Zuletzt aktualisiert am 1. April 2026
Das Landgericht München hat in seinem Urteil vom 20.01.2022 entschieden, dass die Weitergabe der dynamischen IP-Adresse an Google bei Nutzung von Google Fonts ohne Einwilligung des Betroffenen einen Schadensersatzanspruch (im vorliegenden Fall in Höhe von 100 €) rechtfertigt. Ein berechtigtes Interesse sei hier nicht ausreichend gewesen.
Der Sachverhalt
Die Beklagte betreibt eine Webseite. Auf dieser verwendete sie Google Fonts so, dass die IP-Adressen der Webseitenbesucher bei jedem Aufruf der Webseite an Google übermittelt werden. Für diese Übermittlung wurde keine Einwilligung des Besuchers eingeholt. Außerdem ist die Verwendung von Google Fonts auch ohne die Kundgabe der IP-Adresse an Google möglich, so wie die Beklagte ihre Webseite inzwischen angepasst hat.
Der Kläger ist einer der betroffenen Webseitenbesucher, dessen IP-Adresse durch den Besuch der Webseite wiederholt an Google übermittelt wurde. Er klagte deshalb auf Unterlassung und auf Schadensersatz.
Das Urteil
Das Landgericht München verurteilte die Beklagte schließlich zur Unterlassung, Auskunftserteilung und Zahlung von Schadensersatz (Art. 82 DSGVO) an den Kläger. Sollte es zur Meldung eines Fall kommen, in dem sich die Beklagte der Unterlassungsanordnung widersetzt, verhängt das Gericht ein Ordnungsgeld bis zu 250.000 €. Der Schadensersatz, der an den Kläger zu zahlen ist, wurde auf 100 € zuzüglich Zinsen festgesetzt.
Das Urteil stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des Rechtes auf informationelle Selbstbestimmung fest. In diesem Rahmen hatte das Gericht auch einige datenschutzrechtlich relevanten Fragen zu untersuchen.
Dynamische IP-Adresse als personenbezogenes Datum
Der Webseitenbetreiber hat die dynamische IP-Adresse jedes Besuchers erfasst und weitergegeben. Über diese dynamische IP-Adresse kann „mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person“ bestimmt werden, so das Gericht. Schon auf diese abstrakte Bestimmbarkeit der Person stellte das Gericht schließlich ab. Ob der Webseitenbetreiber oder Google die konkrete Möglichkeit hatten, die hinter der IP-Adresse stehende Person tatsächlich zu bestimmen, sei unerheblich.
Dementsprechend handelt es sich für den Webseitenbetreiber um ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO.
Rechtfertigung der Verarbeitung personenbezogener Daten
Eine Einwilligung des Webseitenbesuchers gem. Art. 6 I lit. a DSGVO lag nicht vor.
In Betracht käme noch ein berechtigtes Interesse des Webseitenbetreibers im Sinne von Art. 6 I lit. f DSGVO. Da Google Fonts auch ohne eine Verbindung zum Google-Server bei jedem Aufruf der Webseite verwendet werden kann, lehnt das Gericht dies aber ab.
Pflichten des Webseitenbesuchers?
Das Gericht setzte sich auch mit der Frage auseinander, ob der Kläger selbst als Webseitenbesucher seine IP-Adresse vor Besuch hätte verschlüsseln müssen (zB über VPN). Im Rahmen dessen führt das Gericht aus, dass der Zweck des Datenschutzrechtes gerade sei, „natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung“ zu schützen. Würde man den Betroffenen in solcher Weise verpflichten, würde dies den Zweck des Datenschutzrechtes schlicht umkehren.
Bestimmung des Schadens nach Art. 82 I DSGVO
Das Gericht hat unter Hinweis auf den Erwägungsgrund 146 S. 3 zur DSGVO eine weite Auslegung des Schadensbegriffes herangezogen. Bei der Festsetzung seien vor allem die Ziele Sanktion und Prävention zu beachten.
Zur Problematik der Erheblichkeitsschwelle in Bezug auf Art. 82 DSGVO musste sich das Gericht nicht positionieren, da die Übermittlung der IP-Adresse im vorliegenden Fall mehrmals erfolgte und damit ein erheblicher Kontrollverlust des Klägers vorlag. Dabei wurde auch mit einbezogen, dass es sich bei Google um ein amerikanisches Unternehmen handelt, das dort kein angemessenes Datenschutzniveau gewährleisten kann.
Die Höhe des Schadens (100 €) wurde an der inhaltlichen Schwere und Dauer der Rechtsverletzung bemessen.
Fazit
Datenschutzverstöße sind in der Praxis nicht immer offensichtlich. Jegliche Weitergabe der IP-Adresse von Webseitenbesuchern stellen eine Verarbeitung personenbezogener Daten da, die gerechtfertigt sein muss.
Angesichts der großen Verbreitung von Google Fonds sind von dieser datenschutzrechtlichen Schwachstelle Unmengen an Webseiten betroffen.
Aktuelle Rechtsprechung zum Schadensersatz nach Art. 82 DSGVO
Das Google-Fonts-Urteil des Landgerichts München war eines der ersten deutschen Urteile, das einen immateriellen Schadensersatz allein wegen der Übermittlung einer IP-Adresse an einen Drittstaaten-Empfänger zusprach. Seitdem hat sich die Rechtsprechung zu Art. 82 DSGVO erheblich weiterentwickelt.
Der Europäische Gerichtshof hat in seinem Urteil vom Mai 2023 (Rs. C-300/21 – Österreichische Post) klargestellt, dass für einen Schadensersatzanspruch nach Art. 82 DSGVO ein tatsächlich erlittener Schaden erforderlich ist. Ein bloßer Verstoß gegen die DSGVO allein reicht nicht aus. Gleichzeitig betonte der EuGH, dass die Hürde für den Nachweis eines immateriellen Schadens nicht zu hoch angesetzt werden dürfe.
Für Webseitenbetreiber bedeutet dies, dass nicht jede fehlerhafte Einbindung externer Dienste automatisch zu einem Schadensersatzanspruch führt. Der Betroffene muss vielmehr darlegen, dass ihm durch den konkreten Datenschutzverstoß ein tatsächlicher Nachteil entstanden ist, sei er auch nur immaterieller Natur wie ein Kontrollverlust über die eigenen Daten oder ein Gefühl des Unbehagens.
Die Abmahnwelle nach dem Google-Fonts-Urteil
Das Urteil des Landgerichts München löste eine regelrechte Abmahnwelle aus. Zahlreiche Privatpersonen und Kanzleien verschickten massenhaft Abmahnungen an Webseitenbetreiber, die Google Fonts noch extern einbanden. In vielen Fällen wurden dabei Beträge zwischen 100 und 170 Euro pro Seitenaufruf gefordert.
Die Gerichte reagierten auf diese massenhafte Abmahntätigkeit zunehmend kritisch. Das Landgericht München urteilte in einem späteren Verfahren, dass ein systematisches Abmahnen zum Zwecke der Gewinnerzielung als rechtsmissbräuchlich anzusehen sei. Auch andere Gerichte schlossen sich dieser Auffassung an und wiesen entsprechende Klagen ab.
Strafrechtliche Konsequenzen für Massenabmahner
In einigen Fällen leiteten Staatsanwaltschaften sogar Ermittlungsverfahren wegen versuchter Erpressung gegen die Absender der Massenabmahnungen ein. Die Staatsanwaltschaft Berlin führte beispielsweise Verfahren gegen einen Rechtsanwalt, der hunderte gleichlautende Abmahnschreiben verschickt hatte, ohne dass sein Mandant die betreffenden Webseiten tatsächlich besucht hatte.
Technische Lösung: Lokale Einbindung von Google Fonts
Die datenschutzkonforme Nutzung von Google Fonts ist technisch einfach umzusetzen. Anstatt die Schriftarten über die Server von Google einzubinden, können diese heruntergeladen und lokal auf dem eigenen Webserver gehostet werden. Dadurch wird keine Verbindung zu den Google-Servern hergestellt und folglich auch keine IP-Adresse an Google übermittelt.
Zahlreiche Content-Management-Systeme und Website-Builder bieten mittlerweile entsprechende Einstellungen oder Plugins an, die die lokale Einbindung von Google Fonts vereinfachen. Auch Tools wie der Google Webfonts Helper ermöglichen den einfachen Download und die lokale Einbindung der gewünschten Schriftarten.
Bedeutung des Urteils für andere externe Dienste
Die Grundsätze des Google-Fonts-Urteils lassen sich auf zahlreiche andere externe Dienste übertragen, die auf Webseiten eingebunden werden. Dazu gehören unter anderem Content Delivery Networks (CDNs), Analyse-Tools wie Google Analytics, eingebettete YouTube-Videos, Social-Media-Plugins und externe Kartendienste.
Bei all diesen Diensten wird regelmäßig die IP-Adresse des Webseitenbesuchers an den externen Anbieter übermittelt. Wenn dieser Anbieter seinen Sitz in einem Drittland hat und keine wirksame Einwilligung des Besuchers vorliegt, kann dies einen Verstoß gegen die DSGVO darstellen.
Haftung des Webseitenbetreibers für Plugins und externe Dienste
Eine wichtige Frage, die sich aus dem Google-Fonts-Urteil ergibt, betrifft die Haftung des Webseitenbetreibers für den Einsatz von Plugins und externen Diensten. Nach der ständigen Rechtsprechung des EuGH ist der Webseitenbetreiber als Verantwortlicher im Sinne der DSGVO anzusehen, wenn er durch die Einbindung eines Plugins aktiv an der Übermittlung personenbezogener Daten mitwirkt.
Dies wurde bereits im Fashion-ID-Urteil des EuGH (Rs. C-40/17) klargestellt, in dem es um die Einbindung des Facebook-Like-Buttons ging. Der EuGH entschied, dass der Webseitenbetreiber gemeinsam mit dem Plugin-Anbieter für die Datenerhebung und -übermittlung verantwortlich ist, nicht aber für die anschließende Verarbeitung durch den Plugin-Anbieter.
Webseitenbetreiber sollten daher regelmäßig überprüfen, welche externen Dienste auf ihrer Website eingebunden sind und ob die jeweilige Einbindung datenschutzkonform erfolgt. Ein Datenschutz-Audit der Website kann helfen, potenzielle Risiken frühzeitig zu identifizieren und geeignete Maßnahmen zu ergreifen.
Einwilligungspflicht und Cookie-BannerUm die externe Einbindung von Diensten datenschutzkonform zu gestalten, setzen viele Webseitenbetreiber auf Cookie-Banner und Einwilligungslösungen (Consent-Management-Plattformen). Diese müssen jedoch bestimmte Anforderungen erfüllen, um eine wirksame Einwilligung im Sinne der DSGVO zu gewährleisten.
Die Einwilligung muss freiwillig, informiert, für den konkreten Fall und unmissverständlich abgegeben werden. Voreingestellte Häkchen oder die Weiternutzung der Webseite als stillschweigende Einwilligung genügen diesen Anforderungen nicht. Zudem muss der Widerruf der Einwilligung ebenso einfach sein wie deren Erteilung.
Die DATUREX GmbH unterstützt Unternehmen bei der datenschutzkonformen Gestaltung ihrer Webauftritte. Als externer Datenschutzbeauftragter helfen wir Ihnen, technische und rechtliche Risiken frühzeitig zu erkennen und geeignete Maßnahmen umzusetzen.
Lassen Sie sich von unseren Experten zeigen, wie Sie Ihre Webseite und andere Dienste datenschutzkonform gestalten!