Schadenersatz wegen rechtswidriger Einbindung von Google Fonts - Wegweiser über den Einzelfall hinaus

Schadenersatz wegen rechtswidriger Einbindung von Google Fonts – Wegweiser über den Einzelfall hinaus

Rechtswidrige Einbindung von Google Fonts – Das Urteil

Das Landgericht München hatte in seinem Urteil vom 20.01.2022 (Az. 3 O 17493/20) über die Ansprüche einer betroffenen Person gegen einen Websitenbetreiber im Bezug auf die Einbindung von Google Fonts entschieden. Dem Kläger wurde dabei ein Schadenersatzanspruch in Höhe von 100,00 € zugesprochen. Der Beklagte wurde unter Anwendung des § 823 Abs. 1 i.V.m. § 1004 BGB analog untersagt, die IP-Adresse des Klägers zukünftig an Google weiterzugeben.

Technischer Hintergrund

Im zu entscheidenden Fall nutze der Websitenbetreiber Google Fonts in der Onlineversion. Google Fonts dient dazu, Darstellungsprobleme bei Homepages zu vermeiden. Statt nur die lokal auf dem jeweiligen Endgerät gespeicherten Schrifttypen zu verwenden, die sich je nach Endgerät unterscheiden können, wird bei Aufruf einer Homepage eine Verbindung zu Google aufgebaut und die Google Schrifttypen zur Darstellung auf dem jeweiligen Endgerät verwendet. Dabei werden nun nicht nur die Schrifttypen an den Nutzer übertragen, sondern, wie bei vielen Google Diensten, auch die IP-Adresse des Nutzers an Google in die USA übermittelt.

Wichtig, nicht nur bei der konkreten Gerichtsentscheidung ist, dass Google Fonts auch lokal auf dem Server des Websitenbetreibers installiert werden kann und bei dieser Einbindungsform keine IP-Adressen oder sonstige personenbezogene Daten an Google übermittelt werden.

Rechtsgrundlage für die Nutzung von Google Fonts

Nach Ansicht des Gerichtes stellt die Übermittlung der IP-Adresse an Google eine Verletzung des Informationellen Selbstbestimmungsrechtes des Klägers dar. Dieser habe gerade nicht im Sinne des Art. 6 Abs. 1 lit. a DSGVO, § 13 Abs. 2 TMG a.F in die vorliegende Art der Datenverarbeitung eingewilligt. Die Rechtsgrundlage des Art. 6 Abs. 1 lit. f. DSGVO stufte das Gericht hier als anwendbar ein. Entgegen der Auffassung des Beklagten lag kein berechtigtes Interesse an der Datenübermittlung vor. Das Gericht begründete das gerade mit der Möglichkeit, Google Fonts ohne Datenübermittlung lokal zu betreiben.

rechtswidriger Einbindung von Google Fonts – Der Schadenersatzanspruch

Das die Verwendung vieler Google Produkten nur noch mit der datenschutzrechtlichen Einwilligungserklärung der Homepagenutzer betrieben werden können, bedarf zwar noch der regelmäßigen Wiederholung, ist aber für mit Datenschutz befasste Personen nicht wirklich neu. Interessanter sind hier schon die Ausführungen des Gerichtes zum Schadenersatzanspruch des Klägers. Gestützt ist der Anspruch dabei auf Art. 82 DSGVO und das Gericht folgt bei seiner Auslegung dem Erwägungsgrund 146 demzufolge der Begriff des Schadens weit auszulegen sein.

Das Gericht nimmt in seiner Entscheidung auch Bezug auf die juristische Frage, ob ein Schaden eine Erheblichkeitsschwelle überschreiten müsse und ob damit für sog. Bagatellschäden keine Forderung auf Schadenersatz bestehen könne. Nach Ansicht des Gerichts sei diese Frage nicht entscheidungserheblich, da das durch die Übermittlung der IP-Adresse an Google hervorgerufene Unwohlsein so erheblich sei, dass ein Schadenersatzanspruch in Höhe von 100,00 € gerechtfertigt sei. Das Gericht begründet dies unter anderem damit, dass Google bekanntermaßen Daten über seine Nutzer sammle.

Gerade diese Aussage ist für die datenschutzrechtliche Praxis äußerst relevant. So wird doch oftmals vertreten, dass die Weitergabe von IP-Adressen für die betroffenen Personen mit keinerlei realen Nachteilen verbunden ist und daher eine lässliche Verfehlung darstelle. Dieser Standpunkt ist aber nunmehr, insbesondere bei einer Datenweitergabe an Google, nicht mehr haltbar.

Höhe des Schadenersatzes

Ein Schadenersatz in Höhe von 100,00 € wirkt auf den ersten Blick nicht spektakulär und wird von dem beklagten Unternehmen wohl auch zu verkraften sein.

Bei der Berücksichtigung des Urteils in einer innerbetrieblichen Risikoanalyse darf dies aber nicht zu voreiligen Schlüssen führen.

Zum einen können die Ausführungen des Gerichts zum Ausschluss von Bagatellschäden auch in anderen Bereichen relevant werden, in den vermeintlich eine völlig unerhebliche Beeinträchtigung der betroffenen vorliegt.

Zum anderen muss man bedenken, dass es bei rechtswidrigen Homepagekonfigurationen schnell tausende von Geschädigten geben kann und sich die Schadenersatzansprüche demzufolge aufsummieren können.  Relevant wird in diesem Zusammenhang auch die weitere Entwicklung in Bezug auf Verbandsklagen im Datenschutzrecht.

Datenexport auf Grund der Einwilligung

Eine weitere interessante Rechtsfrage auf dem Bereich datenschutzkonformer Betrieb einer Homepage wurde durch das Urteil leider nicht geklärt. Nämlich die Frage, ob der Datenexport in die USA durch die Einwilligungserklärung des Nutzers über den Cookie Banner legitimiert werden kann und damit der Wegfall des Privacy Shields zumindest im Bereich Homepage ausgeglichen werden kann. Das Landgericht München führt zum Thema Drittstaatenexport aus, dass die IP-Adressen unstreitig auf die Server von Google in die USA übermittelt würden. Im konkreten Fall wurde aber gerade keine Einwilligung des Klägers eingeholt. Daher konnte das Gericht auch nicht über eine mögliche Wirksamkeit einer Einwilligungserklärung im Kontext Datenexport entscheiden.

Bei Fragen rund um Datenschutz oder Informationssicherheit wenden Sie sich gerne an Ihr Team der aigner business solutions GmbH. Verwenden Sie dazu einfach unser Kontaktformular.

Außerdem können Sie uns telefonisch unter folgenden Telefonnummern erreichen:

Zentrale Hutthurm  Tel.: +49 (0) 8505 91927 – 0
Niederlassung München  Tel.: +49 (0) 8941 32943 – 0

This post is also available in: Englisch