Das Landgericht München hat in seinem Urteil vom 20.01.2022 entschieden, dass die Weitergabe der dynamischen IP-Adresse an Google bei Nutzung von Google Fonts ohne Einwilligung des Betroffenen einen Schadensersatzanspruch (im vorliegenden Fall in Höhe von 100 €) rechtfertigt. Ein berechtigtes Interesse sei hier nicht ausreichend gewesen.

Der Sachverhalt

Die Beklagte betreibt eine Webseite. Auf dieser verwendete sie Google Fonts so, dass die IP-Adressen der Webseitenbesucher bei jedem Aufruf der Webseite an Google übermittelt werden. Für diese Übermittlung wurde keine Einwilligung des Besuchers eingeholt. Außerdem ist die Verwendung von Google Fonts auch ohne die Kundgabe der IP-Adresse an Google möglich, so wie die Beklagte ihre Webseite inzwischen angepasst hat.

Der Kläger ist einer der betroffenen Webseitenbesucher, dessen IP-Adresse durch den Besuch der Webseite wiederholt an Google übermittelt wurde. Er klagte deshalb auf Unterlassung und auf Schadensersatz.

Das Urteil

Das Landgericht München verurteilte die Beklagte schließlich zur Unterlassung, Auskunftserteilung und Zahlung von Schadensersatz (Art. 82 DSGVO) an den Kläger. Sollte es zur Meldung eines Fall kommen, in dem sich die Beklagte der Unterlassungsanordnung widersetzt, verhängt das Gericht ein Ordnungsgeld bis zu 250.000 €. Der Schadensersatz, der an den Kläger zu zahlen ist, wurde auf 100 € zuzüglich Zinsen festgesetzt.

Das Urteil stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des Rechtes auf informationelle Selbstbestimmung fest. In diesem Rahmen hatte das Gericht auch einige datenschutzrechtlich relevanten Fragen zu untersuchen.

Dynamische IP-Adresse als personenbezogenes Datum

Der Webseitenbetreiber hat die dynamische IP-Adresse jedes Besuchers erfasst und weitergegeben. Über diese dynamische IP-Adresse kann „mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person“ bestimmt werden, so das Gericht. Schon auf diese abstrakte Bestimmbarkeit der Person stellte das Gericht schließlich ab. Ob der Webseitenbetreiber oder Google die konkrete Möglichkeit hatten, die hinter der IP-Adresse stehende Person tatsächlich zu bestimmen, sei unerheblich.

Dementsprechend handelt es sich für den Webseitenbetreiber um ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO.

Rechtfertigung der Verarbeitung personenbezogener Daten

Eine Einwilligung des Webseitenbesuchers gem. Art. 6 I lit. a DSGVO lag nicht vor.

In Betracht käme noch ein berechtigtes Interesse des Webseitenbetreibers im Sinne von Art. 6 I lit. f DSGVO. Da Google Fonts auch ohne eine Verbindung zum Google-Server bei jedem Aufruf der Webseite verwendet werden kann, lehnt das Gericht dies aber ab.

Pflichten des Webseitenbesuchers?

Das Gericht setzte sich auch mit der Frage auseinander, ob der Kläger selbst als Webseitenbesucher seine IP-Adresse vor Besuch hätte verschlüsseln müssen (zB über VPN). Im Rahmen dessen führt das Gericht aus, dass der Zweck des Datenschutzrechtes gerade sei, „natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung“ zu schützen. Würde man den Betroffenen in solcher Weise verpflichten, würde dies den Zweck des Datenschutzrechtes schlicht umkehren.

Bestimmung des Schadens nach Art. 82 I DSGVO

Das Gericht hat unter Hinweis auf den Erwägungsgrund 146 S. 3 zur DSGVO eine weite Auslegung des Schadensbegriffes herangezogen. Bei der Festsetzung seien vor allem die Ziele Sanktion und Prävention zu beachten.

Zur Problematik der Erheblichkeitsschwelle in Bezug auf Art. 82 DSGVO musste sich das Gericht nicht positionieren, da die Übermittlung der IP-Adresse im vorliegenden Fall mehrmals erfolgte und damit ein erheblicher Kontrollverlust des Klägers vorlag. Dabei wurde auch mit einbezogen, dass es sich bei Google um ein amerikanisches Unternehmen handelt, das dort kein angemessenes Datenschutzniveau gewährleisten kann.

Die Höhe des Schadens (100 €) wurde an der inhaltlichen Schwere und Dauer der Rechtsverletzung bemessen.

Fazit

Datenschutzverstöße sind in der Praxis nicht immer offensichtlich. Jegliche Weitergabe der IP-Adresse von Webseitenbesuchern stellen eine Verarbeitung personenbezogener Daten da, die gerechtfertigt sein muss.

Angesichts der großen Verbreitung von Google Fonds sind von dieser datenschutzrechtlichen Schwachstelle Unmengen an Webseiten betroffen.

Lassen Sie sich von unseren Experten zeigen, wie Sie Ihre Webseite und andere Dienste datenschutzkonform gestalten!

DSB buchen
de_DEDeutsch