Bindet der Websitebetreiber Schriften nicht lokal ein, sondern lässt sie bei Aufruf der Website von einem Drittserver nachladen, wird im Zuge dessen standardmäßig auch die (dynamische) IP-Adresse durch die Erhebung von sogenannten Serverlogs übertragen. Nunmehr hat das Landgericht (LG) München mit Urteil vom 20. Januar 2022 einem Websitebesucher 100 Euro Schadensersatz zugesprochen, da dessen (dynamische) IP-Adresse ohne vorherige Einwilligung durch den Aufruf einer Website an Google übermittelt wurde (Az.: 3 O 17493/20). Dies stellt einen Eingriff in das allgemeine Persönlichkeitsrecht des Besuchers dar, wonach auch ein Schadensersatz nach Art. 82 DSGVO zu bejahen ist.
Der Sachverhalt
Der Kläger und Besucher einer Website des Beklagten hatte dessen Internetauftritt mehrfach aufgerufen. Auf diesem setzte der Beklagte unter anderem auch Google Fonts ein, wodurch bei Aufruf der Website Schriften aus einer externen Schriftbibliothek nachgeladen werden. Hierfür wurde bei Aufruf der Website eine Verbindung zu einem Google-Server aufgebaut und unter anderem die (dynamische) IP-Adresse des Klägers an Google übermittelt. Eine vorherige Einwilligung des Besuchers wurde nicht eingeholt. Vielmehr stützte der Beklagte den Einsatz von Google Fonts auf sein berechtigtes Interesse nach Art. 6 Abs. 1 lit f DSGVO.
Kläger und Beklagte stritten im Anschluss darüber, ob und unter welchen Voraussetzungen ein Schadenersatzanspruch nach Art. 82 DSGVO zugunsten des Klägers gegeben sei. Zudem wurde die Beklagte aufgefordert, bei Aufruf der von ihr betriebenen Website keine Daten des Klägers ohne dessen Einwilligung gegenüber Google offenzulegen. Neben der Einordung der IP-Adresse als personenbezogenes Datum, trug der Kläger vor, dass durch die unfreiwillige Weitergabe ein nicht gerechtfertigter Eingriff in sein allgemeines Persönlichkeitsrecht vorliege.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Der Urteilsspruch
Das Landgericht München ist der Auffassung, der Kläger habe gegen die Beklagte einen Anspruch auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 BGB i.V.m. § 1004 BGB analog. Das Gericht stellt klar, dass die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google eine Verletzung dessen allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB darstellt. Das Recht auf informationelle Selbstbestimmung gewährleistet insbesondere das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten selbst zu bestimmen.
Auch handelt es sich bei der dynamischen IP-Adresse um ein personenbezogenes Datum. Es kommt laut Gericht nicht darauf an, ob Websitebetreiber oder weitere Empfänger eine konkrete Möglichkeit besäßen, diese IP-Adresse einer natürlichen Person zuordnen zu können. Die abstrakte Möglichkeit – hier unter Hinzuziehung des Internetdienstanbieters – reiche aus, um den Personenbezug zu bejahen.
Die automatische Weitergabe dieses personenbezogenen Datums durch die Beklagte an Google sei ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, da der Kläger unstreitig in diesem Eingriff nicht eingewilligt habe. Ein berechtigtes Interesse der Beklagten scheitere an der Erforderlichkeit des Dienstes, da die gleiche Funktionalität auch ohne Mithilfe Googles möglich sei. Auch sei dem Beklagten nicht zumutbar, eigenständig Maßnahmen zu ergreifen, um sich gegen eine entsprechende Weitergabe zu schützen.
Ferner bejaht das LG München einen Anspruch aus Art. 82 DSGVO. Der Begriff des Schadens sei nach Erwägungsgrund 146 S. 3 DSGVO weit auszulegen. Der Kontrollverlust des Klägers stelle einen immateriellen Schaden dar, da durch das bekanntermaßen Nutzerdaten sammelnde Unternehmen Google und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich sei, dass ein Schadensersatzanspruch gerechtfertigt wäre.
Datenschutzrechtliche Beurteilung
Einige in der juristischen Fachwelt teils heftig diskutierte Fragen, wie das Vorliegen einer Erheblichkeitsschwelle für Bagatellverstöße oder die Sperrwirkung gegenüber nationalstaatlicher Sanktionsregime außerhalb der DSGVO, wie zivilrechtliche Unterlassungsansprüche, werden durch das Gericht allesamt bejaht.
Die teils geforderte Erheblichkeit des Schadens wurde nicht weiter erörtert, da eine Entscheidung im gegenwärtigen Fall durch das Gericht nicht als notwendig erachtet wurde. Hier dürfte sowohl der in diesem Fall vorliegende Drittlandbezug durch die Übertragung der IP an Google in die USA eine Rolle gespielt haben als auch der Umstand der mehrmaligen Übermittlung von Daten durch die Beklagte.
Das ein berechtigtes Interesse des Websitebetreibers dem Interesse des Besuchers in diesem Fall nicht überwiegt, dürfte niemanden mehr überraschen. Der Einsatz eines entsprechenden Dienstes ist schlicht nicht erforderlich, um die gleiche Funktionalität zu gewährleisten.
Auch bejaht die Rechtsprechung im vorliegenden Fall den Personenbezug in Hinblick auf die (dynamische) IP-Adresse des Benutzers. Die Tendenz geht hier Zusehens mehr in Richtung einer Auslegung des absoluten Personenbezugs. Dieser wird bereits dann bejaht, wenn es faktisch möglich ist – auch unter Mithilfe Dritter – einen solchen herzustellen. Eine dahingehende Absicht oder gar eine eigene konkrete Möglichkeit, spielen für die Einordung eine untergeordnete Rolle. Daher kann sich der Websitebetreiber – wie in der Praxis oft fälschlicherweise angenommen – nicht darauf berufen, den Personenbezug im konkreten Fall nicht selbst herstellen zu können. Die abstrakte Betrachtungsweise schließt auch mit ein, dass Verantwortliche oder selbst Strafverfolgungsbehörden womöglich über den Internetprovider eine Möglichkeit haben, eine Person identifizieren zu lassen.
Tipp: Bei unserem Partner activeMind AG lesen mehr zum Personenbezug von Daten und der Einstufung von IP-Adressen als personenbezogene Daten.
Fazit
Das Urteil des LG München dürfte weitreichende Folgen für die Praxis haben, da hierdurch künftig allen Websitebesuchern die Möglichkeit eröffnet wird, gegen entsprechende Datenschutzverstöße zu klagen. Adressat des Schadensersatzes ist immer unmittelbar der Websitebetreiber. Als Ersterheber der Daten ist er für die Übermittlung und für das Setzen dieser Ursache verantwortlich. Bereits durch die Übermittlung selbst tritt der Schaden ein. Ob im konkreten Fall sogar eine gemeinsame Verantwortlichkeit vorliegt, ist für den Websitebetreiber ebenfalls nicht von Belang, da der Betroffene seinen Anspruch gegen beide Verantwortliche geltend machen kann. Erfolgsversprechender ist immer der Weg über den Anbieter des Internetauftritts.
Für Websitebetreiber sind derartige Risiken allerdings leicht vermeidbar, wenn sie sich im Vorfeld über die Art und Weise der Einbindung von Diensten Gedanken machen. Oftmals benötigt es nur geringfügigen Aufwand, um eine rechtskonforme Lösung zu realisieren. Dabei müssen auch nicht immer Funktionseinschränkungen in Kauf genommen werden.
Tipp: Wie Sie dies im konkreten Fall lösen, verraten Ihnen unsere Kollegen der activeMind AG mit einer praktischen Anleitung zur lokalen Einbindung von Schriftarten.