Das Landgericht München I hat eine Betreiberin einer Webseite zu Unterlassung und Zahlung von 100,00 EUR Schadensersatz an den Kläger auf Grund eines Datenschutzverstoßes durch die Nutzung von Google Fonts verurteilt (LG München I, Endurteil vom 20.01.2022 - 3 O 17493/20 - openJur).
Die Beklagte betreibt eine Webseite, auf der sie den Service „Google Fonts“ der Google LLC verwendete. Bei der Nutzung der „Google Fonts API“ werden Schriftartdateien nicht lokal beim Nutzer oder dem Webseitenbetreiber gespeichert, sondern zentral auf einem Server von Google. Der Webseitenbetreiber setzt dann nur noch einen Link zur Schriftartdatei. Dadurch lädt das Gerät des Nutzers die Schriftdatei nicht vom Server des Betreibers, sondern direkt vom Server von Google.
Bei der Verbindung des Nutzers zum Server wird dabei mindestens die IP-Adresse (hier eine dynamische IP, also eine, die vom Telefonanbieter regelmäßig an andere Nutzer neu verteilt wird) an Google übertragen.
Das Gericht hat einen datenschutzrechtlich nicht zulässigen Eingriff in das Recht auf informationelle Selbstbestimmung des Klägers gesehen.
Es hat den Eingriff auf die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers an Google gestützt.
Ein Rechtfertigungsgrund liegt hier nicht vor. Eine Einwilligung gem. Art. 6 Abs. 1 a) DSGVO lag unstreitig nicht vor.
Das Gericht hat ein berechtigtes Interesse der Beklagten gem. Art. 6 Abs. 1 f) DSGVO ebenfalls abgelehnt, da nach Ansicht des Gerichts Google Fonts auch genutzt werden könne, ohne dass eine Verbindung zum Server von Google hergestellt würde.
Neben dem Unterlassungsanspruch stünde dem Kläger auch ein Schadensersatzanspruch zu. Auf eine mögliche – umstrittene – Erheblichkeitsschwelle müsse hier nicht geachtet werden, da die Übermittlung nicht nur einmalig erfolgte und der „Kontrollverlust des Klägers über ein personenbezogenes Datum an Google“ ein so erhebliches „Unwohlsein“ begründet, dass ein Schadensersatzanspruch gerechtfertigt ist.
Bei der Bemessung des immateriellen Schadensersatzes hat das Gericht berücksichtigt, dass eine Übermittlung an einen Server in den USA erfolgte, dort ist ein angemessenes Datenschutzniveau nicht sichergestellt (EuGH, Urteil vom 16.07.2020, Rechtssache C-311/18 = Schrems II https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1 ).
Das Gericht hat außerdem den Schadensersatz als Präventionsmaßnahme und „Anreiz für Sicherungsmaßnahmen“ gesehen.
Unserer Ansicht nach ist die Entscheidung des LG München zwar auf den Einzelfall bezogen vertretbar, greift jedoch einige sehr relevante Problemfelder nicht auf, so dass eine Übertragbarkeit der Entscheidung auf andere Fälle fraglich ist.
Ein erheblicher Teil der Entscheidung beruht auf bisheriger Rechtsprechung. So ist beispielsweise die Frage, ob es sich auch bei einer dynamischen IP-Adresse um ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO handelt, bereits vom BGH entschieden worden (BGH, Urteil vom 16.05.2017 - VI ZR 135/13 - openJur). Der BGH hat sich dabei darauf gestützt, dass eine abstrakte Bestimmbarkeit ausreicht.
Entschieden hat das Gericht sehr pauschal über die Frage, ob ein berechtigtes Interesse nach Art. 6 Abs. 1 f) DSGVO vorliegt. Das Gericht hat hier im Einzelfall lediglich darauf abgestellt, dass der Dienst auch genutzt werden könne, ohne dass die Daten übermittelt werden.
Das Gericht stellt dabei darauf ab, dass es durchaus möglich sei, die Schriftart auch auf dem Server des Webseitenbetreibers zu speichern und von dort zu laden.
Es gibt jedoch in der praktischen Nutzung tatsächliche Unterschiede zwischen dem Laden einer Schriftart vom Betreiberserver und vom Server eines Dritten. Letzteres reduziert den Datenverkehr auf dem Betreiberserver unter Umständen deutlich. Das ist der Hintergrund von sogenannten CDNs – „Content Delivery Networks“.
Die davon erhofften Vorteile sind unter anderem kürzere Ladezeiten für den Nutzer, aber auch höhere Sicherheit gegen Angriffe, die auf Überlastung eines Servers zielen, wie z.B. DDoS-Attacken.
Diese Betrachtung – die im Verfahren in München augenscheinlich nicht vorgetragen wurde – könnte die Bewertung des berechtigten Interesses anders ausfallen lassen.
Bei der Frage, ob eine Datenverarbeitung gem. Art. 6 Abs. 1 f) DSGVO zulässig ist, ist regelmäßig eine Interessenabwägung zwischen den Rechten der betroffenen Person und den Interessen der Verarbeiter vorzunehmen. Einige nähere Erläuterungen dazu liefert der europäische Gesetzgeber in den Erwägungsgründen 47-49 der DSGVO.
Hier wird die dynamische IP-Adresse an Google ermittelt, verbunden mit der Information, dass eine bestimmte Schriftart genutzt werden soll. Auch unter der Berücksichtigung der Tatsache, dass Google bekannt dafür ist, Daten zu sammeln und miteinander zu verknüpfen, ist hier bereits fraglich, welchen Mehrwert diese Daten haben.
Auf der anderen Seite ist der Schutz vor DDoS-Angriffen ausdrücklich als berechtigtes Interesse vom Gesetzgeber genannt (Erwägungsgrund 49 DSGVO).
Bei der Interessenabwägung wäre jedoch auch zu klären, welche Daten genau an Google übertragen werden, möglicherweise über die IP-Adresse hinaus. So ist beispielsweise möglich, dass in der HTTP-Anfrage an den Server neben der IP-Adresse noch die Webseite übertragen wird, von der aus der Link aufgerufen wird. Damit ließen sich wiederum Nutzerprofile erstellen, was wiederum die Interessenabwägung sehr zu Seiten des Betroffenen verschiebt.
Weiterhin ist zu berücksichtigen – was das LG München an anderer Stelle auch getan hat – dass die Daten in die USA übertragen werden. Die USA sind ein Drittstaat, für den die weiteren Vorschriften der Art. 44 ff. DSGVO anzuwenden sind. Aktuell ist nach der Entscheidung des EuGH Schrems II die Datenübermittlung in die USA lediglich unter Vereinbarung von hinreichenden Garantien oder in den Ausnahmefällen des Art. 49 DSGVO zulässig.
Vom Ergebnis gedacht ist die Entscheidung des LG München wohl weiterhin zutreffend, jedoch ist hier durchaus eine andere Entscheidung gut vertretbar.
Das Landgericht hat die aktuelle Diskussion um eine mögliche Bagatellgrenze für immateriellen Schadensersatz bei Datenschutzverstößen hier umgangen, indem es pauschal darauf abgestellt hat, dass hier jedenfalls kein Bagatellverstoß vorliegt.
Auch wenn es sich dadurch die vom BVerfG geforderte Vorlage an den EuGH (vgl. BVerfG, Beschluss vom 14.01.2021 - 1 BvR 2853/19 - openJur) spart, ist diese Einschätzung doch eher zweifelhaft. Wie bereits erläutert, fällt die bereits die Interessenabwägung zu der Frage, ob die Verarbeitung gerechtfertigt ist, nicht eindeutig aus.
Für die Begründung des immateriellen Schadensersatzes hat das Landgericht sich auf den in Erwägungsgrund 75 DSGVO erwähnten „Kontrollverlust“ bezogen. Der Erwägungsgrund listet eine Menge möglicher Schäden auf, von denen einer ist, dass die Betroffenen „[…] daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren […]“.
Grundsätzlich ist der Schadensbegriff dabei laut Erwägungsgrund 146 DSGVO weit auszulegen. Immaterielle Schäden – also Schmerzensgeld – sind eindeutig einbezogen.
Eine nähere Klärung gibt es aber bisher nicht, wie auch das BVerfG (a.a.O.) feststellt.
Insbesondere hat das Landgericht hier darauf abgestellt, dass die Haftung aus Art. 82 Abs. 1 DSGVO auch „präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll.“
Mit der Begründung einer Präventionswirkung des Schadensersatzes führt das Landgericht einen Strafschadensersatz ein, der im deutschen Recht eigentlich keinen Platz hat. Für die Präventionswirkung sind gem. Art. 83 abs. 1 DSGVO ausdrücklich die von den Aufsichtsbehörden verhängten Geldbußen gedacht.
Das Urteil des Landgerichts ist im Einzelfall vertretbar, beantwortet aber – wohl mangels Vortrag – viele Fragen nicht.
In der Bewertung des Schmerzensgeldes ist ebenfalls unklar, ob sich die Rechtsprechung in der Begründung der Entscheidung des Landgerichts anschließen wird.
Auf Grund der Verbreitung von Google Fonts (laut Angaben der Webseite „buildwith.com“ nutzt ca. jede achte deutsche Webseite die Google Fonts API) wird es in Zukunft sicherlich noch zu weiteren Entscheidungen kommen.