Schmerzensgeld wegen Nutzung von Google Fonts

In der Entscheidung vom 20.01.2022 (Az. 3 O 17493/20) zeigt das LG München Kriterien zur Beurteilung eines immateriellen Schadens auf und stellt klar, dass die Datenverarbeitung bei der dynamischen Nutzung von Google Fonts nicht durch ein berechtigtes Interesse gerechtfertigt werden kann und ohne eine entsprechende Einwilligung Schadensersatzansprüche auslöst.

Datenübermittlung in ein unsicheres Drittland bei der Nutzung von Google Fonts

Google Fonts ist ein kostenloser Service der Google LLC und ermöglicht es Webseiten-Betreibern, in einem interaktiven Verzeichnis zwischen über 1000 lizenzfreien Schriftarten zu wählen und diese zur Attraktivitätssteigerung der eigenen Webseite zu verwenden. Damit dem Besucher der Webseite die jeweilige Schriftart angezeigt werden kann, wird eine Anbindung zum Google-Server in den USA hergestellt und die IP-Adresse des Besuchers an diesen Server übermittelt. Google Fonts ist aber nicht nur in dieser dynamischen Weise nutzbar, sondern kann auch statisch eingebunden werden. Die Schriftarten werden in diesem Fall auf Servern des Webseiten-Betreibers gespeichert, sodass der Abruf erfolgen kann, ohne die IP-Adresse an Google zu übermitteln.

Das Gericht verurteilte einen Webseiten-Betreiber zur Zahlung eines Schmerzensgeldes in Höhe von 100 EUR an den Besucher der Webseite. Der Betreiber hatte auf dieser Website Google Fonts dynamisch eingebunden und die IP-Adresse des Besuchers in die USA – ein Land ohne angemessenes Datenschutzniveau – übermittelt.

Dynamische Einbindung von Google Fonts nicht zur Wahrung berechtigter Interessen erforderlich

Das LG München sah in der Weitergabe der IP-Adresse eine unberechtigte Verarbeitung personenbezogener Daten, die das Recht des Nutzers auf immaterielle Selbstbestimmung verletzt. Es sieht die dynamische IP-Adresse – in Übereinstimmung mit der Rechtsprechung des BGH – als personenbezogenes Datum im Sinne von Art. 4 Abs. 1 Nr. 1 DSGVO an.

Für die Verarbeitung der IP-Adresse fehlte es an der erforderlichen Rechtsgrundlage. Eine Einwilligung des Nutzers hatte der Webseiten-Betreiber nicht eingeholt. Da die Schriftarten auf den eigenen Server heruntergeladen und dem Nutzer von dort aus zugänglich gemacht werden können (statische Einbindung von Google Fonts), war die Übermittlung der IP-Adresse an den Google Server in den USA zur Wahrung der Interessen (z.B. Attraktivitätssteigerung der Webseite) nicht erforderlich. Die Datenverarbeitung war nicht durch Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt.

Kontrollverlust über die eigenen Daten als immaterieller Schaden i.S.v. Art. 82 Abs. 1 DSGVO

Zudem bejahte das Gericht einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO. Die umstrittene (und dem EuGH vom LG Saarbrücken mit Beschluss vom 22.11.2021 – 5 O 151/19 vorgelegte) Frage, ob der immaterielle Schaden eine Erheblichkeitsschwelle überschreiten müsse, hat das LG München nicht weiter thematisiert. Es hat eine Erheblichkeit vielmehr deswegen angenommen, weil die Übermittlung nicht bloß einmalig, sondern wiederholt erfolgte, die Daten in ein Land ohne angemessenes Datenschutzniveau transferiert wurden und der Besucher einen Kontrollverlust über ein personenbezogenes Datum durch die Übermittlung an Google als ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt, erlitt. Abschließend hebt das Gericht die präventive Zweckrichtung des Art. 82 Abs. 1 DSGVO hervor.

Auswirkungen für Unternehmen

Das Urteil verdeutlicht abermals, dass bei Datenübermittlungen in Drittländer besondere Vorsicht bzw. Zurückhaltung angezeigt ist und IP-Adressen nicht leichtfertig aus der Hand zu geben sind. Auf den ersten Blick erscheint die zugesprochene Summe mit einer Höhe von 100,- EUR gering. Da der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO aber jeder Person zusteht, die durch den Datenschutzverstoß einen Schaden erlitten hat, ist das Bußgeld in Höhe von 100,- EUR hypothetisch mit der Anzahl der betroffenen Personen zu multiplizieren. Gerade bei Webseiten, die regelmäßig von vielen Personen besucht werden, drohen hohe Schadensersatzzahlungen, die in Summe schnell den fünfstelligen Bereich erreichen können. Sollte der EuGH eine Erheblichkeitsschwelle im Vorlageverfahren bestätigen, ist diese nach Auffassung des LG München bei wiederholten Datenübermittlungen in Länder ohne angemessenes Datenschutzniveau überschritten. Unternehmen ist zu raten, entsprechende Verarbeitungen auf den Prüfstand zu stellen.