Aktuell werden tausende Webseiten-Betreiber aufgrund der dynamischen Einbindung von Google Fonts auf ihren Websites abgemahnt und zur Zahlung einer Geldentschädigung in Höhe von 100 bis zu 500 Euro aufgefordert. Dabei handelt es sich bereits um die zweite Abmahnwelle in diesem Jahr. Auch diesmal sind die Abmahnungen auf das Urteil des Münchner Landgerichts vom 20. Januar 2022 (LG München I, Urteil v. 20.01.2022 – 3 O 17493/20) zurückzuführen. Demnach stünde einem Webseiten-Besucher, dessen personenbezogene Daten beim Aufrufen einer Webseite mit dynamischer Einbindung von Google Fonts, durch die ohne Einwilligung die IP-Adresse an den Google-Standort in den USA weitergeleitet wird, ein Anspruch auf Schadensersatz zu.
Das Wichtigste in Kürze
- Durch eine dynamischen Einbindung von Google Fonts wird eine automatische Verbindung mit den Google-Servern hergestellt und die IP-Adresse der Webseiten-Besucher übermittelt.
- Für die Erfassung und Übermittlung der IP-Adresse ist grundsätzlich eine Rechtsgrundlage i.S.d. DSGVO erforderlich.
- Die Übermittlung der dynamischen IP-Adresse eines Website-Besuchers an Googles US-Standort ohne eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a) DSGVO ist unzulässig.
- Betroffenen könnte ein Anspruch auf immateriellen Schadensersatz gem. Art. 82 DSGVO zustehen.
Unrechtmäßige Weitergabe personenbezogener Daten beim Einsatz von Google Fonts
Bei Google Fonts handelt es sich um ein interaktives Verzeichnis des US-amerikanischen Konzerns Google, das mittlerweile über 1.400 Schriftarten enthält, die Website-Betreibern lizenzfrei zur Verfügung gestellt werden. Betreiber binden das Verzeichnis auf ihrer Website ein, um den Besuchern den Zugriff auf die verschiedenen Schriftarten zu ermöglichen. Dabei haben sie zum einen die Möglichkeit, die Schriftarten herunterzuladen, lokal zu speichern und vom lokalen Server in den Internetauftritt einzubinden, wobei keine Verbindung zu Google-Servern aufgebaut wird. Zum anderen können die Schriften aber auch dynamisch in den Webauftritt eingebunden werden. Problematisch hierbei ist, dass der Aufruf einer Webseite im Falle einer dynamischen Einbindung von Google Fonts mit der Übermittlung personenbezogener Nutzerdaten in die USA einhergeht. Denn in der Praxis werden die Schriftarten regelmäßig auf der Webseite über einen Link eingebunden. Beim Aufruf der Webseite wird eine Verbindung zum Google-Server in den USA hergestellt und die benötigte Schriftart geladen. Mit dem Verbindungsaufbau erfolgt jedoch auch die Übermittlung der IP-Adresse des Webseiten-Besuchers an Google.
IP-Adressen sind personenbezogene Daten
Bereits vor einigen Jahren hat der Bundesgerichtshof bestätigt, dass es sich bei IP-Adressen um personenbezogene Daten i.S.d. DSGVO handelt. Begründet wird dies damit, dass Website-Betreiber mithilfe der IP-Adresse die abstrakte Möglichkeit haben, die dahinterstehende Person identifizieren zu lassen. Daher ist für ihre Erfassung und Übermittlung grundsätzlich eine Rechtsgrundlage erforderlich.
LG München: Dynamische Einbindung von Google Fonts verstößt gegen die DSGVO
Als Rechtsgrundlage kommt in diesem Fall alleine eine vorherige Einwilligung des Webseiten-Besuchers in Frage. In den meisten Fällen liegt eine Einwilligung bei der Einbindung von Google Fonts jedoch nicht vor, sodass mangels einer rechtlichen Grundlage für die Erhebung und Weitergabe der IP-Adresse ein DSGVO-Verstoß vorliegt. Dies hat auch das LG München im Januar dieses Jahres mit einem Urteil bestätigt. Ein „berechtigtes Interesse“ des Website-Betreibers im Sinne des Art. 6 Abs. 1 lit. f) DSGVO als alternative Rechtsgrundlage schloss das Landgericht in diesem Fall richtigerweise aus. Schließlich kann Google Fonts vom Webseiten-Betreiber auch lokal eingesetzt werden, wodurch eine automatische Verbindung zum Google-Server und die Übermittlung der IP-Adresse verhindert wird. Diese deutlich datensparsamere Variante ist ohne wesentlich größeren Aufwand umsetzbar.
Nutzer war nicht zu Verschlüsselung seiner IP-Adresse verpflichtet
Ein Mitverschulden des klagenden Website-Besuchers hat das Gericht verneint. Dieser sei nicht zur Verschlüsselung seiner IP-Adresse im Vorfeld des Website-Besuchs verpflichtet gewesen. Begründet hat das Landgericht diese Entscheidung damit, dass ein solches Verlangen dem Zweck des Datenschutzrechts natürliche Personen bei der Verarbeitung ihrer Daten vor Beeinträchtigungen zu schützen zuwiderlaufen würde.
100 Euro DSGVO-Schadensersatz wegen „Unwohlsein“
Neben einem Unterlassungsanspruch sprach das Gericht dem Betroffenen auch einen Anspruch auf Schadensersatz gem. Art. 82 DSGVO in Höhe von 100 Euro zu. Den Anspruch begründete das Gericht mit dem Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen, das auf dem Kontrollverlust über sein an Google übermitteltes personenbezogenes Datum beruht. Zudem rechtfertige das damit verbundene Unwohlsein des Betroffenen einen Anspruch auf Schadensersatz. Dies gelte insbesondere unter Berücksichtigung der Tatsache, dass es sich bei Google um ein Unternehmen handele, das bekanntermaßen massenweise Daten seiner Nutzer sammelt, und dass in dem konkreten Fall eine mehrmalige Übermittlung der IP-Adresse stattfand und diese unstreitig an Google-Server in den USA übermittelt wurde, obwohl dort nach aktueller Rechtslage kein angemessenes Datenschutzniveau gewährleistet ist. Auf die Frage, ob das Erreichen bzw. Überschreiten einer Erheblichkeitsschwelle notwendige Voraussetzung eines Anspruchs auf immateriellen Schadensersatz ist, kam es im hiesigen Fall nach Auffassung des Gerichts nicht an, da diese jedenfalls durch die mehrmalige Weitergabe der IP-Adresse an Google überschritten wurde.
Abmahnwelle wegen angeblicher DSGVO-Verstößen
Viele Unternehmen erhalten aktuell Abmahnschreiben, die unter Berufung auf die Argumentation des Münchner Landgerichts Schadensersatzforderungen enthalten. Dabei geben die Aussteller an, die Website des Empfängers besucht zu haben, wobei ihre IP-Adresse aufgrund der Einbindung von Google Fonts an Google übermittelt worden sei.
Angesichts der derzeit dem EuGH vorliegenden Vorlagefragen in Sachen UI gegen Österreichische Post AG (Rechtssache C‑300/21) und des zugehörigen Schlussantrags des Generalanwalts, der einen Schadensersatz wegen „Unwohlseins“ ablehnt, ist es völlig unklar, ob andere Gerichte der Argumentation des Münchner Landgerichts zum Geldentschädigungsanspruch zukünftig folgen werden. Zumindest anwaltliche Abmahnschreiben sollten jedoch sicherheitshalber einer juristischen Prüfung unterzogen werden. Die Ausführungen der Schreiben sind jedoch, oft lückenhaft und nicht stichhaltig, da beispielsweise u.a. die Übermittlung der IP-Adresse nachgewiesen werden müsste. Außerdem könnte es sich gegebenenfalls um rechtsmissbräuchliche Schreiben handeln, wenn diese alleine darauf zurückzuführen sind, dass die angeblich Betroffenen(eventuell sogar automatisiert mittels Web-Crawler) die Website absichtlich und ausschließlich dazu aufgerufen haben, um anschließend etwaige Zahlungsansprüche geltend zu machen..
Fazit
Das Urteil des LG München macht deutlich, dass bei einer dynamischen Einbindung von Google Fonts das Risiko einer datenschutzrechtlichen Abmahnung besteht, die in der Regel mit einer Schadensersatzforderung einhergeht. Inzwischen sehen sich viele Webseiten-Betreiber mit Abmahnungen und Schadensersatzforderungen aufgrund dieses Urteils konfrontiert. Auch wenn die zugesprochene Summe von 100 Euro auf den ersten Blick nicht empfindlich zu sein scheint, ist zu bedenken, dass grundsätzlich jedem Webseiten-Besucher ein Schadensersatzanspruch zustehen könnte. Bei einer Vielzahl von Webseitenaufrufen dürfte regelmäßig ein hoher Betrag zusammenkommen, wenn alle Betroffenen einen Schadensersatzanspruch geltend machen würden. Darüber hinaus sollte nicht außer Acht gelassen werden, dass die vom Münchner Gericht aufgestellten Grundsätze auch auf andere Schriftartendienste übertragbar sind. Aus diesem Grund ist für Unternehmen – gleich welcher Größe – nun höchste Zeit, die Einbindung von Google Fonts sowie anderen US-Webdienste auf der eigenen Website zu überprüfen, um Abmahnungen und Entschädigungsansprüche der Webseiten-Nutzer zu vermeiden. Sofern US-Webdienste wie Google Fonts eingesetzt werden sollen, muss die statische Variante des Services, bei der die Schriftarten lokal abgespeichert werden, genutzt werden. Die Alternative der Nutzereinwilligung ist bei Schriftarten regelmäßig nicht praktizierbar. Schlussendlich sollte auf eine Abmahnung in diesem Bereich jedoch keinesfalls ohne Weiteres gezahlt werden, sondern immer zunächst anwaltlicher Rat eingeholt werden.
