Findet durch den Einsatz von Google Fonts eine Verbindung zum Drittanbieter statt und keine lokale Einbindung, wird dabei die IP-Adresse des Nutzers an Google übertragen. Das LG München I (Urt. v. 20.1.2022 – 3 O 17493/20) entschied nun, dass diese dynamische Einbindung ohne Einwilligung des Nutzers gegen die DSGVO verstoße. Die Verarbeitung könne nicht auf ein berechtigtes Interesse i.S.v. Art. 6 Abs. 1 f) DSGVO gestützt werden.
Die Beklagte hatte Google Fonts standardmäßig über Google Server und nicht lokal eingebunden. Hierbei wird u.a. die IP-Adresse an Google übermittelt. Eine Einwilligung wurde nicht eingeholt. Der Kläger sah hierin sein informationelles Selbstbestimmungsrecht verletzt und verlangte Unterlassung und Schadensersatz.
Das LG München gab ihm Recht, dem Kläger stehe der geltend gemachte Unterlassungsanspruch zu. Zudem sprach das Gericht dem Kläger Schadensersatz i.H.v. 100 € zu.
Verletzung des Allgemeinen Persönlichkeitsrechts
Zunächst stellte das Gericht fest, dass die unerlaubte Weitergabe der dynamischen IP-Adresse an Google den Kläger in seinem Allgemeinen Persönlichkeitsrecht verletze. Hierbei handle es sich um ein personenbezogenes Datum.
Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.
Bei der von der Beklagten an Google weitergegebenen dynamischen IP-Adresse handelt es sich um ein personenbezogenes Datum im Sinne von § 12 Abs. 1 und 2 TMG (in der zum Übermittlungszeitraum geltenden Fassung, im weiteren alte Fassung), § 3 Abs. 1 BDSG, Art. 4 Nr. 1 DS-GVO.
Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 – VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an.
Keine Einwilligung und kein berechtigtes Interesse
Der Kläger habe in die Übertragung an Google nicht eingewilligt. Ebenso liege kein berechtigtes Interesse der Beklagten vor, da Google Fonts auch ohne Übertragung genutzt werden könnte.
Die automatische Weitergabe der IP-Adresse durch die Beklagte an Google war ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, da der Kläger unstreitig in diesem Eingriff nicht gemäß § 13 Abs. 2 TMG a.F., Art. 6 Abs. 1 a) DSGVO eingewilligt hat.
Es liegt auch kein Rechtfertigungsgrund für den Eingriff in das allgemeine Persönlichkeitsrecht vor. Ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 f) DS-GVO, wie von ihr behauptet, liegt nicht vor, denn Google Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet.
Keine Pflicht des Nutzers zur Verschleierung der IP-Adresse
Zudem stellte das Gericht klar, dass der Nutzer nicht dazu verpflichtet sei, seine eigene IP-Adresse zu verschlüsseln.
Der Kläger war auch nicht verpflichtet, vor dem Aufrufen der Webseite der Beklagten seine eigene IP-Adresse zu verschlüsseln. Dies vom Kläger zu verlangen, würde dem Zweck des hier betroffenen Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, zuwiderlaufen, sondern diesen vielmehr umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde {LG Dresden, Urteil vom 11.01.2019, Aktenzeichen 1 AO 1582/18).
Wiederholungsgefahr trotz Umstellung
Die für den Unterlassungsanspruch erforderliche Widerholungsgefahr werde zudem nicht dadurch ausgeräumt, dass die Beklagte die Nutzung von Google Fonts in der Zwischenzeit umgestellt hat.
Wiederholungsgefahr ist zu bejahen. Unstreitig wurde die IP-Adresse des Klägers bei Besuchen des Klägers auf der Webseite der Beklagten an Google weitergeleitet. Vorangegangene rechtswidrige Beeinträchtigungen begründen eine tatsächliche Vermutung für die Wiederholungsgefahr, die durch die Beklagte nicht widerlegt wurde. Die Wiederholungsgefahr wird nicht dadurch ausgeräumt, dass die Beklagte mittlerweile Google Fonts so benutzt, dass eine Kundgabe der IP-Adresse der Webseitenbesucher an Google nicht mehr stattfindet. Die Wiederholungsgefahr kann lediglich durch eine strafbewehrte Unterlassungserklärung beseitigt werden.
Anspruch auf Schadensersatz
Das Gericht sprach dem Kläger Schadensersatz i.H.v. 100 € zu. Es verwies auf eine Entscheidung des BVerfG und die aktuelle Diskussion, ob für einen Schadensersatzanspruch das Überschreiten einer Erheblichkeitsschwelle erforderlich sei. Auf diese Frage komme es hier jedoch nicht an, so das Gericht.
Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (BeckOK Datenschutzrecht, Wolff/Bring, 38. Edition, DS-GVO Art. 82, Rn. 24). Ausreichend ist gern. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, ist umstritten (vgl. BVerfG NJW 2021, 1005,Rz. 20 m.w.N.; Kohn ZD 2019, 498 (501); Paal MMR 2020, 14 (16)), kann aber im hiesigen Fall dahingestellt bleiben.
Das vom Kläger „empfundene individuelle Unwohlsein“ sei so erheblich, dass ein Anspruch gerechtfertigt sei.
Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Klägers auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.7.2020 – C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll. Die Hohe des geltend gemachten Schadensersatzes ist im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung angemessen und wird von der Beklagten auch nicht angegriffen.
BCFC/Shutterstock.com
Genau das ist das Absurdistan, auf das uns die DSGVO verpflichtet hat. “Das empfundene Unwohlsein” bei Übertragung einer IP-Adresse… ja ne, is’ klar :rolleyes
Naja, also da wäre ich mit Schnellschüssen gegen die DSGVO vorsichtig.
Im Urteil finden sich leider einige Annahmen des Gerichts die technisch schlicht falsch sind.
So wurde ja die von der Klägerin erhobene IP Adresse eben nicht nach Übermittlung an die Beklagte von der Beklagten verarbeitet um an dritte weiter gegeben zu werden. Davon hätte die Klägerin im Zweifel auch wenig mit bekommen.
Die Klagende hat eine hat eine Seite aufgerufen, in den zurück gelieferten Daten befand sich eine Anweisung an den Browser, dass eine bestimmte Schriftart unter einer bestimmten URL von google abrufbar sei. Offenbar folgte der Browser dieser Anweisung und hat diese Schriftart herunter geladen und damit die IP Adresse an Google übermittelt.
Auf das Verhalten des Browsers hat die Beklagte hier ja nur dadurch Einfluss, welche Inhalte auf der eigenen Seite eingebunden werden. Die beklagte kann nicht sicherstellen, dass diese Inhalte auch abgerufen werden. Es ist auch nicht an zu nehmen, dass die Beklagte mit der Einbindung von Google Fonts eine Weitergabe der IP Adresse der Klagenden an Google bezweckt hat. Im Hinblick auf häufig verwendete Schriftarten und Browser Caching wäre auch Fraglich ob denn tatsächlich ein google Server angefragt wurde. Daran hatte das Gericht offenbar keine Zweifel.
Ich habe den Eindruck, dass das LG München hier einen Kategorien-Fehler gemacht hat. Es bestehen Unterschiede in der technischen Realisierung und der Absicht zwischen Tracking Pixeln und Schriftarten von CDNs.
Ich wäre vorsichtig jetzt die DSGVO für derartige Missverständnisse des technischen Sachverhaltes verantwortlich zu machen.
Ich bin absolut kein Fan von Seiten (wie dieser hier), die meine “do not track” Header (egal wie deprecated) nicht anerkennen und mich stattdessen aus angeblicher Rechlicher verpflichtung nach diversen Datenverarbeitungseinwilligungen fragen. Nur kann man ja auch einfach eine Datenschutzerklärung haben, die ausschließlich berechtigte Interessen beinhaltet.
Dieses Urteil erhöht die Polarisierung und macht es schwerer die Anliegen von gutem Datenschutz zu erklären. Es kann bezweifelt werden, dass das Gericht sich den notwendigen Sachverstand organisiert hat. Das Niveau der Fehldeutung des Gerichts erinnert an die ganzen von angeblicher Internetanschluss “Störerhaftung”, in denen nachweislich Richterrecht gilt.
Als Datenschutzverfechter bin ich entsetzt von dieser Fehleinschätzung der Sachlage.
Ist Ihnen bewusst, dass diese Seite auch Fonts von Google lädt?
Deswegen wird ja eine Einwilligung über das Cookie Banner eingeholt 😉
Die werden aber trotz Ablehnung hier geladen. Das sollten Sie nochmal überprüfen lassen.
Aber ich rufe die Seite doch auf und lade Google Fonts nach, bevor ich dem Banner zustimme 😉
Manchmal frage ich mich, ob diese Gerichte überhaupt irgendwie etwas davon verstehen, was sie da entscheiden. Das ist doch oftmals für den durchschnittlichen Unternehme alles überhaupt nicht umsetzbar – außer man holt sich für teuer Geld einen Programmierer, einen Datenschutzrechlter etc. ins Boot. Kosten / Nutzen stehen da in keinerlei Verhältnis.
Auf der einen Seite ist es gut, dass Gerichte den großen Datensammlern ein wenig Einhalt gebieten. Auf der anderen Seite denke ich, dass die Gerichte schlechte technische Berater/Gutachter haben, denn viele von den DSGVO Verordnungen schießen imho über das Ziel hinaus.
Dem Kläger in diesem Fall ging es imho einfach nur um Geld. Soll mir keiner erzählen, dass er seine Persönlichkeitsrechte so verletzt sah, dass er es zur Anzeige bringen musste. Zum Glück hat ihm das Gericht nur 100 Tacken zugesprochen. Ich hoffe er kam zu dem Schluß, dass sich diese Art Geld Generierung nicht lohnt. Ich bekomme da einen mittleren Brechreiz, bei solchen Wegelagerern mit Geiergenen.
Das ist ganz offenbar doch ein tolles Geschäftsmodell. Einfach mit einem crawler Millionen von Webseiten abgrasen und dann per Serienbrief die 100€ abgreifen. Wenn nur 10% zahlen kommt da echt was zusammen. Bin gerade “Opfer” so eines Versuchs geworden. Aber der soll mal schön klagen.