Im Zuge des kürzlich erlassenen Urteils des LG München geht dieser Beitrag auf den immateriellen Schadensersatz ein. Außerdem betrachten wir Google Fonts auf Webseiten und die Anforderungen an eine datenschutzkonforme Nutzung.
Das Urteil des LG München vom 20.01.22 Az. 3 O 17493/20
Mit diesem Urteil wurden dem Nutzer einer Webseite 100 EUR Schmerzensgeld zugesprochen, weil der Webseitenbetreiber Google Fonts per Link eingebunden hatte.
Was sind Google Fonts?
Google stellt in einer Art interaktive Bibliothek unter dem Begriff Google Fonts (früher Google Webfonts) ca. 1300 Schriftarten in Form von freien Lizenzen zur Verfügung. Diese können von Webseitenbetreibern frei, ohne Lizenzgebühren, verwendet werden. Der viel diskutierte Nachteil besteht darin, dass dann eine Serververbindung zu Google LLC in den USA besteht und von wo aus die Schriften nachgeladen werden. Die IP-Adresse des Webseitennutzers wird an Google in die USA, also einem unsicheren Drittstaat, übertragen.
Personenbezug bei IP-Adressen
Bei der IP-Adresse des Webseitennutzers, auch der dynamischen IP-Adresse, handelt es sich um ein personenbezogenes Datum gem. Art. 4 Nr. 1 DSGVO, da es sich um Informationen handelt, die eine natürliche Person identifizieren oder diese identifizierbar machen.
- identifiziert ist eine natürliche Person, wenn sich die Identität der betroffenen Person unmittelbar aus der Information selbst ergibt (z.B. Name oder Anschrift)
- identifizierbar ist eine natürliche Person, wenn sich aus der Information selbst noch nicht unmittelbar die Identität der Person ergibt, aber eine Identifikation möglich ist, in dem die ursprüngliche Information mit einer weiteren Information verknüpft wird und hierüber eine Identifikation möglich wird. Nach EG 26 können hierbei alle Mittel in Betracht gezogen werden, die von dem Verantwortlichen oder einem Dritten nach allgemeinen Ermessen als wahrscheinlich genutzt werden. Für die wahrscheinliche Nutzung wiederum wird auf alle bekannten oder ermittelbaren Informationen sowie objektiven Faktoren (z.B. Kosten, Zeitaufwand für die Ermittlung) abgestellt.
Die dynamische IP-Adresse ist für den Internetanbieter jedenfalls ein personenbezogenes Datum, da er über die Zuordnungs- und Log-Dateien verfügt, über die er die IP-Adresse den Nutzern zugeordnet hat, siehe EuGH 24.11.2011 – C70/10. Soweit der Webseitenbetreiber jedoch über die abstrakte Möglichkeit verfügt, von dem Internetanbieter die Identifikationsdaten heraus zu verlangen, ist die dynamische IP-Adresse auch für diesen ein personenbezogenes Datum (EuGH 19.10.2016 – C582/14 und BGH 16.05.2017 – VI ZR 135/13).
Nachdem die dynamische IP-Adresse ein personenbezogenes Datum ist (s.o), wurde dieses Datum durch die Einbindung der Google Fonts per Link auf der Webseite beim Nachladen an die Google Server in ein unsicheres Drittland (ein Land außerhalb der EU/des EWR für das kein EU-Angemessenheitsbeschluss besteht), nämlich die USA, übertragen. Mit dieser Weiterleitung ohne Wissen der betroffenen Person, wurde deren Recht auf informationelle Selbstbestimmung verletzt.
Rechtsgrundlage für die Datenverarbeitung
Um die IP-Adresse des Webseitennutzers bei der Verwendung von Google Fonts zu verarbeiten, wenn diese vom Google Server nachgeladen werden, wird eine Rechtsgrundlage benötigt.
Berechtigtes Interesse als Rechtsgrundlage
Das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO kann als Rechtsgrundlage für die Verwendung von Google Fonts allein schon deshalb nicht dienen, weil im Rahmen der Interessensabwägung keine Erforderlichkeit für diese Nutzung der Google Fonts festgestellt werden kann. Die Interessensabwägung nach Art. 6 Abs. 1 lit. f DSGVO erfolgt in drei Stufen.
- Prüfung, ob zum Zeitpunkt der Datenverarbeitung ein berechtigtes Interesse des Verantwortlichen bestand
Dieses berechtigte Interesse ist weit gefasst und umfasst sowohl rechtliche als auch tatsächliche, wirtschaftliche und ideelle Interessen. Das kann in diesem Fall vorausgesetzt werden, denn die Verwendung von attraktiven Schriftarten, lässt Webseiten ansprechender erscheinen und dies liegt naturgemäß im wirtschaftlichen Interesse des Webseitenbetreibers. - Prüfung, ob die Datenverarbeitung zur Verwirklichung des berechtigten Interesses erforderlich war
Auf dieser Stufte prüft man, ob es ein milderes, gleich effektives Mittel gegeben hätte, um die wirtschaftlichen Ziele des Webseitenbetreibers zu erreichen. Für die Erforderlichkeit genügt die Zweckdienlichkeit allein nicht, d.h. das Merkmal der Erforderlichkeit, ist für die Zielerreichung eng auszulegen. Die Tatsache, dass die Umsetzung mit dem Nachladen der Schriften von dem Google Server für den Webseitenbetreiber die einfachste Variante ist, die mit wenig Aufwand umzusetzen ist, bedingt keine Erforderlichkeit. Vielmehr ist darauf abzustellen, dass die benötigten Schriften von Google auf den eigenen Server des Anbieters der Webseite geladen und von dort dem Webseitenbesucher zur Verfügung gestellt werden können. Bei dieser Variante kann die Verbindung zu Google gekappt werden, wodurch es zu keiner Datenübertragung in einen unsicheren Drittstaat kommt. Somit stand ein milderes, gleich effektives Mittel für den Webseitenbetreiber zur Verfügung. Es fehlt daher an der Erforderlichkeit der Datenübermittlung. Zudem hätte natürlich auch jederzeit die Möglichkeit bestanden, diese kostenlosen Schriften erst gar nicht einzusetzen und lizenzierte Schriften zu verwenden. - Prüfung, ob die Interessen der betroffenen Person an dem Unterlassen der Datenverarbeitung das Interesse des Verantwortlichen an der Datenverarbeitung überwiegt
Dieser Prüfschritt muss nicht mehr durchgeführt werden, weil schon die Erforderlichkeit fehlt. Im Übrigen müsste der Webseitenbetreiber als Verantwortlicher darlegen, warum die Interessen der betroffenen Person an dem Unterlassen der Datenverarbeitung seine Interessen an der Datenverarbeitung nicht überwiegen.
Einwilligung als Rechtsgrundlage
Die Einwilligung in Form von Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 49 Abs. 1 S. 1 lit. a DSGVO scheitert daran, dass keinerlei Informationen gem. Art. 12, 13 DSGVO für den Nutzer vor der Datenerhebung zur Verfügung stehen, in die er hätte einwilligen können. Diese Informationen müssten natürlich auch die Risiken im Zuge der Drittlandübermittlung umfassen und vor Datenerhebung und vor Einholung der Einwilligung für die betroffene Person bereit stehen. Überdies kann in eine Übermittlung in ein unsicheres Drittland gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO nur für gelegentliche Übermittlungen (EG 111) eingewilligt werden, d.h. nur in keine regelmäßigen, wiederholenden oder systematisch erfolgenden Datenverarbeitungen. Sofern auf einer Webseite Schriftarten eingesetzt werden, die bei jeder Nutzung der Webseite erneut die IP-Adresse an Google übermitteln und nachgeladen werden, ist von einer systematischen, sich wiederholenden Datenverarbeitung auszugehen, so dass eine Einwilligung nach der DSGVO in einen Drittlandtransfer gar nicht möglich wäre.
Darüber hinaus müsste die betroffene Person mittlerweile auch nach dem TTDSG gem. § 25 Abs. 1 S. 1 TTDSG einwilligen. Sowohl die datenschutzrechtliche als auch die Einwilligung nach dem TTDSG (siehe § 25 Abs. 1 S. 1 TTDSG) müssen den Anforderungen hinsichtlich der Informationspflichten und der Einwilligungsvoraussetzungen wie sich diese aus der DSGVO ergeben, entsprechen, d.h. im Wesentlichen den Bestimmungen in Art. 4 Nr. 11 DSGVO, Art. 7 und 8 DSGVO. Beide Einwilligungen können auch gebündelt eingeholt werden, jedoch ist es zwingend erforderlich, dass der Verantwortliche als Anbieter des Telemediendienstes die Nutzenden über die Zwecke der Datenverarbeitung bereits bei der Speicherung auf dem Endgerät über alle Zwecke der Datenverarbeitung informiert, die im Anschluss an den Zugriff auf die Endeinrichtung erfolgt. Auch hierfür sind die Voraussetzungen nicht gegeben, denn es ist praktisch für den Websitebetreiber gar nicht möglich, in diesem Stadium die Einwilligung einzuholen, d.h. die IP-Adresse, Gerätedaten gehen bereits mit dem ersten Aufruf an Google.
Schadensersatzanspruch und immaterieller Schaden
Aufgrund der unberechtigten Datenverarbeitung kam es zur Verletzung des informationellen Selbstbestimmungsrechtes des Webseitennutzers. Mit der unberechtigten Weitergabe der personenbezogenen Daten an Google, erlitt die betroffene Person einen Kontrollverlust über die eigenen Daten.
Die Frage ist, ob damit ein Schaden i.S.d. Art. 82 DSGVO gegeben ist, so dass der betroffenen Person ein Schadensersatzanspruch zusteht. Der Schadensbegriff in der DSGVO wird grundsätzlich weit ausgelegt. Er kann sowohl immaterieller als auch materieller Art sein. Der Schadensersatz soll einen vollständigen Ersatz des eingetretenen Schadens bei der betroffenen Person bewirken und gleichzeitig auch abschrecken, d.h. über eine rein symbolische Schadenshöhe hinausgehen. Der oben beschriebene Kontrollverlust der betroffenen Person ist ein immaterieller Schaden, den die betroffene Person darlegen und beweisen müsste. In Deutschland wurden bislang nur bei schwerwiegenden Verstößen gegen das Persönlichkeitsrecht ein immaterieller Schadensersatz zugesprochen. Art. 82 DSGVO liegt jedoch der europarechtliche Schadensbegriff zugrunde, so dass die rigide deutsche Handhabung mit Erheblichkeitsschwellen nicht mehr greift.
Auch „Bagatellschäden“ sind von dem europarechtlichen Schadensbegriff abgedeckt, denn in EG 148 S.2 werden geringfügige Verstöße nicht ausgenommen. Zwar ist es auch europarechtlich so, dass aus generalpräventiven Gründen nicht gleich jeder noch so kleine Verstoß gegen die DSGVO einen Schadensersatz begründet. Allerdings immer dann, wenn nicht nur gegen Dokumentationspflichten verstoßen wurde, besteht in jedem Verstoß gegen die DSGVO-Normen ein ersetzbarer Schaden für die betroffene Person. Dieser kann auch bereits in einem unguten Gefühl liegen. Unbefugte Datenverarbeitungen führen daher nicht nur zu einem Kontrollverlust und zu einem Gefühl der Hilflosigkeit bei der betroffenen Person, sondern auch zu einem Schadensersatzanspruch.
Darüber hinaus war im konkreten Fall die Übermittlung der IP-Adresse nicht nur einmalig an Google erfolgt, sondern wurde bei jedem Aufrufen in ein unsicheres Drittland übertragen, in dem für die betroffene Person nicht die gleichen Betroffenenrechte wie in der EU und auch in anderen Punkten nicht das gleiche Datenschutzniveau herrscht. Zudem ist Google als vielseitiger Datensammler und -nutzer bekannt. Der Kontrollverlust der betroffenen Person war somit nicht nur gefühlt sondern real, auch wenn die Auswirkung nicht spezifisch en detail dargelegt werden kann. Die Schadensersatzsumme von 100 EUR hat hoffentlich die erwünsche präventive Wirkung.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de