30 Sep 2006, 03:37

Re: admonition letter about data privacy breach

27 Jul 2022, 00:47

metallissimus wrote:It's not scam, that's a thing right now in Germany (see here for example: https://www.haendlerbund.de/de/news/akt ... satz-dsgvo or search for "Abmahnung google fonts").
Ok I didn't mean "scam", but blackmail/extortion, and this person isn't who they claim they are. How does this person even know that the website loads fonts from Google? And how do they have all this information ready to send in the email? Because they are extortionists scanning hundreds of websites, sending the same email to all websites using Google, hoping that someone will feel threatened enough to pay up ... Good business idea, no? I would do the same if I had a criminal mindset.

Obviously they are asking in advance for €100 transferred by bank because they want someone to pay and not take it any further. Only one website has ever been ordered to pay €100, and this is/was not a clear case. The only "real" reason the court ordered payment of €100 in this single case, is because Google fonts "can" be hosted locally, and is therefore not strictly necessary for the website functionality. For example, JSDelivr is safe to use, but only because of the small difference that it is a CDN that needs the IP to detect fastest server.
https://www.jsdelivr.com/blog/how-the-g ... fe-to-use/

Yes I know this is a tricky situation and we have to do something about it. My point was, people sending these emails are not real people "offended" by Google fonts loading (even if they have no way of knowing this without using developer tools). They are blackmailers.

I will look into an optional solution for German users.
 
User avatar
mjau-mjau
X3 Wizard
Posts: 13993
Joined: 30 Sep 2006, 03:37

Re: admonition letter about data privacy breach

27 Jul 2022, 04:15

X3 self-hosted Google fonts HOTFIX  :punch:
viewtopic.php?f=61&t=10461
 
 
User avatar
mjau-mjau
X3 Wizard
Posts: 13993
Joined: 30 Sep 2006, 03:37

Re: admonition letter about data privacy breach

21 Dec 2022, 21:35

That's great news! :green_heart:
 
alfie
Topic Author
Posts: 9
Joined: 26 Jan 2011, 11:31

Re: admonition letter about data privacy breach

22 Dec 2022, 05:56

Great NEWS indeed. After mja-mjau helped me fix the google fonts issue 4 months ago I got only 1 single reminder mail from the scam person. No reatio to theirr scam thing from my side. never heared again from them. the linked newspaper article about the caught in the act scam practice describes that they got greedy and wanted 170 EUR instead of the 100 EUR they wanted from me.. haha..

Merry X-Mas everyone!
 
User avatar
mjau-mjau
X3 Wizard
Posts: 13993
Joined: 30 Sep 2006, 03:37

Re: admonition letter about data privacy breach

20 Jan 2023, 23:18

Please see this post for info on next X3 related to fonts.
 
User avatar
mjau-mjau
X3 Wizard
Posts: 13993
Joined: 30 Sep 2006, 03:37

Re: admonition letter about data privacy breach

12 Sep 2023, 06:24

Since X3.32.0, Google fonts have been replaced by fonts.bunny.net for improved privacy and to avoid issues with GDPR. See bunny.net About and FAQ.