Schadensersatz-Urteil: Google Fonts und die DSGVO

Urteil

Im Zuge des kürzlich erlassenen Urteils des LG München geht dieser Beitrag auf den immateriellen Schadensersatz ein. Außerdem betrachten wir Google Fonts auf Webseiten und die Anforderungen an eine datenschutzkonforme Nutzung.

Das Urteil des LG München vom 20.01.22 Az. 3 O 17493/20

Mit diesem Urteil wurden dem Nutzer einer Webseite 100 EUR Schmerzensgeld zugesprochen, weil der Webseitenbetreiber Google Fonts per Link eingebunden hatte.

Was sind Google Fonts?

Google stellt in einer Art interaktive Bibliothek unter dem Begriff Google Fonts (früher Google Webfonts) ca. 1300 Schriftarten in Form von freien Lizenzen zur Verfügung. Diese können von Webseitenbetreibern frei, ohne Lizenzgebühren, verwendet werden. Der viel diskutierte Nachteil besteht darin, dass dann eine Serververbindung zu Google LLC in den USA besteht und von wo aus die Schriften nachgeladen werden. Die IP-Adresse des Webseitennutzers wird an Google in die USA, also einem unsicheren Drittstaat, übertragen.

Personenbezug bei IP-Adressen

Bei der IP-Adresse des Webseitennutzers, auch der dynamischen IP-Adresse, handelt es sich um ein personenbezogenes Datum gem. Art. 4 Nr. 1 DSGVO, da es sich um Informationen handelt, die eine natürliche Person identifizieren oder diese identifizierbar machen.

  • identifiziert ist eine natürliche Person, wenn sich die Identität der betroffenen Person unmittelbar aus der Information selbst ergibt (z.B. Name oder Anschrift)
  • identifizierbar ist eine natürliche Person, wenn sich aus der Information selbst noch nicht unmittelbar die Identität der Person ergibt, aber eine Identifikation möglich ist, in dem die ursprüngliche Information mit einer weiteren Information verknüpft wird und hierüber eine Identifikation möglich wird. Nach EG 26 können hierbei alle Mittel in Betracht gezogen werden, die von dem Verantwortlichen oder einem Dritten nach allgemeinen Ermessen als wahrscheinlich genutzt werden. Für die wahrscheinliche Nutzung wiederum wird auf alle bekannten oder ermittelbaren Informationen sowie objektiven Faktoren (z.B. Kosten, Zeitaufwand für die Ermittlung) abgestellt.

Die dynamische IP-Adresse ist für den Internetanbieter jedenfalls ein personenbezogenes Datum, da er über die Zuordnungs- und Log-Dateien verfügt, über die er die IP-Adresse den Nutzern zugeordnet hat, siehe EuGH 24.11.2011 – C70/10. Soweit der Webseitenbetreiber jedoch über die abstrakte Möglichkeit verfügt, von dem Internetanbieter die Identifikationsdaten heraus zu verlangen, ist die dynamische IP-Adresse auch für diesen ein personenbezogenes Datum (EuGH 19.10.2016 – C582/14 und BGH 16.05.2017 – VI ZR 135/13).

Nachdem die dynamische IP-Adresse ein personenbezogenes Datum ist (s.o), wurde dieses Datum durch die Einbindung der Google Fonts per Link auf der Webseite beim Nachladen an die Google Server in ein unsicheres Drittland (ein Land außerhalb der EU/des EWR für das kein EU-Angemessenheitsbeschluss besteht), nämlich die USA, übertragen. Mit dieser Weiterleitung ohne Wissen der betroffenen Person, wurde deren Recht auf informationelle Selbstbestimmung verletzt.

Rechtsgrundlage für die Datenverarbeitung

Um die IP-Adresse des Webseitennutzers bei der Verwendung von Google Fonts zu verarbeiten, wenn diese vom Google Server nachgeladen werden, wird eine Rechtsgrundlage benötigt.

Berechtigtes Interesse als Rechtsgrundlage

Das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO kann als Rechtsgrundlage für die Verwendung von Google Fonts allein schon deshalb nicht dienen, weil im Rahmen der Interessensabwägung keine Erforderlichkeit für diese Nutzung der Google Fonts festgestellt werden kann. Die Interessensabwägung nach Art. 6 Abs. 1 lit. f DSGVO erfolgt in drei Stufen.

  1. Prüfung, ob zum Zeitpunkt der Datenverarbeitung ein berechtigtes Interesse des Verantwortlichen bestand
    Dieses berechtigte Interesse ist weit gefasst und umfasst sowohl rechtliche als auch tatsächliche, wirtschaftliche und ideelle Interessen. Das kann in diesem Fall vorausgesetzt werden, denn die Verwendung von attraktiven Schriftarten, lässt Webseiten ansprechender erscheinen und dies liegt naturgemäß im wirtschaftlichen Interesse des Webseitenbetreibers.
  2. Prüfung, ob die Datenverarbeitung zur Verwirklichung des berechtigten Interesses erforderlich war
    Auf dieser Stufte prüft man, ob es ein milderes, gleich effektives Mittel gegeben hätte, um die wirtschaftlichen Ziele des Webseitenbetreibers zu erreichen. Für die Erforderlichkeit genügt die Zweckdienlichkeit allein nicht, d.h. das Merkmal der Erforderlichkeit, ist für die Zielerreichung eng auszulegen. Die Tatsache, dass die Umsetzung mit dem Nachladen der Schriften von dem Google Server für den Webseitenbetreiber die einfachste Variante ist, die mit wenig Aufwand umzusetzen ist, bedingt keine Erforderlichkeit. Vielmehr ist darauf abzustellen, dass die benötigten Schriften von Google auf den eigenen Server des Anbieters der Webseite geladen und von dort dem Webseitenbesucher zur Verfügung gestellt werden können. Bei dieser Variante kann die Verbindung zu Google gekappt werden, wodurch es zu keiner Datenübertragung in einen unsicheren Drittstaat kommt. Somit stand ein milderes, gleich effektives Mittel für den Webseitenbetreiber zur Verfügung. Es fehlt daher an der Erforderlichkeit der Datenübermittlung. Zudem hätte natürlich auch jederzeit die Möglichkeit bestanden, diese kostenlosen Schriften erst gar nicht einzusetzen und lizenzierte Schriften zu verwenden.
  3. Prüfung, ob die Interessen der betroffenen Person an dem Unterlassen der Datenverarbeitung das Interesse des Verantwortlichen an der Datenverarbeitung überwiegt
    Dieser Prüfschritt muss nicht mehr durchgeführt werden, weil schon die Erforderlichkeit fehlt. Im Übrigen müsste der Webseitenbetreiber als Verantwortlicher darlegen, warum die Interessen der betroffenen Person an dem Unterlassen der Datenverarbeitung seine Interessen an der Datenverarbeitung nicht überwiegen.

Einwilligung als Rechtsgrundlage

Die Einwilligung in Form von Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 49 Abs. 1 S. 1 lit. a DSGVO scheitert daran, dass keinerlei Informationen gem. Art. 12, 13 DSGVO für den Nutzer vor der Datenerhebung zur Verfügung stehen, in die er hätte einwilligen können. Diese Informationen müssten natürlich auch die Risiken im Zuge der Drittlandübermittlung umfassen und vor Datenerhebung und vor Einholung der Einwilligung für die betroffene Person bereit stehen. Überdies kann in eine Übermittlung in ein unsicheres Drittland gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO nur für gelegentliche Übermittlungen (EG 111) eingewilligt werden, d.h. nur in keine regelmäßigen, wiederholenden oder systematisch erfolgenden Datenverarbeitungen. Sofern auf einer Webseite Schriftarten eingesetzt werden, die bei jeder Nutzung der Webseite erneut die IP-Adresse an Google übermitteln und nachgeladen werden, ist von einer systematischen, sich wiederholenden Datenverarbeitung auszugehen, so dass eine Einwilligung nach der DSGVO in einen Drittlandtransfer gar nicht möglich wäre.

Darüber hinaus müsste die betroffene Person mittlerweile auch nach dem TTDSG gem. § 25 Abs. 1 S. 1 TTDSG einwilligen. Sowohl die datenschutzrechtliche als auch die Einwilligung nach dem TTDSG (siehe § 25 Abs. 1 S. 1 TTDSG) müssen den Anforderungen hinsichtlich der Informationspflichten und der Einwilligungsvoraussetzungen wie sich diese aus der DSGVO ergeben, entsprechen, d.h. im Wesentlichen den Bestimmungen in Art. 4 Nr. 11 DSGVO, Art. 7 und 8 DSGVO. Beide Einwilligungen können auch gebündelt eingeholt werden, jedoch ist es zwingend erforderlich, dass der Verantwortliche als Anbieter des Telemediendienstes die Nutzenden über die Zwecke der Datenverarbeitung bereits bei der Speicherung auf dem Endgerät über alle Zwecke der Datenverarbeitung informiert, die im Anschluss an den Zugriff auf die Endeinrichtung erfolgt. Auch hierfür sind die Voraussetzungen nicht gegeben, denn es ist praktisch für den Websitebetreiber gar nicht möglich, in diesem Stadium die Einwilligung einzuholen, d.h. die IP-Adresse, Gerätedaten gehen bereits mit dem ersten Aufruf an Google.

Schadensersatzanspruch und immaterieller Schaden

Aufgrund der unberechtigten Datenverarbeitung kam es zur Verletzung des informationellen Selbstbestimmungsrechtes des Webseitennutzers. Mit der unberechtigten Weitergabe der personenbezogenen Daten an Google, erlitt die betroffene Person einen Kontrollverlust über die eigenen Daten.

Die Frage ist, ob damit ein Schaden i.S.d. Art. 82 DSGVO gegeben ist, so dass der betroffenen Person ein Schadensersatzanspruch zusteht. Der Schadensbegriff in der DSGVO wird grundsätzlich weit ausgelegt. Er kann sowohl immaterieller als auch materieller Art sein. Der Schadensersatz soll einen vollständigen Ersatz des eingetretenen Schadens bei der betroffenen Person bewirken und gleichzeitig auch abschrecken, d.h. über eine rein symbolische Schadenshöhe hinausgehen. Der oben beschriebene Kontrollverlust der betroffenen Person ist ein immaterieller Schaden, den die betroffene Person darlegen und beweisen müsste. In Deutschland wurden bislang nur bei schwerwiegenden Verstößen gegen das Persönlichkeitsrecht ein immaterieller Schadensersatz zugesprochen. Art. 82 DSGVO liegt jedoch der europarechtliche Schadensbegriff zugrunde, so dass die rigide deutsche Handhabung mit Erheblichkeitsschwellen nicht mehr greift.

Auch „Bagatellschäden“ sind von dem europarechtlichen Schadensbegriff abgedeckt, denn in EG 148 S.2 werden geringfügige Verstöße nicht ausgenommen. Zwar ist es auch europarechtlich so, dass aus generalpräventiven Gründen nicht gleich jeder noch so kleine Verstoß gegen die DSGVO einen Schadensersatz begründet. Allerdings immer dann, wenn nicht nur gegen Dokumentationspflichten verstoßen wurde, besteht in jedem Verstoß gegen die DSGVO-Normen ein ersetzbarer Schaden für die betroffene Person. Dieser kann auch bereits in einem unguten Gefühl liegen. Unbefugte Datenverarbeitungen führen daher nicht nur zu einem Kontrollverlust und zu einem Gefühl der Hilflosigkeit bei der betroffenen Person, sondern auch zu einem Schadensersatzanspruch.

Darüber hinaus war im konkreten Fall die Übermittlung der IP-Adresse nicht nur einmalig an Google erfolgt, sondern wurde bei jedem Aufrufen in ein unsicheres Drittland übertragen, in dem für die betroffene Person nicht die gleichen Betroffenenrechte wie in der EU und auch in anderen Punkten nicht das gleiche Datenschutzniveau herrscht. Zudem ist Google als vielseitiger Datensammler und -nutzer bekannt. Der Kontrollverlust der betroffenen Person war somit nicht nur gefühlt sondern real, auch wenn die Auswirkung nicht spezifisch en detail dargelegt werden kann. Die Schadensersatzsumme von 100 EUR hat hoffentlich die erwünsche präventive Wirkung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Marketing und Datenschutz

15 Kommentare zu diesem Beitrag

  1. Lieber Dr. Datenschutz,
    wie begründet sich denn die Anforderung einer Einwilligung nach § 25 Abs. 1 S. 1 TTDSG? Eine solche wäre beim Speichern von Informationen im Endgerät bzw. beim Lesen solcher Informationen erforderlich und somit m. E. nur relevant, wenn Google Fonts auch Cookies o. ä. setzen/lesen würde. Hiervon ist im Beitrag keine Rede.
    Viele Grüße
    Ralf

  2. Liebes Dr. Datenschutz-Team,

    vielen Dank für diese ausführlichen Erläuterungen. Allerdings hätte ich zwei Anmerkungen bzw. Rückfragen.

    1) Bei der Prüfung der Interessensabwägung gehen sie davon aus, dass die Erforderlichkeit fehlt, also ein gleich effektives, aber milderes Mittel vorliegen würde. Dies würde ich nicht so sehen. Die Einbindung der Fonts „offline“, ist aus Sicht des Verantwortlichen nicht gleich effektiv. Da z.B. die Ladezeiten der Webseite verlängert werden, für eine Webseite ein relevanter Faktor. Aus meiner Sicht sollte die Zulässigkeit also erst auf der dritten Stufe scheitern.

    2) Sie halten eine Einwilligung nach Maßgabe des § 25 Abs. 1 TTDSG für erforderlich. Dies ist für mich nicht direkt nachvollziehbar. Bei Nutzung der Fonts „online“ werden doch keine Daten auf dem Endgerät des Users (wie bei einem Cookie) abgelegt, oder doch? Auch wüsste ich nicht, dass gezielt Daten vom Endgerät des Users abgefragt werden. Die allgemeinen Browser-Informationen, die jeder Browser bei Aufruf von Webseiten übermittelt, sollten m.E. hier nicht erfasst sein. Zum einen erfolgt die Übermittlung automatisiert vom Browser und ist damit keine gezielte Abfrage des Verantwortlichen und zum anderen, würde man dies anders sehen, bedürfte es bei jeder Webseite einer vorherigen Einwilligung.

    MfG
    Ein interessierter Besucher

    • Mit der Nutzung von Google Fonts wird auf die Geräteinformation des Nutzers zugegriffen, dies muss nicht mittels Cookies erfolgen. Bei Google Fonts kommt es zu einer Übermittlung u.a. der Browserinformation, der IP-Adresse, Browserversion an Google. Diese Übermittlung der Browserinformation an Google wurde von dem Endnutzer nicht bewusst veranlasst, vielmehr wollte dieser bestenfalls diese Information an den Websitebetreiber geben, nicht aber an den Dritten Google, der diese Informationen gezielt auswertet. Insofern erfolgt nach meiner Ansicht ein Zugriff i.S. des TTDSG mit all den sich hieraus ergebenden Notwendigkeiten.

      • Liebes Dr. Datenschutz-Team,

        ich verstehe die Argumentation, teile diese allerdings nicht. Ich kann mir nicht vorstellen das die Intention des Gesetzgebers war, dass nun bei Einbindung jeglicher Drittquellen in einer Webseite eine ausdrückliche Einwilligung vom Nutzer abgefragt werden soll. Das konterkariert die Funktionalität des Internets. Es ist „Standard“, dass bei Nutzung eines Browsers diverse Informationen – teils auch einfach technisch notwendig – übertragen werden. Vielmehr soll der § 25 Abs. 1 TTDSG die Integrität des Endgerät des Nutzers schützen. D.h., Dritte sollen nicht ungefragt Daten in dem Endgerät ablegen oder aus diesem Endgerät herauslesen. Die Browser-Informationen, die automatisch mit gesendet werden, sind aber m.E. keine Informationen die „bereits in der Endeinrichtung gespeichert sind“ (Wortlaut der Norm).

        • Es ist in der Tat so, dass das TTDSG nach der DSK Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien keinen Zugriff darin sieht, wenn ausschließlich Browser- und Header Informationen auf Endeinrichtungen verarbeitet werden, die aufgrund der Browser-Einstellungen des Endgerätes übermittelt werden, z.B. die öffentliche IP-Adresse der Endeinrichtung, die Adresse der aufgerufenen Website (URL), der User-Agent-String mit Browser und Betriebssystem-Version und die eingestellte Sprache.
          Die Übertragung dieser Informationen an einen Dritten und gar in ein unsicheres Drittland ist jedoch von dem Nutzer keineswegs ein gewünschter Dienst, daher sehe ich nach wie vor die Notwendigkeit der Einwilligung. Denn diese ausgelesenen Informationen dürfen nur für die von den Nutzenden aufgerufenen Website verwendet werden.

  3. Wie immer sehr informativ. Dennoch ein wichtiger Hinweis zur Vermeidung von Missverständnissen: Die Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a DSGVO ist nicht an die Zusatzvoraussetzung des Art. 49 Abs. 1 S. 2 DGSVO gebunden. Auch bei nicht nur gelegentlichen Übermittlungen ist eine Einwilligung eine taugliche Erlaubnis…

  4. Zu 1: Doch, das ist milder.

    Zu 2: Es werden durch den Abruf der Fonts unzulässig Daten an Dritte übertragen. Damit ist der Verstoß gegeben.

    • Zu 1: Das wurde von mir auch nicht in Abrede gestellt. Mein Punkt ist, dass das mildere Mittel nicht gleich effektiv ist.

      Zu 2: Natürlich werden Daten – mindestens die IP-Adresse – bei einem Abruf von einer Drittquelle übertragen. So funktioniert das Internet. Aus meiner Sicht war es aber nicht die Intention des Gesetzgebers, diese notwendige bzw. „übliche Datenübertragung“ – die bei jedem Abruf von Daten im Internet erfolgt -, unter den Vorbehalt des § 25 Abs. 1 TTDSG zu stellen.

  5. Liebes Dr. Datenschutzteam,

    vielen Dank für den interessanten Beitrag, der in der Unternehmenswelt neben der Unzulässigkeit des Einsatzes von Google Analytics und jüngst auch Cookiebot heftige Wellen schlagen dürfte.
    Ein Aspekt fehlt aus meiner Sicht in der Darstellung: neben der fehlenden Einwilligung durch die Betroffenen scheitert der Einsatz auch schon an dem mit Google nicht abschließbaren JCC – denn eine Auftragsverarbeitung alleine wird die Nutzung von Fonts nicht darstellen. Mithin besteht also nach meiner Auffassung keine rechtsgültige Vertragsbeziehung zwischen dem WebSeiten-Betreiber und Google (analoges Problem zum Einsatz von Google Analytics).

    Beste Grüße
    NG

    • Mit guten Argumenten wird man bei der Cloudvariante sicher zugunsten einer Auftragsverarbeitung oder einer gemeinsamen Verantwortlichkeit argumentieren können. Zu diskutieren ist, inwieweit Google die Daten zu eigenen Zwecken verarbeitet. Google selbst hält sich dabei mit konkreten Aussagen bedeckt. In jedem Fall scheint der Abschluss zumindest einer der Verträge erforderlich und für keine der beiden Varianten scheint Google seinen etwas Kunden anzubieten.

  6. Etwas technischer Kontext zu diesem Urteil: Es gibt keinerlei Nachteile, im Gegenteil, nur Vorteile für den Websitebetreiber und Nutzer wenn die Schriften von Server des Websitebetreibers direkt geladen werden. Googles Lizenzvereinbarung der Fonts erlaubt dies ausdrücklich, und die Ladezeit der Seite wird dadurch verbessert. Siehe auch peakhour.io/blog/cache-partitioning-firefox-chrome/

  7. Hallo Zusammen, offenbar springen die ersten „Abmahn-Anwälte“ oder mindestens solche, die sich für einen halten auf das Urteil an und versenden Standardbriefe an Webseiten-Betreiber: In diesen wird der Sachverhalt dargestellt, das Urteil beigelegt und eine Zahlung von 100 Euro verlangt. Dabei beruft sich die Person darauf, am Datum XY auf der Webseite XY gewesen zu sein und übersendet innerhalb des Briefes die IP-Adresse, unter welcher der Zugriff erfolgt und Dokumentiert worden sei.

    Ist dies so einfach möglich / rechtens? In wie fern kann überhaupt davon ausgegangen werden, dass der Betroffene eine rechtssichere Dokumentation gemacht, die nachweist das die gespeicherten Informationen (Scripte, HTML, Screenshots) nicht durch ihn selbst manipuliert wurden. HTML läßt sich bzw. Inline im Browser ändern, so dass es den Anschein hat, dass diese Seite so vom Server geladen worden sei. Sollte diese „Masche“ so einfach umsetzbar sein, erahnte ich Übles für die Zahlreichen Webseiten die dies aktuell nicht korrekt umsetzten.

    • Da der Fall sehr ähnlich klingt, hilft Ihnen vielleicht der Podcast des Kollegen Stephan Hansen-Oest weiter, der sich neulich mit „massenhaften“ Schadenersatzschreiben zu Google Webfonts von Herrn „N.“ aus Nürnberg beschäftigt hat.

      Zu Ihrem zweiten Absatz, dass sind klassischerweise Fragen, die im Rahmen des Zivilprozesses auftauchen und durch den Vortrag beider Parteien versucht werden, vom Gericht geklärt zu werden. Dabei kann es dann zu einem „non liquet“ kommen. Damit wird im Verfahrensrecht eine Situation bezeichnet, bei der weder der Tatsachenvortrag der einen noch der anderen Seite bewiesen werden kann. In solchen Fällen unterliegt die beweispflichtige Partei.

  8. Dieser Urteil ist grundsätzlich falsch. IP-Adressen sind keine personenbezogene Daten. Der Artikel 4 Punkt 1 der DSGVO wird hier falsch interpretiert. Mir, als Besitzer einer Webseite ist es unmöglich anhand einer IP-Adresse die dahinter stehende Person zu ermitteln. Einzig und allein den zuständigen Provider kann ich in Erfahrung bringen. Somit ist diese Person für mich NICHT identifizierbar.
    Für alle andere Daten wird ein richterliches Beschluss nötig, und den bekomme weder ich noch Google einfach so.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.