Das Landgericht München I hat mit Urteil vom 20.01.2022 (Az. 3 O 17493/20) entschieden, dass der Betreiber einer Webseite Schadensersatz leisten muss, wenn die auf der Webseite eingesetzten Schriftarten die IP-Adresse des Betroffenen ohne dessen Einwilligung automatisiert in die USA übertragen werden.
Gegenstand der Gerichtsentscheidung ist der Dienst „Google Fonts“. Google stellt dabei - wie andere Schriftartenanbieter - Webseitenbetreibern eine Vielzahl von modernen Schriften kostenfrei zur Verfügung, die der Webseite einen individuellen und professionelleren Eindruck verleihen. Die Schriftarten werden dabei häufig „dynamisch“ in der Webseite eingebunden: Die Schriftart wird beim Aufruf der Webseite zunächst vom Google Server geladen. Dies erspart die „statische“ Installation der Schriftart auf dem eigenen Webserver. Damit die Schriftart beim Aufruf der Webseite angezeigt werden kann, sendet der Browser eine Anfrage mit der eigenen IP-Adresse an den Google Server, auf dem die Schrift liegt und dieser spielt die Schrift zurück. Durch die Einbindung der Schriftarten im Quellcode der Webseite wird die Anfrage automatisiert durchgeführt.
Nach herrschender Auffassung, der auch das LG München I gefolgt ist, handelt es sich bei der IP-Adresse um ein personenbezogenes Datum. Die IP-Adresse darf daher nur verarbeitet und im konkreten Fall an Google übermittelt werden, wenn eine Rechtsgrundlage dies erlaubt. In Betracht kommen bei der Einbindung von Drittanbieterdiensten wie Google Fonts insbesondere die Einwilligung oder die sog. berechtigten Interessen nach Art. 6 DSGVO. Mangels Einwilligung prüfte das Gericht, ob die Datenübermittlung auf Grundlage eines überwiegenden berechtigten Interesses des Webseiten-Betreibers erforderlich war. Das Gericht verneinte aber die Erforderlichkeit, da der Webseiten-Betreiber die Schriften auch genauso gut statisch einbinden könnte, so dass überhaupt keine Verbindung zu den Google-Servern aufgebaut wird. Damit wäre für den Einsatz der dezentral bereitgestellten Schriften lediglich eine vorherige Einwilligung des Besuchers möglich.
Das Gericht sprach dem Kläger aufgrund des Verstoßes einen Schadensanspruch in Höhe von 100 Euro zu, schließlich bedeute die Datenübermittlung an Google, „ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt“, einen Kontrollverlust, der im konkreten Fall zu einem „individuellen Unwohlsein“ beim Betroffenen führe.
Auch wenn das Urteil des LG München I zum Redaktionsschluss noch nicht rechtskräftig ist, zeigt es doch einen Trend in der aktuellen datenschutzrechtlichen Rechtsprechung. Oberflächlich betrachtet betrifft das Urteil nur den Dienst Google Fonts. Die Wertungen und Begründungen können jedoch auf viele weitere dynamisch in Websites eingebundene Dienste übertragen werden. Es sind im Internet zahlreiche Gestaltungen anzutreffen, die dafür überhaupt keine Einwilligung einholen oder die Anforderungen an eine wirksame Einwilligung nicht erfüllen. Besonders brisant wird es, wenn eine Datenübermittlung in die USA oder sonstige unsichere Drittstaaten hinzutritt.
Da sich ein solcher Verstoß leicht automatisiert prüfen und abmahnen lässt, kann dies bei einer Festigung der Rechtslage eine größere Abmahnwelle lostreten. Zu möglichen Schadensersatzansprüchen gesellen sich dann Ersatzansprüche für Abmahn- und gegebenenfalls Prozesskosten.
Hinweis: Wer bezüglich der Schriftarten auf der sicheren Seite stehen möchte, sollte diese statisch in die Website einbinden und für Dienste, die weiterhin von Drittservern geladen werden, ein DSGVO-konformes Einwilligungskonzept mittels Consent-Tool umsetzen. Wichtig ist, dass die Drittanbieterdienste nicht geladen werden, bevor der Besucher seine Einwilligungen erteilt hat.
Dies gilt selbstverständlich auch für den Einsatz des Consent-Tools selbst. So hat kürzlich das Verwaltungsgericht Wiesbaden (Beschluss vom 01.12.2021, Az. 6 L 738/21) den Einsatz des Consent Tools „Cookiebot“ für rechtswidrig erklärt, da die personenbeziehbare IP-Adresse des Websitebesuchers ohne Rechtsgrundlage in die USA übermittelt wird.
