1. Was sind Google Fonts?

Bei Google Fonts handelt es sich um ein interaktives Verzeichnis mit über 1400 Schriftarten, welche von Google zur freien Verwendung bereitgestellt werden. Das bedeutet, dass jeder Websitebetreiber ohne Zahlung einer Lizenzgebühr Google Fonts verwenden kann. Google Fonts bietet dem Betreiber einer Website die Option, Schriften auf der eigenen Website zu nutzen, ohne dass diese auf den jeweiligen Server hochgeladen werden müssen. Beim Aufruf der Website durch einen Benutzer werden diese Schriften dann über einen Server von Google nachgeladen, wodurch Daten an Google übertragen werden. Es ist jedoch auch möglich, Schriften lokal auf der eigenen Website einzubinden. Hierzu müssen die verwendeten Google Fonts heruntergeladen und auf der eigenen Website hochgeladen werden. Dadurch wird die Verbindung zum Google Server getrennt und eine Informationsübertragung an Google ausgeschlossen.

2. Wo liegt das Problem aus datenschutzrechtlicher Sicht?

Eine Abmahnung wegen Google Fonts wird deswegen ausgesprochen, wenn der Abmahner der Ansicht ist, dass durch die Übertragung von dynamischen IP-Adressen in die USA ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) vorliegt. Unter IP-Adressen sind Zahlenfolgen zu verstehen, die der Identifizierung und der Kommunikation mit Geräten in Netzwerken dienen. Hierbei muss zwischen statischen und dynamischen IP-Adressen differenziert werden. Während statische IP-Adressen einem bestimmten Gerät dauerhaft zugewiesen sind, werden dynamische IP-Adressen bei der jeweiligen Einwahl in das Netzwerk bis zur Trennung durch den Internet-Provider vergeben. Bei dynamischen IP-Adressen wird also bei jeder neuen Einwahl in das Netzwerk eine neue IP-Adresse zugeteilt.

Es stellt sich also die Frage, ob IP-Adressen überhaupt personenbezogene Daten sind. Das ist letztlich an der Frage aufzuhängen, durch wen eine Identifizierung geschehen kann. Geht man davon aus, dass die Identifizierung durch den Datenverarbeiter selbst möglich sein muss, handelt es sich um einen relativen Personenbezug. Nach der Theorie des absoluten Personenbezugs handelt sich bereits dann um ein personenbezogenes Datum, wenn die Identifizierung auch nur durch einen Dritten möglich ist.

3. Schmerzensgeld gemäß DSGVO

Wenn tatsächlich eine Übertragung der IP-Adresse der Benutzer einer Website an einen Googleserver in den USA stattfindet, kann dies datenschutzrechtlich problematisch sein. Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Datenschutzgrundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Die DSGVO gibt also bei Datenschutzverstößen einen immateriellen Schadensersatzanspruch, also ein Schmerzensgeld. Erfolgt die Verarbeitung von personenbezogenen Daten also unrechtmäßig, liegt also keine Einwilligung oder ein sonstiger Tatbestand von Art. 6 DSGVO vor, kann der betroffenen Personen unter Umständen einen Schmerzensgeldanspruch zustehen. Das Landgericht München I hat einer betroffenen Person mit Urteil vom 20. Januar 2022, Az. 3 O 17493/20 einen Schmerzensgeldanspruch in Höhe von 100 € zugesprochen. Im dortigen Fall bestand keine Einwilligung für die Weitergabe der dynamischen IP-Adresse an Google und auch ein sonstiges berechtigtes Interesse konnte von dem Verantwortlichen nicht nachgewiesen werden. Das Landgericht München war der Meinung, dass eine gewisse Erheblichkeit des DSGVO-Verstoßes nicht erforderlich sei. Der mit der Datenweitergabe an Google verbundene Kontrollverlust und das damit vom Kläger empfundene individuelle Unwohlsein seien dabei so erheblich, dass hierdurch ein Schmerzensgeldanspruch gerechtfertigt werde. In dem Verfahren war unstreitig, dass die IP-Adresse an einen Server von Google in den USA übermittelt wurde, obwohl dort kein angemessenes Datenschutzniveau gewährleistet sei. Hierbei handelt es sich sicherlich um eine Einzelfallentscheidung, die bislang auch stark kritisiert worden ist. Insbesondere ist verwunderlich, dass die Weitergabe an einen Server in den USA unstreitig war. Interessant wäre, inwiefern ein Kläger dies in einem gerichtlichen Verfahren nachweisen kann, wenn die Tatsache der Weitergabe in die USA bestritten wird.

4. Unterlassungsanspruch

Das Landgericht München hat dem Kläger dort gegen den Websitebetreiber auch einen Anspruch auf Unterlassung der Weitergabe seiner IP-Adresse an Google zugebilligt, da die unerlaubte Weitergabe der dynamischen IP-Adresse das allgemeine Persönlichkeitsrecht in Form des informationellen Selbstbestimmungsrechts des Klägers verletzt habe.

5. Die Lehren aus dem Münchner Urteil

Das zitierte Urteil des Landgerichts München ist sicherlich umstritten, steht aber in einer Linie mit zahlreichen weiteren Urteilen, die mit Datenschutzverstößen alles andere als zimperlich umgehen. Insofern sollte jeder Betreiber einer Website sensibilisiert sein. Das zitierte Urteil betrifft zwar nur den Dienst Google Fonts; die vom Gericht ausgeurteilten Grundsätze gelten allerdings für sämtliche Dienste aus den USA, die dynamisch in einer Website eingebunden werden. Wer also Dienste aus den USA dynamisch einbindet, muss ein technisch hinreichendes Consent Banner vorschalten, welches die Aussteuerung der Dienste regelt. Das große Problem bei der Weitergabe von personenbezogenen Daten in die USA liegt vor allem darin, das Strafverfolgungsbehörden und Geheimdienste unter bestimmten Voraussetzungen auf Server amerikanischer Unternehmen und dort gelagerte Kundendaten zugreifen können. Das ist selbst dann der Fall, wenn diese Server im Ausland stehen. Einen effektiven Rechtsschutz dagegen bietet das US-amerikanische Recht nicht. Hier helfen auch nicht die EU-Standardvertragsklauseln. Diese wurden zwar neu gefasst, es ist jedoch völlig offen, ob sich diese im Streitfall bewähren.

6. Datenschutz hat Priorität

Datenschutz wurde in vielen Unternehmen in den letzten Jahren als lästige Pflicht angesehen, die gerne vernachlässigt wurde, da sie die Abläufe stört und mit finanziellem Aufwand verbunden ist. Diese Ansicht hat sich angesichts zahlreicher gerichtlicher Urteile und Bußgeldverfahren der Datenschutzbehörden als grundlegend falsch erwiesen. Jedes Unternehmen, welches personenbezogene Daten verarbeitet, sollte die datenschutzrechtlichen Abläufe überprüfen (lassen) und sich für datenschutzrechtliche Probleme wappnen. Wer beispielsweise keinen Überblick über die einzelnen Verarbeitungsschritte von personenbezogenen Daten in seinem Unternehmen hat, wird bei einem datenschutzrechtlichen Auskunftsbegehren gemäß Artikel 15 DSGVO große Probleme bekommen. Das Ergebnis ist dann meist eine falsche oder unzureichende Auskunft, die zu einem Bußgeldverfahren vor den Datenschutzbehörden führt. Geht ein solches Bußgeldverfahren anfangs vielleicht noch glimpflich aus, können weitere Verfahren sehr teuer werden. Ein weiteres Problem ergibt sich aus Art. 33 DSGVO. Hier ist die Meldepflicht von Datenschutzverletzungen geregelt. Eine solche Meldung muss binnen 72 Stunden an die Aufsichtsbehörde geschehen. Hat man hierfür keinen Arbeitsablauf implementiert, ist es unmöglich, diese Frist nicht einzuhalten. Ein weiterer wichtiger Punkt ist die Auftragsverarbeitung. Da Unternehmen personenbezogene Daten längst nicht mehr nur intern verarbeiten, sondern die Datenverarbeitung häufig auslagern, ist es wichtig, den Umgang mit diesen Daten auf eine rechtssichere vertragliche Grundlage zu stellen. Ein Auftragsverarbeiter handelt dabei auf Weisung des Verantwortlichen. Mit der Übertragung von einzelnen Aufgaben an einen Dritten ist meistens auch die Übermittlung personenbezogener Daten der Kunden oder Mitarbeiter verbunden, weswegen ein datenschutzrechtlicher Regelungsbedarf besteht. Hier kann vereinbart werden, welches Unternehmen für den Schutz der personenbezogenen Daten verantwortlich ist und wer welche Maßnahmen für diesen Schutz zu treffen hat.

7. Fazit

Jedes Unternehmen sollte den Datenschutz ernst nehmen und die entsprechenden Arbeitsabläufe optimieren. Dann bleibt man von Abmahnwellen und Bußgeldverfahren der Datenschutzbehörden verschont. Keinesfalls sollte man abwarten bis die ersten Auskunftsersuchen oder Anhörungen der Datenschutzbehörden vorliegen.