Unter Datenschützern wird schon seit langem diskutiert, ob das Einbinden von externen Diensten, wie Analysetools, Schriftarten oder Social Media Plugins bereits aufgrund der Übermittlung der IP-Adresse für die Einbindung der Dienste ein Problem darstellt. Mit einem Urteil des Landgerichts München I spricht jetzt erstmals ein deutsches Gericht einem Betroffenen einen Schadensersatzanspruch wegen der unerlaubten Übermittlung von IP-Adressen in die USA zu. Setzt sich diese Rechtsauffassung durch, könnten viele Webseiten- und Apptools vor dem Aus stehen und massenhafte Abmahnungen gegen Webseitenbetreiber drohen.

Schadenersatz bei Übermittlung von IP Adressen ohne Einwilligung

Das Landgericht München I hat mit Urteil vom 20.01.2022 (Az. 3 O 17493/20) entschieden, dass der Betreiber einer Webseite Schadensersatz leisten muss, wenn die auf der Webseite eingesetzten Schriftarten die IP-Adresse des Betroffenen ohne dessen Einwilligung automatisiert in die USA übertragen. Gegenstand der Gerichtsentscheidung ist der Dienst „Google Fonts“. Google stellt dabei – wie andere Schriftartenanbieter – Anbietern von Apps und Webseiten eine Vielzahl von modernen Schriften kostenfrei zur Verfügung, die einen individuellen und professionelleren Eindruck vermitteln. Die Schriftarten werden dabei häufig „dynamisch“ in der Webseite eingebunden: Die Schriftart wird beim Aufruf der Webseite zunächst vom Google Server geladen. Dies erspart die „statische“ Installation der Schriftart auf dem eigenen Webserver.  Damit die Schriftart beim Aufruf der Webseite angezeigt werden kann, sendet der Browser eine Anfrage mit der eigenen IP-Adresse an den Google Server auf dem die Schrift liegt und dieser spielt die Schrift zurück. Durch die Einbindung der Schriftarten im Quellcode der Webseite wird die Anfrage automatisiert durchgeführt.  

IP-Adressen sind personenbezogen

Nach herrschender Auffassung, der auch das LG München I gefolgt ist, handelt es sich bei der IP-Adresse um ein personenbezogenes Datum. Die IP-Adresse darf daher nur verarbeitet und im konkreten Fall an Google übermittelt werden, wenn eine Rechtsgrundlage dies erlaubt. In Betracht kommen bei der Einbindung von Drittanbieterdiensten wie Google Fonts insbesondere die Einwilligung oder die so genannten berechtigten Interessen nach Art. 6 DSGVO. Mangels Einwilligung prüfte das Gericht, ob die Datenübermittlung auf Grundlage eines überwiegenden berechtigten Interesses des Webseiten-Betreibers erforderlich war. Das Gericht verneinte aber die Erforderlichkeit, da der Webseiten-Betreiber die Schriften auch genauso gut statisch einbinden könnte, sodass überhaupt keine Verbindung zu den Google-Servern aufgebaut wird. Damit wäre für den Einsatz der dezentral bereitgestellten Schriften lediglich eine vorherige Einwilligung des Besuchers möglich.

Das Gericht sprach dem Kläger aufgrund des Verstoßes einen Schadensanspruch in Höhe von 100 Euro zu, schließlich bedeute die Datenübermittlung an Google, „ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt“, einen Kontrollverlust, der im konkreten Fall zu einem „individuellen Unwohlsein“ beim Betroffenen führe.

Urteil noch nicht rechtskräfig

Auch wenn das Urteil des LG München I zum Redaktionsschluss noch nicht rechtskräftig ist, zeigt es doch einen Trend in der aktuellen datenschutzrechtlichen Rechtsprechung. Oberflächlich betrachtet betrifft das Urteil nur den Dienst Google Fonts. Die Wertungen und Begründungen können jedoch auf viele weitere dynamisch in Websites eingebundene Dienste übertragen werden. Es sind im Internet zahlreiche Gestaltungen anzutreffen, die dafür überhaupt keine Einwilligung einholen oder die Anforderungen an eine wirksame Einwilligung nicht erfüllen. Besonders brisant wird es, wenn eine Datenübermittlung in die USA oder sonstige unsichere Drittstaaten hinzutritt.

Da sich ein solcher Verstoß leicht automatisiert prüfen und abmahnen lässt, kann dies bei einer Festigung der Rechtslage eine größere Abmahnwelle lostreten. Zu möglichen Schadensersatzansprüchen gesellen sich dann Ersatzansprüche für Abmahn- und gegebenenfalls Prozesskosten.

Einwilligungskonzept ist wichtig

Hinweis: Wer bezüglich der Schriftarten auf der sicheren Seite stehen möchte, sollte diese statisch in die Website einbinden und für Dienste, die weiterhin von Drittservern geladen werden, ein DSGVO-konformes Einwilligungskonzept mittels Consent-Tool umsetzen. Wichtig ist, dass die Drittanbieterdienste nicht geladen werden, bevor der Besucher seine Einwilligungen erteilt hat.

Dies gilt selbstverständlich auch für den Einsatz des Consent-Tools selbst. So hat kürzlich das Verwaltungsgericht Wiesbaden (Beschluss vom 01.12.2021, Az. 6 L 738/21) den Einsatz des Consent Tools „Cookiebot“ für rechtswidrig erklärt, da die personenbeziehbare IP-Adresse des Websitebesuchers ohne Rechtsgrundlage in die USA übermittelt wird.

Autoren

Laurent Meister, Rechtsanwalt, Fachanwalt für IT-Recht und Partner bei Ebner Stolz in Stuttgart
Laurent Meister

Rechtsanwalt, Fachanwalt für Informationstechnologierecht bei Ebner Stolz Stuttgart

Profilfoto von Alexander La Roche
Alexander La Roche

Rechtsanwalt bei Ebner Stolz Stuttgart

Image by rawpixel.com