Google Fonts und individuelle Schadensersatzansprüche bei Datenschutzverstößen
Geschrieben von Amelie Sluiter, veröffentlicht am 20.10.2022Google Fonts und individuelle Schadensersatzansprüche bei Datenschutzverstößen
Im Januar dieses Jahres verurteilte das Landgericht München (LG München) einen Webseitenbetreiber zu einem Schadensersatz in Höhe von 100 € wegen der unrechtmäßigen Weitergabe einer IP-Adresse im Zusammenhang mit der Nutzung von Google Fonts.
Während Unternehmen bislang bei Verstößen gegen datenschutzrechtliche Vorschriften vor allem behördliche Bußgelder fürchten mussten, legt das Urteil des LG München nahe, dass bald auch private Klagen auf Schadensersatz möglich sein könnten. Dies würde zu einer vollkommen neuen Dynamik bei der Sanktionierung von datenschutzrechtlichen Verstößen führen.
Das Urteil des LG München: Das Wichtigste in Kürze
Das LG München hat im Januar im Streit zwischen einem Webseitenbetreiber und einem Webseitenbesucher entschieden.
Der angeklagte Webseitenbetreiber hatte seine Nutzung von Google Fonts auf ein berechtigtes Interesse gestützt. Dies sei jedoch nach dem LG München nur dann rechtmäßig, wenn die Schriftarten lokal eingebunden (also „selbst gehostet“) sind. Sonst sei es lediglich möglich die Nutzung auf eine wirksame Einwilligung zu stützen. Da der angeklagte Webseitenbetreiber jedoch weder eine Einwilligung der Nutzer eingeholt noch die Schriftarten lokal eingebunden hatte, kam das Gericht zu dem Ergebnis, dass die Verarbeitung der personenbezogenen Daten unrechtmäßig erfolgte.
Als Folge stellte das LG München fest, dass hierdurch ein rechtswidriger Eingriff in das allgemeine Persönlichkeitsrecht vorgelegen habe. Es entschied, dass dieser Eingriff im Hinblick auf den Kontrollverlust über sein personenbezogenes Datum bei dem Kläger ein so erhebliches individuelles Unwohlsein ausgelöst hatte, dass ein Schadensersatzanspruch gerechtfertigt war.
Die Frage, ob solche Schadensersatzansprüche bei Datenschutzverstößen grundsätzlich möglich sind, wurde auch dem Europäischen Gerichtshof (EuGH) vorgelegt. In dem Verfahren, welches durch Vorlage des Obersten Gerichtshof in Österreich angestoßen wurde, geht es darum, dass ein österreichischer Adressenverlag Informationen zu Parteiaffinitäten erfasste und anhand bestimmter Merkmale „Zielgruppenadressen“ definierte. Eine betroffene Person macht gegen dieses Vorgehen ein erhebliches inneres Unwohlsein geltend und verlangt Schadensersatz in Form von Schmerzensgeld. Da sich der EuGH jedoch grundsätzlich nicht mit dem konkreten Fall in seinen Einzelheiten, sondern den zugrundliegenden abstrakten Rechtsfragen beschäftigt, sind die Überlegungen des Gerichts auf jegliche Datenverarbeitungen in der Europäischen Union anwendbar. Im noch laufenden Verfahren hat sich nun der Generalanwalt Sánchez-Bordona geäußert.
Folgen des Urteils und zentrale Fragen in diesem Zusammenhang
Das Urteil des LG München hat weitreichende Folgen für den Datenschutz, nicht nur für den Einsatz von Google Fonts, sondern auch hinsichtlich grundlegender Fragen bei der Sanktionierung von Datenschutzverstößen.
Verarbeitet Google Fonts überhaupt personenbezogene Daten?
In der Diskussion, die Google Fonts seit dem Urteil im Januar umgibt, wird immer wieder behauptet, dass Google im Zusammenhang mit der Nutzung von Google Fonts gar keine personenbezogenen Daten verarbeiten würde.
Google stellt selbst in Ihren FAQs zu Google Fonts (welche zuletzt im Juli 2022 aktualisiert wurden) Informationen zu der Datenübermittlung bei der Verwendung von Google Fonts Verfügung.
In diesen FAQ kann man lesen, dass Google die Details der Anfrage einschließlich des Zeitstempels, der angeforderten URL und aller HTTP-Header protokolliere, nicht jedoch die IP-Adressen, die in Verbindung mit der Verwendung von Google Fonts bereitgestellt werden.
Diese Aussage wird häufig als Versicherung von Google missverstanden, keine personenbezogenen Daten oder jedenfalls keine IP-Adressen zu verarbeiten. Dies geht aus der von Google verwendeten Formulierung jedoch keineswegs hervor. So ist lediglich und explizit eine „Protokollierung”, nicht jedoch die Übermittlung von IP-Adressen ausgeschlossen. Aber auch eine Übermittlung von IP-Adressen stellt eine Verarbeitung von personenbezogenen Daten dar.
Außerdem legt auch die Funktionsweise der webbasierten Einbindung von Google Fonts schon nahe, dass eine Übermittlung von IP-Adressen weiterhin stattfinden muss.
Denn sind die Google Fonts nicht selbst gehostet, wird durch das Aufrufen der Seite, die Information, dass ein Browser eine bestimmte Schriftart vom Google Server laden soll, übermittelt. Der Browser besucht dann im Hintergrund die Google Bibliothek und lädt die entsprechende Schriftart in den Cache des Browsers herunter. Hier muss Google die IP-Adresse des Webseitenbesuchers nach dem Sender-Empfänger-Prinzip verarbeiten, um überhaupt wissen zu können, wo die Schriftart empfangen werden soll. Google bekommt auch Einsicht in die Art des Browsers und die verweisende Webseite, also die aufgerufene Webseite, auf der die Google Schriftart installiert ist.
Auch im Lichte der Aussage von Google, keine IP-Adressen zu protokollieren, bleiben wir deswegen bei unserer Empfehlung Google Fonts entweder lokal einzubinden (selbst zu hosten) oder eine wirksame Einwilligung der betroffenen Personen einzuholen.
Ändert die neue Executive Order von Biden die Risikoeinschätzung bei Datenübermittlungen in die USA?
Die Tatsache, dass bei der Nutzung von Google Fonts eine Übermittlung der personenbezogenen Daten in die USA stattfindet, war ein zentraler Punkt des Urteils des LG München. Dabei wurde zu Recht darauf verwiesen, dass dort kein angemessenes Datenschutzniveau gewährleistet sei, wie der EuGH bereits 2020 in seiner sog. „Schrems II“-Entscheidung festgestellt hatte.
Nun hat US-Präsident Joe Biden am 07.Oktober 2022 eine Durchführungsverordnung (Englisch: Executive Order) unterzeichnet, die für die Übermittlung von personenbezogenen Daten von und nach Amerika Rechtssicherheit schaffen soll.
In der Folge fragen sich nun viele, ob diese neue Entwicklung die Risikoeinschätzung bei Datenübermittlungen in die USA und somit auch die Risikoeinschätzung für die Nutzung von Google Fonts grundlegend verändert.
Hierbei ist jedoch zu beachten, dass die Executive Order zunächst lediglich für die betroffenen amerikanischen Behörden und offiziellen Stellen bindend ist, die ihre Vorgaben nun umsetzen müssen. Sie legt somit die Grundlage für eine mögliche, zukünftige Änderung der Einschätzung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
Sobald es im Zusammenhang mit der Datenübermittlung in die USA tatsächlich grundliegende Änderungen gibt, werden wir Sie hiervon selbstverständlich informieren. Aktuell hat diese Entwicklung aber keinen Einfluss auf eine rechtsichere Einbindung von Google Fonts im speziellen oder auf eine Übermittlung personenbezogener Daten in die USA im Allgemeinen.
Stimmt es, dass es nun möglich ist Schadensersatz gegen jede Webseite geltend zu machen, die Google Fonts verwendet?
Seit dem Urteil des LG München wurden viele Webseitenbetreiber von Abmahnungen hinsichtlich ihrer Einbindung von Google Fonts überrascht. Es kann regelrecht von einer „Abmahnungswelle“ gesprochen werden. Der Grund für diese Abmahnungswelle ist in der Auslegung des Urteils des LG München zu finden. So verstehen einige das Urteil so, dass nun ein pauschaler Anspruch auf Schadensersatz jedes einzelnen Besuchers einer Webseite besteht.
Die Abmahnungen führen häufig zu Unsicherheiten, vor allem bei der Frage wie am besten auf sie zu reagieren ist.
Es ist in diesem Zusammenhang darauf hinzuweisen, dass sich zuletzt auch Generalanwalt Manuel Campos Sánchez-Bordona am EuGH mit der Frage, ob durch Datenschutzverstöße auch individuelle Schadensersatzansprüche entstehen können, befasst hat.
In seinen Schlussanträgen vom 06.10.22 hat er dazu ausgeführt, dass ein bloßer Verstoß gegen Normen der europäischen Datenschutz-Grundverordnung (DSGVO) keinen Anspruch auf Schadensersatz begründen könne. Es müsste stattdessen auch weiterhin ein echter Schaden vorliegen, dieser könne sich jedoch auch als immaterieller Schaden ausdrücken. Hinsichtlich der Frage, wann ein solcher immaterieller Schaden vorliegt, hat er lediglich ausgeführt, dass bloßer Ärger über den Verstoß nicht ausreichend ist.
Es sei Sache der nationalen Gerichte, sagt er, herauszuarbeiten, wann ein subjektives Unmutsgefühl im Einzelfall als immaterieller Schaden angesehen werden kann.
Es ist dabei selbstverständlich zu beachten, dass es zwar erfahrungsgemäß wahrscheinlich ist, dass die Richter des EuGH dem Generalanwalt in seinen Schlussanträgen folgen, dass sie jedoch keinesfalls an sie gebunden sind. Ein endgültiges Urteil des EuGH könnte das rechtliche Verständnis des Problems somit erneut grundlegend verändern.
Dennoch ist es wichtig, die Einschätzungen des Generalanwalts auf das Urteil des LG München anzuwenden. Das LG München hat – wie oben bereits beschrieben – bei seinem Urteil geltend gemacht, dass die Weitergabe der IP-Adresse des Nutzers bei ihm ein so erhebliches individuelles Unwohlsein ausgelöst hat, dass ein Schadensersatzanspruch gerechtfertigt war.
Das LG München hat somit in seinem Urteil keinesfalls einen pauschalen Anspruch auf Schadensersatz bei Datenschutzverstößen postuliert. Es wurde stattdessen klar auf das individuelle Unwohlsein im Einzelfall abgestellt.
Sowohl das LG München als auch die Schlussanträge des Generalanwalts rechtfertigen somit nicht die Annahme einer pauschalen Ersatzfähigkeit von Datenschutzverstößen. Außerdem geht aus ihnen auch nicht hervor, dass jeder Besucher einer Webseite, die Google Fonts rechtswidrig nutzt, nun Schadensersatz hierfür verlangen kann. Dennoch zeigt das Urteil vom Januar, dass deutsche Gerichte bereit sind, betroffenen Personen im Einzelfall einen zwar immateriellen, aber dennoch ersatzfähigen Schaden zuzusprechen.
Im Fall der Abmahnungswelle spricht viel dafür, dass die Abmahnungen rechtsmissbräuchlich sein könnten. Außerdem kann im Einzelfall zweifelhaft sein, ob tatsächlich ein so erhebliches individuelles Unwohlsein vorliegt, dass ein immaterieller Schaden ersetzt werden muss. Gegen die Annahme eines erheblichen immateriellen Schadens spricht zum einen das gezielte Suchen nach Webseiten, die Google Fonts nicht den Vorgaben des LG München entsprechend eingebunden haben. Hier lässt sich argumentieren, dass die Datenschutzverletzung bewusst in Kauf genommen wird. Dies wird dadurch bestärkt, dass der Webseitenbesuch oft nur wenige Sekunden dauert, was darauf deutet, dass die Beschwerdeführer kein Interesse an dem Besuch der Webseite um ihres eigentlichen Inhalts willen haben. Von einem erheblichen Unwohlsein des Webseitenbesuchers kann dann nicht mehr gesprochen werden.
Darüber hinaus haben sich in Österreich, wo eine ähnliche Abmahnwelle einsetzte, einige Juristen den Verdacht geäußert, bei den Besuchen könnte sog. Crawler-Software zum Einsatz gekommen sein. Hierbei handelt es sich um ein Programm, dass ohne Zutun einer natürlichen Person einzelne Webseiten analysiert, um die korrekte oder inkorrekte Einbindung von Google Fonts zu ermitteln. Da in diesem Fall keine Daten einer natürlichen Person, sondern nur Daten einer Software verarbeitet werden, könnte es sich bei diesem Vorgehen sogar um eine Straftat handeln. Da nämlich mangels Verarbeitung personenbezogener Daten kein Datenschutzverstoß vorliegt, wenn eine Webseite lediglich von einer Software untersucht wird, kann folglich auch kein persönlicher (immaterieller) Schaden eintreten. Wird dieser von den Klägern dennoch als bestehend behauptet, um sich an dem Schadenersatz zu bereichern, kann es sich durchaus um Betrug gem. § 263 StGB handeln.
Aufgrund der vermutlichen Haltlosigkeit der Abmahnungen ist ein deutsches Unternehmen nun gegen die Abmahnungen gerichtlich vorgegangen und hat vor dem LG Baden-Baden eine einstweilige Verfügung erwirkt. Der Unterlassungsanspruch wurde auf einen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb gestützt und spricht dem Antragsgegner das Verbot aus, sich weiter im Zusammenhang zu Google Fonts beim Antragsteller zu melden. Zwar entfaltet die einstweilige Verfügung nur Wirkung zwischen den Parteien. Dennoch handelt es sich um einen klaren Hinweis, dass auch Gerichte von der Rechtsmissbräuchlichkeit des Vorgehens ausgehen.
In Österreich wurden nach einer ähnlichen Abmahnungswelle bereits Anzeigen wegen gewerbsmäßigen Betrugs erhoben. Auf der Webseite der Datenschutzbehörde von Österreich heißt es inzwischen: „Es wird [..] ausdrücklich klargestellt, dass die Feststellung von Rechtsverstößen in Datenschutzangelegenheiten in Österreich ausschließlich in die Zuständigkeit der Datenschutzbehörde oder der österreichischen Gerichte fällt, jedoch keinesfalls von privaten Einrichtungen oder Privatpersonen vorzunehmen ist. Die Feststellung einer Datenschutzverletzung kann somit immer erst nach Durchführung eines gesetzlich bestimmten, formgebundenen Verfahrens erfolgen.“. Die Ausführungen der Behörde gelten entsprechend für die Feststellung eines immateriellen Schadens, der nach deutschem Recht nur ausnahmsweise und nach den Umständen des konkreten Einzelfalls ersatzfähig ist. Zwar bestimmt Satz 3 des Erwägungsgrundes 146 der DSGVO, der Begriff des Schadens gem. Art. 82 Abs. 1 DSGVO sei weit auszulegen. Inwieweit diese Bestimmung für sich genommen ausreicht, das enge Haftungsregime zum deutschen Schmerzensgeld gem. § 253 BGB zu überformen, muss die Entscheidung des EuGH zeigen. Bereits die Ausführungen des Generalanwalts Manuel Campos Sánchez-Bordona legen jedoch nahe, dass ein gezieltes Suchen nach Datenschutzverstößen von Art. 82 DSGVO jedenfalls nicht erfasst sein sollen.
Insgesamt bleibt die Frage nach dem Schadenersatz in Folge der inkorrekten Einbindung von Google Fonts fraglich. Es spricht jedoch einiges dafür, die derzeitige Abmahnwelle unter dem Gesichtspunkt eines immateriellen Schadens für unbegründet, wenn nicht gar rechtsmissbräuchlich zu halten.
Hinweis: die allgemeinen Ausführungen zur Einschätzung der Abmahnpraxis stellen keine Rechtsberatung, sondern lediglich unsere Rechtsmeinung dar und können daher eine fachanwaltliche Beratung nicht ersetzen. Falls Sie eine Abmahnung erhalten, sollten Sie das weitere Vorgehen im Zweifel immer mit einem entsprechenden Fachanwalt besprechen.
Fazit
Das Urteil des LG München hat erhebliche Auswirkungen für Webseitenbetreiber, die Google Fonts nun nur noch rechtmäßig nutzen können, wenn sie die Schriftarten entweder selbst hosten oder wenn sie die Nutzung auf eine wirksame Einwilligung der Webseitenbesucher stützen. Auch Googles Versicherung IP-Adressen nicht zu protokollieren und die neue Executive Order von Joe Biden ändern nichts an dieser Empfehlung.
Dennoch folgt aus der Feststellung, dass die Einbindung von webbasierten Google Fonts unrechtmäßig ist, noch nicht, dass nun jeder Besucher einer Webseite einen Schadensersatzanspruch gegen den Webseitenbetreiber hat. Der unrechtmäßige Einsatz kann jedoch weiterhin jedenfalls ein Bußgeld der Behörden nach sich ziehen.
Weiter sollte auch beachtet werden, dass durch das Herunterladen der Schriftarten in den Cache des Browsers der Webseitenbesucher auch der Anwendungsbereich des Art. 25 Abs 1 des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) eröffnet ist, wonach die webbasierte Einbindung ebenfalls lediglich aufgrund einer wirksamen Einwilligung des Nutzers erfolgen darf.