Nach der Entscheidung des LG München zum Schmerzensgeld wegen immateriellen Schadens aufgrund der Verwendung von Google Fonts auf einer Website lassen sich nun vermehrt datenschutzrechtliche Drohbriefe finden. Die Verfasser schicken datenschutzrechtlich Verantwortlichen, die eine Website mit Google Fonts ohne lokale Einbindung betreiben, einen Brief, in dem sie Schmerzensgeld nach der DSGVO fordern. Sollte der Forderung nicht folge geleistet werden, sei der Verfasser bereit, den Betrag einzuklagen.
Die Empfänger solcher Briefe sind nicht selten völlig überfordert mit der Situation. Hier erfahren Sie, was hinter solchen Briefen wirklich steckt und wie Sie damit umgehen sollten.
Grundlage: Urteil des LG München
Das LG München entschied vor einigen Monaten folgenden Fall: Ein Website-Betreiber verwendete Google Fonts, ohne dies auf einem eigenen Server zu hosten. Dadurch wurde die IP-Adresse aller Website-Besucher an amerikanische Server von Google übermittelt. Dies war auch nicht durch eine entsprechende Einwilligung der Website-Besucher über eine solche Drittlandübermittlung gedeckt. Hierin lag ein Verstoß gegen die DSGVO vor.
Das LG München gab dem Kläger in seiner Forderung nach Schadensersatz (Art. 82 DSGVO) Recht und sprach ihm 100 € zu (AZ 3 O 17493). Das Gericht begründete die Entscheidung unter anderem damit, dass der Kläger die Kontrolle über seine personenbezogenen Daten verloren habe.
Datenschutzrechtliche Drohbriefe: Inhalt
In Folge dieses Urteils erhalten immer mehr Betreiber von Websites, die Google Fonts nicht lokal eingebunden nutzen, datenschutzrechtliche Drohbriefe. Darin beschreibt der Verfasser meist die datenschutzrechtliche Situation und verweist auf das Urteil des LG München. Im Anschluss fordert der Verfasser den Verantwortlichen auf, ebenfalls 100 € Schadensersatz an ihn zu zahlen. Unterschwellig droht der Verfasser dann damit, den Fall ansonsten vor Gericht zu bringen.
Dieses Vorgehen scheint kein Einzelfall zu sein. Drohbriefe solchen Inhaltes sind momentan massenhaft zu beobachten.
Vorgehen der Verfasser
Der Inhalt dieser datenschutzrechtlichen Drohbriefe legt nahe, dass die Verfasser den datenschutzrechtlichen Schadensersatz als Einkommensquelle für sich nutzen wollen. Sie scheinen gezielt nach Websites zu suchen, die Google Fonts nicht lokal eingebunden verwenden. Dann sichern sie wahrscheinlich entsprechende Beweise, wie ihre IP-Adresse beim Besuch der Website übermittelt wird und kontaktieren dann den im Impressum hinterlegten Verantwortlichen.
Datenschutzrechtliche Einschätzung solcher Drohbriefe
Adressaten solcher datenschutzrechtlichen Drohbriefe sehen sich vor der großen Frage, ob Sie mit einer Zahlung auf solche Briefe reagieren sollten oder ob es sich bei dem Brief um „viel Lärm um nichts“ handelt.
In erster Linie ist festzustellen, dass im Vorgehen der betroffenen Website-Betreiber in jedem Fall ein Verstoß gegen die DSGVO vorliegt. Fraglich ist nur, wie sich die Gerichte entscheiden würden und ob der Fall tatsächlich gleichgelagert zu dem ist, in dem das LG München zuletzt entschieden hat.
Mitverschulden des Verfassers der Drohbriefe
Auch wenn der Schadensbegriff der DSGVO immer noch umstritten ist, ist zumindest in diesen Fällen fraglich, ob ein Mitverschulden vorliegt. Nach § 254 I BGB ist ein Schadensersatz entsprechend der Mitschuld zu kürzen, wenn der Geschädigte mitverantwortlich am Eintritt des Schadens ist.
Im Falle der Drohbriefe hat der potentielle Geschädigte die Websites gerade aufgerufen, weil er die Übermittlung der personenbezogenen Daten aufzeichnen wollte. Damit hat er den Schadenseintritt eigenverantwortlich herbeigeführt.
Außerdem trifft den Geschädigten eine Schadenminderungspflicht (§ 254 II BGB), die er mit diesem Vorgehen ebenfalls verletzt. Der Verfasser hat den Schadenseintritt geradezu provoziert.
Nach einhelliger Ansicht sind diese Normen des nationalen Rechtes auch auf die DSGVO ergänzend anwendbar.
In Anbetracht dieser Tatsachen erscheint es als sehr unwahrscheinlich, dass die Verfasser solcher Briefe in einem gerichtlichen Verfahren Recht bekommen würden. Die Rechtsprechung zum Art. 82 DSGVO ist aber weiterhin in Bewegung, sodass keine abschließende Bewertung möglich ist.
Kontrolle über personenbezogene Daten
Das LG München hat seine Entscheidung gerade darauf gestützt, dass der Kläger die Kontrolle über seine personenbezogenen Daten verloren hat, als er die Website aufrief und die IP-Adresse übermittelt wurde. Ruft der Website-Besucher die Website aber gerade auf, weil er diese Übermittlung nachweisen will, liegt ein solcher Kontrollverlust augenscheinlich nicht mehr vor. Es ist davon auszugehen, dass dies vor Gericht ebenfalls do erkannt werden würde.
Fazit
In jedem Fall ist die Verwendung von Google Fonts ohne lokale Einbindung ein Verstoß gegen die DSGVO. Drohbriefe, die sich auf die gezielte Herbeiführung eines datenschutzrechtlichen Schadens beziehen, haben wohl wenig Potential, zur akuten Gefahr zu werden.
Die eigentliche Gefahr liegt vielmehr in der Gestaltung der Website. Jede nicht datenschutzkonforme Gestaltung ist sofort zu beseitigen.
Benötigen Sie Unterstützung dabei, Datenschutzverstöße z.B. auf Ihrer Website zu finden und zu beseitigen? Unser Team an Experten hilft Ihnen gerne weiter!