Die dynamische Einbindung von US-Webdiensten in eine Internetseite (hier: Google Fonts) ist ohne Einwilligung der Besucher datenschutzwidrig. Websitebetreiber schulden Unterlassung und Schadensersatz (LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20).
Inhaltsübersicht
1. Was sind Google Fonts?
2. Wie kann man Google Fonts in eine Internetseite einbinden?
3. Problem: Dynamische Einbindung von Google Fonts ohne Einwilligung
4. LG München: Anspruch auf Unterlassung und Schadensersatz
5. Einwilligung fehlt, Berufung auf berechtigtes Interesse erfolglos
6. Keine Pflicht des Besucher, die eigene IP-Adresse zu verschleiern
7. Anspruch auf 100 Euro DSGVO-Schadensersatz, u.a. wegen „Unwohlsein“
8. Kommentar von Rechtsanwalt Plutte: Was bedeutet die Entscheidung?
1. Was sind Google Fonts?
Google stellt auf https://fonts.google.com/ eine breite Auswahl von Schriftarten unter Apache Lizenz (Version 2.0) zur Verfügung. Diese Schriftarten dürfen prinzipiell kostenlos genutzt werden.
2. Wie kann man Google Fonts in eine Internetseite einbinden?
Es gibt zwei Möglichkeiten, Google Fonts in eine Internetseite einzubinden:
- Statische Variante: Websitebetreiber können die gewünschte Schriftart herunterladen und erneut in den eigenen Webspace hochladen, von wo aus die Datei lokal in die Website eingebunden wird, je nach Präferenz z.B. im Format TTF, WOFF bzw. WOFF2. Besuchen Nutzer eine solche Internetseite, wird keine Verbindung zu Google-Servern aufgebaut. Datenschutzrechtlich und persönlichkeitsrechtlich ist diese Form der Einbindung daher unkritisch.
- Dynamische Variante: Alternativ besteht die Möglichkeit, ein Code-Snippet in den HTML-Code der Webseiten einzubinden, entweder per @import oder <link>.
Beispiel für die dynamische Einbindung der Schriftart „Comforter“ via Link-Methode. Hier wird bei Aufruf der Webseite eine Verbindung zum Google-Server aufgebaut und von dort die benötigte Schriftart blitzschnell zugeladen und ausgespielt. An dieser Variante ist problematisch, dass im Zusammenhang mit dem Verbindungsaufbau zum Google-Server mindestens die IP-Adresse des jeweiligen Webseitenbesuchers mit an Google übertragen wird.
3. Problem: Dynamische Einbindung von Google Fonts ohne Einwilligung
Im Verfahren vor dem Landgericht München hatte die Betreiberin einer Internetseite Google Fonts dynamisch in ihre Website eingebunden, ohne dafür vorab (über ein Consent-Banner) von jedem Besucher eine Einwilligung einzuholen. Daran störte sich der Kläger und verlangte Unterlassung und Schadensersatz.
4. LG München: Anspruch auf Unterlassung und Schadensersatz
Das Landgericht München gab der Klage statt. Dem Kläger stehe gegen die Websitebetreiberin ein Anspruch auf Unterlassung der Weitergabe seiner IP-Adressen an Google zu (§ 823 Abs. 1 i.V.m. § 1004 BGB analog). Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers an Google verletze dessen allgemeines Persönlichkeitsrecht in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB.
Spätestens seit Inkrafttreten der Datenschutzgrundverordung ist nicht mehr streitig, dass eine dynamische IP-Adresse ein personenbezogenes Datum darstellt (vgl. Art. 4 Nr. 1 DSGVO). Grund ist, dass der Webseitenbetreiber mit behördlicher Hilfe anhand der beim Internetzugangsanbieter gespeicherten IP-Adresse bestimmen lassen kann, wer der Besucher war (vgl. BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13). Dabei kommt es nicht darauf an, ob diese Verknüpfungsmöglichkeit vom Websitebetreiber konkret genutzt wird. Ausreichend ist eine abstrakte Bestimmbarkeit.
5. Einwilligung fehlt, Berufung auf berechtigtes Interesse erfolglos
Im Fall war unstreitig, dass die Beklagte keine Einwilligung für die Weitergabe der dynamischen IP-Adressen an Google von ihren Besuchern eingeholt hatte (vgl. Art. 6 Abs. 1 a) DSGVO).
Ihr Versuch, sich stattdessen auf ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 f) DSGVO zu berufen, scheiterte. Google Fonts könnten laut LG München durch die Websitebetreiberin auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet (vgl. statische Variante oben).
6. Keine Pflicht des Besucher, die eigene IP-Adresse zu verschleiern
Websitebesucher seien auch nicht verpflichtet, die eigene IP-Adresse zu „verschlüsseln“ (das Gericht meint hier wohl ein verschleiern, etwa mittels VPN). Eine solche Pflicht würde dem Zweck des Datenschutzrechts zuwiderlaufen, das in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt (vgl. LG Dresden, Urteil vom 11.01.2019, Az. 1 AO 1582/18).
7. Anspruch auf 100 Euro DSGVO-Schadensersatz, u.a. wegen „Unwohlsein“
Zusätzlich sprach das Landgericht München dem Kläger Schadensersatz in Höhe von 100 Euro zu (Art. 82 Abs. 1 DSGVO).
Auf die Frage, ob ein DSGVO-Verstoß eine gewisse Erheblichkeit erreicht haben muss, um den Zuspruch von Schadensersatz zu rechtfertigen, kam es aus Sicht des Gerichts nicht an. Der mit der Datenweitergabe an Google verbundene Kontrollverlust und das damit vom Kläger empfundene individuelle Unwohlsein seien so erheblich, dass dies einen Schadensersatzanspruch rechtfertige. Berücksichtigt werden müsse auch, dass die IP-Adresse unstreitig an einen Server von Google in den USA übermittelt wurde, obgleich dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.07.2020, Az. C-311/18 – Facebook Ireland u. Schrems). Außerdem solle die Haftung aus Art. 82 Abs. 1 DSGVO präventiv weiteren Verstößen vorbeugen und Anreiz für Sicherungsmaßnahmen schaffen.
8. Kommentar von Rechtsanwalt Plutte: Was bedeutet die Entscheidung?
- Das Münchner Urteil betrifft nur exemplarisch den populären Dienst Google Fonts. Die vom Gericht aufgestellten Grundsätze gelten für alle aus den USA stammenden Webdienste. Gemeint sind nicht bloß Alternativangebote wie Adobe Fonts oder MyFonts, sondern buchstäblich jeder US-Dienst, der dynamisch in eine Internetseite eingebunden wird.
- Wer eine Internetseite betreibt und US-Dienste dynamisch einbindet, ist vom Münchner Urteil nicht direkt betroffen, wenn er ein korrekt funktionierendes Consent Banner vorschaltet, das die Aussteuerung der US-Dienste regelt. Mit anderen Worten: wer in den letzten Jahren nicht geschlafen hat und Webdienste nur nach Einwilligung des jeweiligen Besuchers feuert, macht es schon einmal besser als die Beklagte.
- Nicht entscheiden musste das Landgericht München die weitaus praxisrelevantere Frage, ob die vorherige Einholung von Nutzereinwilligungen per Consent Banner ausgereicht hätte, die Weitergabe von IP-Adressen in die USA zu legitimieren (das ist der heutige Standardfall). Seit dem Wegfall des Privacy Shields klafft hier die eigentliche Datenschutzlücke. EU und USA konnten sich immer noch nicht auf ein Nachfolgeabkommen einigen. Ob die EU-Standardvertragsklauseln den Boden des Privacy Shields ersetzen können, ist ungeklärt. Der EuGH hatte die seinerzeitige Fassung nicht zusammen mit dem Privacy Shield kassiert. Auch hat die EU-Kommission im Juni 2021 neue Standardvertragsklauseln erlassen, die den in der Privacy Shield-Entscheidung geäußerten Bedenken des EuGH Rechnung tragen sollen. Trotzdem ist völlig offen, ob die neuen EU-Standardvertragsklauseln im Streitfall halten. Hier sollte man nicht träumen. Das Kernproblem auf US-Seite besteht unverändert fort. Dort ist es Strafverfolgungsbehörden und Geheimdiensten erlaubt, unter bestimmten Voraussetzungen auf Server von US-Firmen und die dort liegenden Kundendaten zuzugreifen – selbst wenn die Server im Ausland stehen, z.B. in Irland. Betroffene haben keine Rechtsschutzmöglichkeit. Diesen Makel kann auch die eleganteste EU-Standardvertragsklausel nicht heilen, zumal die Zugriffe der US-Behörden offenbar nicht alle über offizielle Kanäle erfolgen.
- Sollte sich die Sichtweise des Landgerichts München durchsetzen, stellt sie einen Freibrief für Abmahnungen und Schadensersatzforderungen dar. Das deutschsprachige Internet ist voll von Websites, die US-Webdienste ohne Consent Banner einsetzen. Um sich zum klageberechtigten Betroffenen zu machen, reicht ein einziger Klick.