Haftung bei der Weitergabe dynamischer IP-Adressen über Google Fonts
Google Fonts ist eine Sammlung von über 1.300 kostenlosen digitalen Schriftarten aus dem Hause Google. Website-Betreiber können die Schriftarten auf ihren Websites einbinden. Dazu gibt es zwei Vorgehensweisen: Man kann die Schriftarten herunterladen und lokal einbinden, sodass beim Aufrufen der Website keine Verbindung zu Googles Servern aufgebaut wird und somit keine Daten von Website-Besuchern an Google übertragen werden. Alternativ kann man die Schriftarten beim Besuch der Website ohne vorherigen Download direkt von Google Fonts beziehen. Dabei wird notwendigerweise eine Verbindung zu Googles Servern aufgebaut. In diesem Zusammenhang bezieht man aber nicht nur die Schriftarten, sondern übermittelt im Gegenzug die IP-Adressen der Website-Besucher an Google.
Eine Website-Betreiberin hatte sich für letztere Variante entschieden, ohne aber die Besucher der Website (etwa mittels eines Consent-Banners) um ihre Einwilligung zu bitten. Ein Besucher, dessen dynamische IP-Adresse auf diese Weise von der Website an Google übermittelt wurde, erhob daraufhin Klage gegen die Website-Betreiberin und verlangte Schadensersatz aufgrund der rechtswidrigen Weitergabe personenbezogener Daten. Das Landgericht München gab der Klage statt und verurteilte die Website-Betreiberin u.a. zur Zahlung von Schadensersatz in Höhe von 100 €.
Erhebliche Verletzung der Persönlichkeitsrechte
Das Landgericht München, das kürzlich schon einmal mit einem Urteil Aufsehen erregte, in dem es einem Kläger Schadensersatz aufgrund eines Datenschutzverstoßes zusprach, erkannte einen Schadensersatzanspruch an. Die dynamische IP-Adresse sei ein personenbezogenes Datum, in dessen Übertragung der Kläger nicht eingewilligt habe und für die auch kein berechtigtes Interesse der Website-Betreiberin vorgelegen habe. Die unerlaubte Übertragung sei mithin ein Verstoß gegen das Recht des Klägers, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Dieses Recht sei Teil des Rechts auf informationelle Selbstbestimmung, das wiederum einen Teil des allgemeinen Persönlichkeitsrechts ausmache. Und da das allgemeine Persönlichkeitsrecht eines der vom Bürgerlichen Gesetzbuch geschützten Rechtsgüter darstellt, wurde dem Kläger ein Schadensersatzanspruch in Höhe von 100 € zugesprochen.
Es komme hier nach Ansicht des Gerichts nicht auf die Frage an, ob für einen Schadensersatzanspruch eine bestimmte Erheblichkeitsschwelle überschritten werden muss, da die Verletzung des allgemeinen Persönlichkeitsrechts hier in jedem Fall erheblich sei. Zum einen habe es nicht nur einen, sondern mehrere unerlaubte Übermittlungen gegeben. Zum anderen sei die Übermittlungen an Google erfolgt, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammle und zudem seine Server in den USA habe, wo kein angemessenes Datenschutzniveau gewährleistet sei. Unter Berücksichtigung dieser Gesichtspunkte sei das vom Kläger empfundene Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt sei.
Das Gericht betonte, dass der Kläger auch nicht zur „Verschlüsselung“ (gemeint war wohl die Verschleierung etwa mittels eines Virtual Private Network [VPN]) verpflichtet war, da eine solche Pflicht dem Zweck des Datenschutzrechts zuwiderlaufen würde.
Neben der Zahlung von Schadensersatz wurde die Website-Betreiberin auch für die Zukunft zur Unterlassung einer derartigen unerlaubten Weitergabe von personenbezogenen Daten über Google Fonts verpflichtet. Das Gericht sah eine Wiederholungsgefahr aufgrund der Vielzahl von bereits erfolgten rechtswidrigen Übermittlungen, obwohl die Website-Betreiberin zum Zeitpunkt des Urteils Google Fonts inzwischen so nutzte, dass IP-Adressen nicht mehr an Google übermittelt wurden.
Einschätzung des Urteils
Der Schadensersatzanspruch in Höhe von 100 € wirkt auf den ersten Blick unbedeutend. Wenn jedoch eine größere Zahl von Besuchern der entsprechenden Website diesen Anspruch geltend macht, kann der Betrag schnell in für den jeweiligen Website-Betreiber unangenehme Höhen klettern. Dabei ist zu berücksichtigen, dass die Höhe des entstandenen Schadens proportional zur Größe der Website ist: Je mehr „Traffic“ (also Aufrufe) eine Website generiert, desto mehr IP-Adressen werden übermittelt und desto mehr Besucher können einen Schadensersatzanspruch geltend machen. Betreiber von kleineren Websites treffen Schadensersatzansprüche in dreistelliger Höhe bereits empfindlich, während auf die Betreiber größerer Websites ganze Wellen von Schadensersatzansprüchen zurollen könnten.
Dabei ist jedoch zu beachten, dass die Nutzung von Google Fonts nicht per se problematisch ist. Erstens ist der Service bedenkenlos nutzbar, indem man die Schriftarten herunterlädt und lokal einbindet. Und zweitens kann man die Schriftarten auch „live“ von Google Fonts beziehen, solange die Website-Besucher vorher (beispielsweise über ein Consent-Banner) ihre Einwilligung dazu geben.
Fazit: Einwilligung der Nutzer unbedingt einholen
Website-Betreiber, die Google Fonts oder vergleichbare Dienste nutzen, bei denen eine Übermittlung der personenbezogenen Daten von Website-Besuchern an den Bereitsteller der jeweiligen Dienste stattfindet, sind nach wie vor auf der sicheren Seite, solange sie vorher die Einwilligung ihrer Nutzer einholen. Datenschutzrechtlich vorzugswürdig und am sichersten sind aber Lösungen, bei denen die Besucherdaten gar nicht erst übermittelt werden.
Bei einer Übermittlung ohne oder gegen den Willen der Website-Besucher können diese Besucher Schadensersatzansprüche geltend machen, die für verantwortliche Website-Betreiber schmerzhaft sein können. Es sollte daher auch aus wirtschaftlicher Hinsicht darauf geachtet werden, die DSGVO-Verpflichtungen einzuhalten.
Wenn Sie Fragen zu datenschutzrechtlichen Pflichten oder Rechten haben oder Unterstützung bei der Umsetzung der DSGVO-Pflichten benötigen, helfen wir Ihnen gerne.