EuGH muss entscheiden: BGH legt Fragen zu Google Fonts-Abmahnungen vor

Google Fonts-Abmahnungen waren im Jahr 2022 das dominierende Thema, nachdem das LG München entschied, dass die dynamische Einbindung gegen die DSGVO verstoße. Jetzt haben die Fälle den BGH erreicht. Der BGH (Beschl. v. 28.8.2025 – VI ZR 258/24) setzte das Verfahren aus und legte dem EuGH mehrere Fragen zur Vorabentscheidung vor, u.a. zum Schaden bei einem provoziertem Datenschutzverstoß und einem möglichen Ausschluss wegen Rechtsmissbrauchs.

Der Kläger verlangt von den Beklagten die Rückerstattung eines Betrages, den er an den Beklagten im Hinblick auf einen von den Beklagten geltend gemachten angeblichen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) gezahlt hat. Der Kläger betreibt eine Website, auf der er Google Fonts eingebunden hatte. Google Fonts ist ein Verzeichnis mit über 1.500 Schriftarten, das Google den Betreibern von Webseiten zur kostenlosen Verwendung bereitstellt. Mit dem Aufruf einer Domain über einen Browser baut sich die aufgerufene Website unter Nutzung der benötigten Fonts auf. Dadurch werden bei einem Besuch der jeweiligen Webseiten - soweit die Voreinstellung einer dynamischen Einbindung vom Webseitenbetreiber nicht geändert wurde - die Schriften von Google Fonts über einen Google-Server nachgeladen und die jeweilige IP-Adresse des Besuchers an Google in den USA übermittelt. Eine Anpassung der Einstellungen ermöglicht es dem Webseitenbetreiber, die Schriftarten nur lokal einzubinden, so dass die Datenübermittlung in die USA ausbleibt. Diese Anpassung hatte der Kläger nicht vorgenommen.

Der Beklagte zu 1 benutzte einen sogenannten Webcrawler, also eine spezifisch hierfür programmierte Computersoftware, um automatisiert eine Vielzahl von Webseiten auf die dynamische Einbindung von Google Fonts zu überprüfen. Dieser Webcrawler war auf dem Laptop des Beklagten zu 1 eingerichtet. Unter anderem bei der Website des Klägers erzielte er so einen "Treffer". Unter Zuhilfenahme einer weiteren extra dafür entwickelten Software wurde ein Besuch des Beklagten zu 1 auf der Website des Klägers automatisiert vorgenommen. Die dabei an den Beklagten zu 1 vergebene dynamische IP-Adresse wurde an Google USA weitergeleitet. Im Oktober 2022 erhielt der Kläger ein Schreiben des Beklagten zu 2, der dieses in seiner Funktion als Rechtsanwalt namens und in Vollmacht seines Mandanten, des Beklagten zu 1, verfasst hatte. Das Schreiben, das in der Betreffzeile den Begriff „Abmahnung“ enthielt.

Die Beklagten versandten mehr als 100.000 derartige Schreiben an verschiedene Webseiten-Betreiber.

Der Kläger überwies am 25.10. 2022 den Betrag von 170 € auf das im Schreiben angegebene Konto des Beklagten zu 2. Aufgrund von Medienberichten über das Vorgehen der Beklagten forderte der Kläger diesen Betrag - erfolglos - vom Beklagten zu 1 zurück.

Das AG Hannover (Urt. v. 12.7.2023 – 525 C 8451/22) hat den Beklagten zu 1 verurteilt, an den Kläger 70 € nebst Zinsen zu zahlen, und die Klage im Übrigen abgewiesen. Auf die Berufung des Klägers hat das LG Hannover (Urt. v. 1.7.2024 – 18 S 10/23) das erstinstanzliche Urteil abgeändert und die Beklagten als Gesamtschuldner verurteilt, an den Kläger 170 € nebst Zinsen zu zahlen. Gegen diese Entscheidung richtet sich die Revision der Beklagten.

Der BGH setzte das Verfahren aus und legte dem EuGH mehrere Fragen zur Vorabentscheidung vor.

Die Vorlagefragen des BGH

Der Bundesgerichtshof hat dem EuGH drei zentrale Fragen zur Auslegung der DSGVO vorgelegt:

1. Personenbezug dynamischer IP-Adressen (Art. 4 Nr. 1 DSGVO)
   Der EuGH soll klären, ob eine dynamische IP-Adresse bereits dann als personenbezogenes Datum gilt, wenn irgendein Dritter (etwa der Internetprovider) über das zur Identifizierung erforderliche Zusatzwissen verfügt,
   oder ob es darauf ankommt, dass der Verantwortliche oder Empfänger selbst über Mittel verfügt, die vernünftigerweise zur Identifizierung eingesetzt werden können.
   Zudem wird gefragt, ob bereits rechtliche Möglichkeiten zur Identifizierung genügen oder ob die Identifizierung im konkreten Fall tatsächlich möglich gewesen sein muss.
   
   
2. Bewusst provozierter Datenschutzverstoß und immaterieller Schaden (Art. 82 Abs. 1 DSGVO)
   Weiter möchte der BGH wissen, ob ein immaterieller Schaden auch dann angenommen werden kann, wenn die betroffene Person den DSGVO-Verstoß bewusst und allein zu dem Zweck herbeiführt, um ihn zu dokumentieren und geltend zu machen.
   Ferner wird gefragt, ob ein Schaden auch dann vorliegen kann, wenn derartige Verstöße in großer Zahl automatisiert provoziert werden.
   
   
3. Rechtsmissbrauch bei provozierten Datenschutzverstößen
   Schließlich bittet der BGH um Klärung, ob in solchen Fällen ein Schadensersatzanspruch wegen Rechtsmissbrauchs ausgeschlossen werden kann, wenn die Voraussetzungen des Art. 82 DSGVO zwar formal erfüllt sind, das Ziel der Verordnung aber nicht erreicht wird und die betroffene Person sich den Vorteil künstlich verschafft hat.
   Zudem soll geklärt werden, ob der Missbrauch nur dann vorliegt, wenn die Erlangung eines finanziellen Vorteils die alleinige Motivation des Handelnden war.

Erste Vorlagefrage: Dynamische IP-Adressen als personenbezogenes Datum?

Zunächst befasste sich der BGH mit der Frage, wann eine dynamische IP-Adresse als personenbezogenes Datum i.S.d. Art. 4 Nr. 1 DSGVO anzusehen ist. Er bestätigte zunächst, dass für die Auslegung der Begriffe „identifiziert“ und „identifizierbar“ auf die Rechtsprechung des EuGH zur Datenschutzrichtlinie 95/46/EG zurückgegriffen werden könne, da die Definitionen im Wesentlichen übereinstimmen.

Zweifelhaft sei jedoch, ob eine Information nur dann personenbezogen ist, wenn der Empfänger sie einer Person zuordnen kann. Der Senat hält es für möglich, dass der Anwendungsbereich der DSGVO auch dann eröffnet sei, wenn die übermittelnde Stelle selbst zur Identifizierung befähigt ist oder den Personenbezug mit Hilfe Dritter herstellen kann.

Bei einer Übermittlung – anders als bei einer Speicherung – sei zu berücksichtigen, dass sie auch die Möglichkeit einer weiteren Verbreitung und Identifizierung durch Dritte eröffnet. Dies spreche für einen objektiven Maßstab, wonach eine Information bereits dann personenbezogen ist, wenn sie generell geeignet ist, eine Person zu identifizieren; dies treffe etwa auf dynamische IP-Adressen zu, da der Internetzugangsanbieter den Nutzer bestimmen kann.

Gemäß Art. 4 Nr. 1 DSGVO bezeichnet der Ausdruck "personenbezogene Daten" im Sinne der Verordnung alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Der Senat teilt zwar die Auffassung des Berufungsgerichts, dass hinsichtlich der Fragen, wann sich gemäß Art. 4 Nr. 1 DSGVO Informationen auf eine "identifizierte" oder "identifizierbare" Person beziehen und ob insoweit ein objektiver oder relativer Maßstab anzulegen ist, grundsätzlich auf die Rechtsprechung des Gerichtshofs dazu zurückgegriffen werden kann, wann Informationen eine "bestimmte" oder "bestimmbare" Person im Sinne von Art. 2 Buchstabe a der Datenschutzrichtlinie betreffen. Denn der Inhalt der jeweiligen Definition des Begriffs "personenbezogene Daten" ist in beiden Vorschriften im Wesentlichen identisch (vgl. Karg in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., Art. 4 Nr. 1 DSGVO Rn. 6; Klar/Kühling in Kühling/Buchner, DSGVO BDSG, 4. Aufl., Art. 4 Nr. 1 DSGVO Rn. 2; Klabunde/Horváth in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Aufl., Art. 4 Rn. 8; Ziebarth in Sydow/Marsch, DSGVO/BDSG, 3. Aufl., Art. 4 DSGVO Rn. 7). Fraglich erscheint aber, ob sich aus der Rechtsprechung des Gerichtshofs ergibt, dass die Personenbezogenheit einer an einen Dritten übermittelten Information nur dann bejaht werden kann, wenn der Empfänger anhand der Information eine natürliche Person identifizieren kann.

Zum einen ist nicht ersichtlich, warum der sachliche Anwendungsbereich der Datenschutz-Grundverordnung nicht (auch) dann eröffnet sein soll, wenn der als Verantwortliche in Anspruch genommenen übermittelnden Stelle die Identifizierung einer natürlichen Person anhand der übermittelten Information möglich ist, sie also - gegebenenfalls mit Hilfe eines Dritten - den Personenbezug herstellen kann. Denn grundsätzlich sind - bei Heranziehung eines relativen Maßstabs für die Prüfung der Personenbezogenheit einer Information - die Verhältnisse der verantwortlichen Stelle zu berücksichtigen (vgl. Senatsbeschluss vom 28. Oktober 2014 - VI ZR 135/13, ECLI:DE:BGH:2014:281014BVIZR135.13.0, VersR 2015, 370 Rn. 25). Dementsprechend hat der Gerichtshof in seinem Urteil vom 19. Oktober 2016 im Verfahren C-582/14 auf die Verhältnisse des als für die Speicherung der IP-Adresse verantwortliche Stelle in Anspruch genommenen Anbieters des Online-Mediendienstes abgestellt (vgl. EuGH, ECLI:EU:C:2016:779, CR 2016, 791 Rn. 47 ff.).

Zum anderen stand in dem dem Urteil des Gerichtshofs vom 19. Oktober 2016 im Verfahren C-582/14 zugrundeliegenden Sachverhalt die Zulässigkeit der Speicherung einer dynamischen IP-Adresse in Rede. Geht es um die Speicherung einer Information, leuchtet es ein, deren Personenbezogenheit danach zu beurteilen, ob die speichernde Stelle anhand der Information eine natürliche Person identifizieren kann. Denn andernfalls kann mit der Speicherung - auch aus Sicht des Betroffenen - kein Risiko der Identifizierung einhergehen. Im Streitfall hat der Beklagte zu 1 jedoch nicht die Speicherung seiner IP-Adresse durch den Kläger oder durch Google USA, sondern deren Übermittlung an Google USA im Rahmen des Besuchs der Website des Klägers beanstandet. Mit der Übermittlung der Information hat die übermittelnde Stelle jedoch nicht allein das Risiko einer Identifizierung durch diesen Empfänger geschaffen, sondern darüber hinaus die Möglichkeit einer weiteren Verbreitung der Information und damit letztlich einer Identifizierung durch beliebige Dritte eröffnet. Dies könnte dafür sprechen, die Personenbezogenheit der Information - soweit es um die Rechtmäßigkeit ihrer Übermittlung geht - anhand eines objektiven Maßstabes danach zu beurteilen, ob sie generell geeignet ist, eine natürliche Person zu identifizieren, es also genügt, wenn - irgendwelche - Dritte in der Lage sind, die Identität des Betroffenen anhand der übermittelten Information festzustellen. Dies wäre hinsichtlich der dynamischen IP-Adresse der Fall, weil jedenfalls der Internetzugangsanbieter in der Lage ist, anhand der IP-Adresse den Nutzer der Website zu bestimmen. Dementsprechend hat das Gericht der Europäischen Union in einem vergleichbaren Fall die Übermittlung einer dynamischen IP-Adresse als die Übermittlung eines personenbezogenen Datums angesehen und dabei allein darauf abgestellt, dass selbst sogenannte "dynamische" IP-Adressen, die wesensbedingt ständig wechselten, zum Zeitpunkt des Besuchs der Website einer bestimmten Person zugewiesen seien (vgl. EuG, ECLI:EU:T:2025:4, r + s 2025, 228 Rn. 122). Durch den Gerichtshof ist die Frage aber noch nicht eindeutig geklärt.

Abstrakte oder konkrete Betrachtungsweise?

Ob für die Annahme personenbezogener Daten bereits die abstrakte Möglichkeit einer Identifizierung genügt oder ob die konkreten tatsächlichen und rechtlichen Voraussetzungen einer Identifizierung vorliegen müssen, sei bisher ungeklärt. Im vorliegenden Fall fehlten jedoch Feststellungen dazu, dass die dynamische IP-Adresse beim Kläger oder bei Google USA in einer Weise gespeichert war, die eine nachträgliche Identifizierung des Nutzers ermöglicht hätte; ebenso wenig war ersichtlich, dass die gesetzlichen Voraussetzungen für ein behördliches Auskunftsverfahren erfüllt waren.

Sollte es für die Beurteilung der Personenbezogenheit einer übermittelten Information darauf ankommen, ob gerade der für die Übermittlung Verantwortliche oder der Empfänger (rechtlich und tatsächlich) über Mittel verfügen, die vernünftigerweise eingesetzt werden können, um die betreffende Person - gegebenenfalls mit Hilfe eines Dritten - bestimmen zu lassen, stellt sich die Frage, ob es genügt, dass für diese Stellen unter bestimmten Voraussetzungen Möglichkeiten zur Identifizierung der betroffenen Person bestehen können, für sie also die abstrakte Möglichkeit einer Identifizierung besteht, oder ob diese Voraussetzungen in tatsächlicher und rechtlicher Sicht im konkreten Fall auch vorgelegen haben müssen. Diese Frage erscheint durch die bisherige Rechtsprechung des Gerichtshofs noch nicht eindeutig geklärt (vgl. Klar/Kühling in Kühling/Buchner, DSGVO BDSG, 4. Aufl., Art. 4 Nr. 1 DSGVO Rn. 28; Arning/Rothkegel in Taeger/Gabel, DSGVO - BDSG - TTDSG, 4. Aufl., Art. 4 DSGVO Rn. 37).

Im Streitfall würden eine abstrakte und eine konkrete Betrachtungsweise zu jeweils unterschiedlichen Ergebnissen führen. So besteht zwar prinzipiell sowohl für den Kläger als auch für Google USA nach nationalem Recht die rechtliche Möglichkeit, im Falle einer von der Bundesrepublik Deutschland aus verursachten Schädigung Strafanzeige bei den Strafverfolgungsbehörden zu erstatten oder sich im Falle einer drohenden Schädigung an die zur Gefahrenabwehr zuständigen Behörden zu wenden. Die für die Verfolgung von Straftaten und Ordnungswidrigkeiten zuständigen Behörden können nach § 100j Abs. 1 und 2 StPO, § 174 Abs. 1 Satz 3 iVm Abs. 5 Nr. 1 TKG unter bestimmten Voraussetzungen von Internetzugangsanbietern Auskunft über anhand einer IP-Adresse einer natürlichen Person zugeordnete Bestandsdaten verlangen und so den Betreffenden identifizieren. Eine derartige Auskunftsmöglichkeit besteht auch - bei bestimmten, qualifizierten Gefahrenlagen - für die für die Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung zuständigen Behörden (§ 174 Abs. 1 Satz 3 iVm Abs. 5 Nr. 2 TKG). Weiterhin kann eine entsprechende Auskunft gemäß § 101 Abs. 2 Satz 1 Nr. 3 UrhG der von einer offensichtlichen Urheberrechtsverletzung Betroffene verlangen (vgl. BGH, Beschluss vom 5. Dezember 2012 - I ZB 48/12, ECLI:DE:BGH:2012:051212BIZB48.12.0, GRUR 2013, 536 Rn. 32 ff.).

Tatsächliche Voraussetzung für eine Identifizierung des Anschlussinhabers anhand der IP-Adresse auf diesen Wegen ist aber zunächst, dass die in Rede stehende IP-Adresse von der Auskunft suchenden Stelle dem Internetzugangsanbieter mitgeteilt werden kann. Im Streitfall ist aber nicht festgestellt, dass die dem Beklagten zu 1 beim Besuch der Website des Klägers zugewiesene dynamische IP-Adresse vom Kläger oder von Google USA für eine Zeitdauer gespeichert wurde, die eine entsprechende Anfrage beim Internetzugangsanbieter ermöglicht hätte. Das Berufungsgericht hat zudem nicht festgestellt, dass die dargestellten rechtlichen Voraussetzungen für ein Auskunftsersuchen im Streitfall erfüllt sind.

Zweite Vorlagefrage: Schaden bei Provokation der Verletzung?

Das Berufungsgericht unterstellte einen Verstoß gegen die DSGVO durch die Übermittlung der IP-Adresse an Google USA, verneinte jedoch einen immateriellen Schaden i.S.d. Art. 82 Abs. 1 DSGVO. Nach Ansicht des Gerichts habe der Beklagte keinen unfreiwilligen Kontrollverlust über seine Daten erlitten, da er die Übermittlung bewusst und in großem Umfang zu Beweiszwecken veranlasst habe. Eine aufrichtige Befürchtung missbräuchlicher Datenverwendung sei daher ausgeschlossen.

Der Begriff "Schaden" - so das Berufungsgericht - könne naturgemäß nur so verstanden werden, dass es sich um eine unfreiwillige Einbuße - hier bezüglich der Kontrolle über die eigenen Daten - handeln müsse. Der Beklagte zu 1 habe sich der Kontrolle über seine jeweilige IP-Adresse aber gerade nicht unfreiwillig begeben. Er habe die klägerische Website nicht aufgesucht, um sich dort über die Angebote des Klägers zu informieren, sondern nur im Zusammenhang mit der Erhebung des Vorwurfs des Datenschutzverstoßes gegen diesen. Dies habe er in dem sicheren Wissen getan, dass bei einem entsprechenden Treffer (Verwendung der dynamischen Variante von Google Fonts auf der mittels des Webcrawlers aufgefundenen Website) und Aufruf der Seite die dann an ihn vergebene dynamische IP-Adresse an Google USA weitergeleitet werden würde. Zudem spreche die Vielzahl der vom Beklagten zu 1 indizierten Vorgänge dieser Art - unstreitig jedenfalls mehr als 100.000 Fälle - schon per se dagegen, dass der Beklagte zu 1 tatsächlich die Befürchtung einer missbräuchlichen Verwendung seiner IP-Adresse gehabt habe. Zu berücksichtigen sei in diesem Zusammenhang auch, dass der Beklagte zu 1 die Website des Klägers gerade nicht selbst aufgesucht habe, sondern der Webseiten-Aufruf ausschließlich technisch mittels entsprechender Software initiiert worden sei. Zwar sei nicht per se auszuschließen, dass auch infolge technisch vermittelter bzw. dokumentierter Datenschutzverstöße ein Schaden im Sinne des Art. 82 DSGVO entstehen könne. Dazu bedürfe es dann aber entsprechender Umstände, die die besondere Betroffenheit der hinter der eingesetzten Software stehenden Personen begründeten. Derartige Umstände seien hier beklagtenseits weder dargetan noch sonst ersichtlich.

Der BGH betont demgegenüber, dass der Schadensbegriff des Art. 82 Abs. 1 DSGVO autonom unionsrechtlich auszulegen sei und weit verstanden werden müsse. Ein bloßer DSGVO-Verstoß begründe zwar keinen Anspruch; jedoch könne bereits die begründete Befürchtung eines zukünftigen Datenmissbrauchs einen immateriellen Schaden darstellen. Ob eine solche Befürchtung vorliegt, sei anhand der konkreten Umstände des Einzelfalls zu prüfen.

Offen bleibe, ob die gezielte Herbeiführung eines Verstoßes – etwa durch automatisierte Testaufrufe – die Annahme eines Schadens ausschließt.

Diesen Ausführungen des Berufungsgerichts liegt ein im nationalen Recht verbreiteter sogenannter "natürlicher" Schadensbegriff zugrunde, wonach unter Schaden "jede unfreiwillige Einbuße an materiellen und immateriellen Gütern in Folge eines bestimmten Ereignisses" zu verstehen ist, freiwillige Einbußen also - zumindest in der Regel - keinen Schaden darstellen (vgl. etwa BeckOGK/Brand, Stand 1.3.2024, BGB § 249 Rn. 8 ff. mwN). Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung jedoch autonom unionsrechtlich zu definieren (st. Rspr., EuGH, ECLI:EU:C:2024:536, DB 2024, 1676 Rn. 31; ECLI:EU:C:2024:72, CR 2024, 160 Rn. 64; ECLI:EU:C:2023:370, VersR 2023, 920 Rn. 30 und 44). Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, ECLI:EU:C:2024:536, DB 2024, 1676 Rn. 25; ECLI:EU:C:2024:288, NJW 2024, 1561 Rn. 34; ECLI:EU:C:2023:370, VersR 2023, 920 Rn. 42).

Aus der im ersten Satz des 85. Erwägungsgrundes der Datenschutz-Grundverordnung enthaltenen beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen "Verlust der Kontrolle" über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, ECLI:EU:C:2024:827, DB 2024, 2952 Rn. 145 mwN).

Nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff "immaterieller Schaden" im Sinne dieses Artikels weit zu verstehen ist, sondern auch aus dem mit der Datenschutz-Grundverordnung verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt sich, dass die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen "immateriellen Schaden" im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann (vgl. EuGH, ECLI:EU:C:2024:827, DB 2024, 2952 Rn. 144 mwN).

Wenn sich eine Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH, ECLI:EU:C:2024:827, DB 2024, 2952 Rn. 143 mwN). Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen reicht nicht aus (vgl. EuGH, ECLI:EU:C:2024:536, DB 2024, 1676. Rn. 35). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann nicht zu einer Entschädigung führen (vgl. EuGH, ECLI:EU:C:2024:72, DB 2024, 519 Rn. 68).

Ausgehend von diesen Grundsätzen könnte man im Streitfall einen immateriellen Schaden des Beklagten zu 1 in einem Kontrollverlust über seine personenbezogenen Daten durch die Übermittlung seiner IP-Adresse an Google USA sehen. Grundsätzlich könnte eine unbefugte Übermittlung personenbezogener Daten an einen Dritten geeignet sein, bei der betroffenen Person die berechtigte Befürchtung einer missbräuchlichen Verwendung dieser Daten zu begründen. Dass vorliegend mit der Übermittlung lediglich ein rein hypothetisches Risiko der missbräuchlichen Verwendung der IP-Adresse durch einen unbefugten Dritten verbunden gewesen wäre, hat das Berufungsgericht nicht festgestellt.

Auf der anderen Seite könnte der Annahme einer entsprechenden Befürchtung entgegenstehen, dass es der Beklagte zu 1 gezielt auf die Übermittlung der Daten angelegt hat. Ob die vom Berufungsgericht als maßgeblich angesehenen Umstände, nämlich die Tatsache, dass der Beklagte zu 1 die Übermittlung seiner IP-Adresse an Google USA - in einer Vielzahl von Fällen und in automatisierter Weise - bewusst und allein zu dem Zweck herbeigeführt hat, den Verstoß dokumentieren und gegenüber dem Verantwortlichen geltend machen zu können, der Annahme eines immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO entgegenstehen, ist durch die genannte Rechtsprechung des Gerichtshofs noch nicht geklärt.

Dritte Vorlagefrage: Einschränkung des Schadensersatz wegen Missbrauchs möglich?

Mit seiner dritten Vorlagefrage möchte der BGH beantwortet wissen, ob selbst bei Annahme eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO der Schadensersatzanspruch wegen Rechtsmissbrauchs ausgeschlossen sein kann. Nach der ständigen Rechtsprechung des EuGH sei die missbräuchliche Berufung auf Unionsrecht unzulässig. Ein Missbrauch setze objektiv voraus, dass die Unionsregelung zwar formal eingehalten, ihr Ziel aber verfehlt wird, und subjektiv die Absicht, sich einen unionsrechtlichen Vorteil durch künstlich geschaffene Voraussetzungen zu verschaffen.

Der BGH möchte daher wissen, ob ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO ausgeschlossen sei, wenn der Datenschutzverstoß bewusst provoziert wurde, um ihn zu dokumentieren und geltend zu machen.

Nach ständiger Rechtsprechung des Gerichtshofs ist die missbräuchliche Berufung auf Unionsrecht nicht gestattet [...]. Der Nachweis einer missbräuchlichen Praxis setzt zum einen eine Gesamtheit objektiver Umstände voraus, aus denen sich ergibt, dass trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde, und zum anderen ein subjektives Element, nämlich die Absicht, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden [...]. [...]

Entsprechend diesen Grundsätzen wird der Gerichtshof um Klarstellung gebeten, ob in einem Fall wie dem vorliegenden, in dem davon auszugehen ist, dass der Verstoß des Verantwortlichen gegen die Datenschutz-Grundverordnung bewusst und allein zu dem Zweck herbeiführt worden ist, den Verstoß dokumentieren und gegenüber dem Verantwortlichen geltend machen zu können, ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO wegen Rechtsmissbrauchs verneint werden kann (vgl. dazu auch Frage 7 des Vorabentscheidungsersuchens des Amtsgerichts Arnsberg vom 31. Juli 2024, Rechtssache C-526/24, ECLI:DE:AGAR:2024:0731.42C434.23.0).

Insoweit stellt sich zum einen die durch Auslegung des Unionsrechts zu beantwortende Frage, auf welche Ziele welcher Vorschriften der Datenschutz-Grundverordnung für die Beurteilung, ob eine rechtsmissbräuchliche Geltendmachung des Schadensersatzanspruches nach Art. 82 Abs. 1 DSGVO vorliegt, abzustellen ist.

Welche Kriterien für einen Rechtsmissbrauch?

Zudem bedürfe es einer Klarstellung hinsichtlich der Feststellung des subjektiven Elements missbräuchlichen Verhaltens. Nach Ansicht des Senats könnten die vom Berufungsgericht festgestellten Umstände (gezielte Massenaufrufe, finanzielle Motivation) für die Annahme eines Missbrauchs sprechen.

Allerdings weist der Senat darauf hin, dass das Missbrauchsverbot nicht greife, wenn das Verhalten auch andere legitime Motive haben kann. Da nicht ausgeschlossen werden konnte, dass der Beklagte mit seinem Vorgehen auch auf Datenschutzprobleme aufmerksam machen wollte, bleibt die Frage eines Rechtsmissbrauchs unionsrechtlich klärungsbedürftig.

Zum anderen besteht das Bedürfnis einer Klarstellung durch den Gerichtshof hinsichtlich der Feststellung des subjektiven Elements missbräuchlichen Verhaltens:

Der Gerichtshof hat in seinem Urteil vom 28. Juli 2016 im Verfahren C-423/15 zur Feststellung des subjektiven Tatbestandsmerkmals ausgeführt, es müsse aus einer Reihe objektiver Anhaltspunkte ersichtlich sein, dass wesentlicher Zweck der fraglichen Handlungen die Erlangung eines ungerechtfertigten Vorteils ist. Zum Beweis für das Vorliegen dieses zweiten Tatbestandsmerkmals, das auf die Absicht der Handelnden abstellt, könne unter anderem der rein künstliche Charakter der fraglichen Handlungen berücksichtigt werden (ECLI:EU:C:2016:604, ZIP 2016, 1498 Rn. 40 f.). Aus Sicht des Senats würden danach die vom Berufungsgericht festgestellten Umstände zur Bejahung des Vorliegens des subjektiven Tatbestandsmerkmals des missbräuchlichen Verhaltens genügen. Denn nach den Feststellungen des Berufungsgerichts standen als Motivation für das Handeln des Beklagten zu 1 finanzielle Interessen zumindest deutlich im Vordergrund. Das Berufungsgericht konnte nicht feststellen, dass der Beklagte zu 1 mit der Vorbereitung und Versendung seiner "Abmahnschreiben" neben den finanziellen auch weitere Ziele verfolgte.

Der Gerichtshof hat in seinem oben genannten Urteil aber auch ausgeführt, das Missbrauchsverbot greife nicht, wenn die fraglichen Handlungen eine andere Erklärung haben können als nur die Erlangung eines Vorteils (EuGH, ECLI:EU:C:2016:604, ZIP 2016, 1498 Rn. 40 mwN). Dies könnte dahin verstanden werden, dass das nationale Gericht andere als finanzielle Motive ausschließen können muss, um den Missbrauchstatbestand zu bejahen. Dazu war das Berufungsgericht im vorliegenden Fall nicht in der Lage. Es konnte nicht ausschließen, dass es dem Beklagten zu 1 bei seinem Handeln auch darum gegangen ist, die Betreiber der Websites auf die mit der dynamischen Einbindung von Google Fonts verbundene Datenschutzproblematik hinzuweisen.

Unser Tipp:  Im Rahmen unserer Legal Products stehen Ihnen umfangreiche Checklisten und Anleitungen rund um das Thema DSGVO zur Verfügung und Sie erhalten Muster-AV-Verträge und Muster-Antwortschreiben. Zudem bietet der Trusted Shops Consent-Manager eine Lösung, um die Einwilligung wirksam einzuholen. Selbstverständlich erhalten Sie umfassenden Support bei der Integration. Ebenfalls enthalten ist ein Update-Service – ergeben sich Gesetzesänderungen oder relevante gerichtliche oder behördliche Entscheidungen, die auch Sie betreffen, aktualisieren wir den Consent-Manager entsprechend und informieren Sie darüber natürlich. Unser Consent-Manager ist in allen Legal Products enthalten. In unserem Legal Enterprise und Legal Ultimate übernehmen wir auch eine außergerichtliche Vertretung bei der Geltendmachung von Unterlassungs- und Aufwendungsersatzansprüchen sowie Schadensersatz-/Schmerzensgeldansprüchen nach der DSGVO (z.B. aufgrund eines nicht erteilten Auskunftsersuchens oder einer unzulässigen Datenübermittlung).