Zum Inhalt springen

Google Fonts ohne Einwilligung ▷ Schadensersatz nach der DSGVO

google Fonts schadensersatz DSGVO

Google Fonts: Eine Vielzahl von Webseiten nutzt die von Google bereitgestellten Schriftarten. Wer dies allerdings online einbindet ohne die Zustimmung eines Websitebesuchers über ein Cookie-Constent-Tool einzuholen, handelt nach der DSGVO rechtswidrig und ist zum Schadensersatz verpflichtet, urteilte das Landgericht München.

Google und andere US-Anbieter erlauben die kostenlose dynamische Einbindung bestimmter Features in Webseiten. Dies ist ohne Zustimmung der Webseitennutzer unzulässig und kann Unterlassungsansprüche und Schadenersatzforderungen nach sich ziehen. Konkret urteilte das Landgericht München diesbezüglich zu den Google Fonts. Das sind Schriftarten, die Google zur Verfügung stellt (Urteil am LG München vom 20.01.2022, Az.: 3 O 17493/20).

Google Fonts und die DSGVO

Google Fonts sind Schriftarten von Google, welche Webseitenbetreiber prinzipiell kostenlos nutzen dürfen. Sie können die gewünschte Schrift herunterladen und anschließen in ihren Webspace hochladen. Dann binden sie die Schrift lokal in ihre Webseite ein. Dadurch entsteht keine Verbindung zu den Servern von Google, wenn ein Nutzer die Seite aufruft, sodass diese statische Variante datenschutzrechtlich unkritisch zu betrachten ist.

Jedoch gibt es auch eine dynamische Variante, bei der der Webseitenbetreiber ein Code-Snippet von Google in den HTML-Code seiner Webseite einbindet. Wenn nun ein Nutzer die Webseite besucht, entsteht von seinem Endgerät aus eine Verbindung zum Server von Google, der ihm die benötigte Schriftart ausspielt. Der Googleserver ermittelt dabei die IP-Adresse des Nutzers. Das verletzt nach den DSGVO-Standards das europäische Datenschutzrecht.

Dementsprechend führte das LG München ein Verfahren gegen eine Webseitenbetreiberin, welche diese dynamische Variante für die Google Fonts genutzt hatte. Dies ist prinzipiell zulässig. Die Nutzer müsse in die Nutzung und den dadurch stattfindenden Datenverkehr allerdings einwilligen. Dies Cookie-Constent-Tools einholen. Besucher der Website müssen dafür ihre Zustimmung erteilen. Dies hatte die Betreiberin der Webseite unterlassen, weshalb sie ein Nutzer klagte und Schadensersatz forderte.

Das LG München folgte der Auffassung des Klägers. Das Gericht gab dem vorrangig geltend gemachten Unterlassungsanspruch statt. Der Betreiberin der Website ist es danach untersagt, die IP-Adresse an die Google-Server weiterzugeben, ohne das eine Einwilligung vorliegt. Ein derartiger Anspruch ergibt sich aus § 823 Abs. 1 i.V.m. § 1004 BGB.

Demnach verletzt die unerlaubte Weitergabe von dynamischen IP-Adressen eines Nutzers dessen allgemeine Persönlichkeitsrechte, konkret das Recht auf informationelle Selbstbestimmung (§ 823 Absatz 1 BGB).

Zudem besteht eine massive Verletzung der Regelungen der DSGVO. Nach den Regelungen der Datenschutzgrundverordnung sind nämlich dynamische IP-Adressen personenbezogene Daten, vgl. Art. 4 Nr. 1 DSGVO.

Der Hintergrund hierfür ergibt sich daraus, dass ein Webseitenbetreiber die Besucher seiner Webseite zumindest mit behördlicher Hilfe (in diesem Fall via Google aus den USA) anhand der gespeicherten IP-Adresse ermitteln kann. Dies verbieten das europäische und deutsche Datenschutzrecht (vgl. unter anderem Urteil des BGH vom 16.05.2017, Az.: VI ZR 135/13). Es kommt dabei nicht darauf an, inwieweit oder ob überhaupt der Webseitenbetreiber diese Möglichkeit konkret nutzt. Es genügt eine abstrakte Bestimmbarkeit der Person.

Fehlende Einwilligung zur Verarbeitung der IP-Adresse durch Google Fonts

Die Webseitenbetreiberin hatte unstreitig keine Einwilligung ihrer Nutzer zur Speicherung ihrer IP-Adressen eingeholt. Sie nutze dafür gerade kein Cookie-Constent-Tool. Dazu wäre sie nach Art. 6 Abs. 1 lit. a DSGVO allerdings verpflichtet gewesen.

Im Prozess versuchte sie jedoch, sich auf ihr berechtigtes Interesse an der Übermittlung der IP-Adressen von Nutzern zu berufen. Art. 6 Abs. lit. f DSGVO bildet insofern einen Auffangtatbestand für Fälle, in denen ein überwiegendes Interesse des Betreibers der Website an der Nutzung dieses Dienstes vorliegt.

Das LG München sah allerdings kein überwiegendes Interesse der Betreiberin der Website, weil bei dieser speziellen technischen Anwendung von Google Fonts auch die statische Variante ohne Weitergabe von IP-Adressen möglich ist. Die Nutzung der Schriften sind demnach auch lokal möglich, ohne dass eine Kommunikation mit den Servern in den USA stattfinden muss.

Des Weiteren verneinten die Richter eine Pflicht von Webseitenbesuchern, ihre eigene IP-Adresse zu verschlüsseln bzw. via VPN zu verschleiern, um der Datenweitergabe vorzubeugen. Das Datenschutzrecht sei vielmehr extra so gestaltet worden, dass Nutzer auf den Schutz ihrer Daten auch ohne solche aufwendigen Maßnahmen vertrauen könnten (vgl. Urteil des LG Dresden vom 11.01.2019, Az.: 1 AO 1582/18).

Schadenersatzanspruch (Art. 82 DSGVO) nach der DSGVO

Das Landgericht sprach dem Kläger zudem einen immateriellen Schadensersatz (also Schmerzensgeld) von 100,- € nach Artikel 82 Absatz 1 DSGVO wegen „Unwohlsein“ zu.

Wie in einer Vielzahl von Fällen ging es auch in diesem Verfahren um die Frage, ob ein betreffender DSGVO-Verstoß eine bestimmte Erheblichkeit erreichen muss, um Schadenersatz zu rechtfertigen. Gerade an dieser spürbaren Rechtsverletzung haben und lassen zahlreiche Gerichte noch immaterielle Schadensersatzansprüche scheitern (vgl. bspw. LG Frankfurt/M., Datenleck und LG Karlsruhe, Datenleck).

Nach Auffassung der Richter am Landgericht München kommt es darauf allerdings gerade nicht an. Schon das Unwohlsein wegen des Kontrollverlusts bezüglich der eigenen IP-Adresse genügt demnach, um eine Schadenersatzforderung zu rechtfertigen. Dieses Unwohlsein lässt sich damit begründen, dass nach europäischer Auffassung das Datenschutzniveau in den USA nicht ausreicht (vgl. EuGH-Urteil vom 16.7.2020, Az.: C-311/18 – Schrems und Facebook Ireland).

Zudem soll die Haftung nach Artikel 82 Abs. 1 DSGVO präventiv weiteren derartigen Verstößen vorbeugen. Die Beklagte müsse nun ausreichende Sicherungsmaßnahmen gegen die Weitergabe von IP-Adressen ihrer Nutzer schaffen, was gerade im vorliegenden Fall durch die Möglichkeit der statischen Nutzung von Google Font sehr einfach sei.