DGSVO-Massenabmahnungen: Der EuGH soll es richten
Im Jahr 2022 dürfte mit eine der größten Abmahnwellen überhaupt gelaufen sein: Über 100.000 Abmahnungen verschickte ein Abmahner wegen Google Fonts. Deren Nachwehen beschäftigen nun BGH und EuGH.
Inhaltsverzeichnis
Massenabmahner am Werk
Damals wurden alleine im deutschsprachigen Raum (vor allem in Deutschland und Österreich) mehrere hunderttausend datenschutzrechtliche Abmahnschreiben aufgrund der Nutzung von Google Web Fonts (kurz „Google Fonts“) versendet.
Bei Google Fonts handelt es sich um ein kostenloses, interaktives Schriftartenverzeichnis, welches bei Integration in eine Webseite ermöglicht, dass deren Inhalte auf allen abrufenden Geräten optisch ansprechend dargestellt werden.
Die Einbindung von Web Fonts kann zum einen dynamisch erfolgen, sodass bei Bedarf die entsprechenden Schriftarten direkt von einem Google-Server bezogen und nachgeladen werden, besucht jemand die Webseite. In diesem Fall wird die IP-Adresse des Seitenbesuchers direkt an Google übermittelt.
Andererseits kann der Webseitenbetreiber den Schriftartenkatalog auch komplett herunterladen und Google Fonts dann lokal auf seinem Server einbinden. Bei dieser Variante können die Schriftarten von dann so genutzt werden, dass keine Verbindung des Browsers des Seitenbesuchers zu den Servern von Google aufgebaut werden muss. In der Folge wird bei lokaler Einbindung keine IP-Adresse des Webseitennutzers an Google übermittelt.
Im Fokus der Abmahner standen die Webseiten- und Onlineshop-Betreiber, die Google Fonts dynamisch eingebunden hatten.
Denn in der (ungefragten) Weitergabe der IP-Adresse des Seitenbesuchers an Google in die USA könnte man einen Verstoß gegen die DSGVO erblicken.
Um entsprechende, „böse“ Seiten zu ermitteln, bauten Abmahner eigene Tools und Skripte, die Millionen von Webseiten vollkommen automatisiert dahingehend „scannten“, ob diese Google Fonts dynamisch eingebunden haben.
Kam es zu einem Treffer, erfolgte bei den weiterentwickelten Tools zudem die „Beweissicherung“ vollkommen automatisiert, ebenfalls direkt durch das Tool.
D.h. das Tool fertigte dann Abbilder/ Screenshots vom Quellcode der entsprechenden Webseite, rief selbstständig deren Impressum auf, dokumentierte auch dieses und speiste diese Daten sogleich in das zu erstellende Abmahnschreiben ein.
Die Perfektion des Abmahnwesens, könnte man meinen, da der Ablauf nahezu vollständig automatisiert erfolgt.
Durch das beschriebene, automatisierte Detektieren und Dokumentieren des Datenschutzverstoßes und die ebenso quasi vollständige Automation der Erstellung der Abmahnschreiben war es keine große Herausforderung für einzelne Abmahner, hier binnen weniger Tage mehrere hunderttausend Abmahnungen auszusprechen.
Verlangt wurde zumeist „nur“ die Zahlung eines Schadensersatzes für den Verlust der Kontrollhoheit über Daten und zum Teil Kosten für die Abmahnung, hingegen nicht die Abgabe einer Unterlassungserklärung.
Das ganze in einem eher niedrigen Bereich, meist zwischen 100 und 200 Euro, wohl primär um die Hemmschwelle des Abgemahnten, deswegen einen Rechtsanwalt zu konsultieren, zu steigern.
Als besonders verwerflich an diesen Massenabmahnungen wegen Google Fonts sind insbesondere drei Umstände anzusehen:
1. Zunächst hat sich der „Verletzte“ ja sehenden Auges, also ganz bewusst, in eine mögliche Datenschutzverletzung begeben. Der dann folgende Verstoß erfolgt damit vorsätzlich provoziert.
2. Ferner ist von einem planvollen Vorgehen auszugehen, sich dieser Datenschutzverletzung zu unterziehen, um dann wegen angeblich durch diese erlittene Nachteile eine Geldforderung geltend machen zu können.
3. Schließlich wurde zu keinem Zeitpunkt ein Mensch als Betroffener „Opfer“ der angeblichen Datenschutzverletzung, sondern ausschließlich eine Maschine, die keine Rechte aus der DGSVO herleiten kann.
3 Jahre später: Der BGH hat viele Fragen an den EuGH
Durch die Hintertür, nämlich im Wege der Rückforderung eines an einen solchen Massenabmahner seinerzeit geleisteten Schadensersatzes in Höhe von 170,- Euro haben es diese schmuddeligen Massenabmahnungen nun tatsächlich noch bis vor den BGH geschafft.
Zudem werden sie mittelbar auch den EuGH beschäftigen.
Denn: Der seinerzeit Abgemahnte fordert die gezahlten 170,- Euro klageweise vom Abmahner zurück.
Während das AG Hannover einen Erstattungsanspruch verneinte, sprach das LG Hannover dem Kläger diesen zu. Mit der Revision verfolgt nun der Abmahner die Wiederherstellung des erstinstanzlichen Urteils.
Im Rahmen des Klageverfahrens ist bekannt geworden, dass der Abmahner seinerzeit in mehr als 100.000 Fällen mittels einer Software automatisiert Webseiten besuchen ließ, um entsprechende Verstöße gegen die DSGVO aufgrund dynamischer Einbindung von Google Fonts aufzuspüren und zu verfolgen, damit er so seine Geldforderungen stellen kann.
Dazu versendete er im Anschluss ebenfalls mehr als 100.000 entsprechender Abmahnschreiben.
Der eigens hierfür programmierte Webcrawler war auf dem Notebook des Beklagten installiert und hatte Zugang zum Internet über eine dynamische (also nicht dem Beklagten fest zugeordnete) IP-Adresse.
Der BGH ist der Ansicht, dass der Ausgang des Verfahrens von der Auslegung des Unionsrechts,hier der DSGVO, abhängt. Dabei hat der Senat einige interessante Fragestellungen aufgeworfen, die er dem EuGH mit Beschluss vom 28.08.2025 (Az.: VI ZR 258/24) zur Vorabentscheidung vorgelegt hat.
Die Vorlage-Fragen an den EuGH lauten:
1. Ist Art. 4 Nr. 1 DSGVO dahingehend auszulegen, dass im Falle der automatisierten Übermittlung einer dynamischen Internetprotokoll-Adresse (IP-Adresse) diese bereits dann ein personenbezogenes Datum darstellt, wenn ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?
Oder ist Voraussetzung für die Annahme eines personenbezogenen Datums, dass der für die Übermittlung Verantwortliche oder der Empfänger über Mittel verfügen, die vernünftigerweise eingesetzt werden können, die betreffende Person - gegebenenfalls mit Hilfe eines Dritten - bestimmen zu lassen?
Falls letzteres zutrifft: Genügt es insoweit, dass unter bestimmten Voraussetzungen rechtliche Möglichkeiten zur Identifizierung der betroffenen Person bestehen können oder müssen diese Voraussetzungen in tatsächlicher und rechtlicher Sicht im konkreten Fall vorgelegen haben?
2. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass ein immaterieller Schaden auch dann vorliegen kann, wenn die betroffene Person einen Verstoß des Verantwortlichen gegen die Datenschutz-Grundverordnung bewusst und allein zu dem Zweck herbeiführt, den Verstoß dokumentieren und gegenüber dem Verantwortlichen geltend machen zu können?
Falls ja: Kann das Vorliegen eines immateriellen Schadens auch dann bejaht werden, wenn gleichartige Verstöße in großer Zahl in automatisierter Weise provoziert werden?
3. Falls beide unter Ziffer 2 aufgeworfenen Fragen bejaht werden:
Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass in einem Fall der in Frage 2 beschriebenen Art ein Anspruch auf Ersatz immateriellen Schadens wegen missbräuchlichen Verhaltens der betroffenen Person verneint werden kann, weil trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde und die Absicht bestand, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden? Kommt es insoweit darauf an, ob die Erlangung eines finanziellen Vorteils die alleinige Motivation für die Provokation des Verstoßes gegen die Verordnung war?
Mit der Vorlage zum EuGH hat der BGH das Verfahren ausgesetzt. Es wird nun die „Beantwortung“ der Vorlagefragen seitens des EuGH abgewartet und anschließend das Verfahren unter deren Berücksichtigung fortgesetzt werden.
Sind dynamische IP-Adressen ein personenbezogenes Datum?
Der vom Abmahner geforderte und vom Kläger gezahlte „Schaden“ setzt einen Verstoß gegen die DSGVO voraus, die personenbezogene Daten schützt.
Die erste Vorlagefrage beschäftigt sich daher damit, ob eine dynamische, sich also bei jeder (Neu)Verbindung mit dem Internet bzw. nach gewissen Zeitablauf ändernden IP-Adresse, überhaupt ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 der DSGVO darstellt.
Anders als bei einer statischen, festen IP-Adresse ist die Identifizierbarkeit des Nutzers, der sich hinter der IP-Adresse „verbirgt“ bei einer dynamischen IP-Adresse schwieriger, da diese sich regelmäßig ändert. Aufgrund dieser „Dynamik“ ist neben dem Vorliegen der IP-Adresse an sich auch die Protokollierung des Zeitstempels von deren Übermittlung erforderlich, da dynamische IP-Adressen je nach Vergabepraxis zeitnah auch wieder neu an andere Nutzer vergeben werden.
Nur wenn der konkrete Zeitpunkt der Verwendung der gegenständlichen IP-Adresse bekannt ist, kann überhaupt auf einen konkreten Nutzer hinter der IP-Adresse zurückgeschlossen werden, da diese davor bzw. danach einem abweichenden Nutzer zugeteilt gewesen sein kann.
Darüber hinaus ist für eine Identifizierbarkeit generelle Voraussetzung, dass der Internet Service Provider, der die dynamische IP-Adresse vergeben hat, die Zuordnung, wann welche dynamische IP-Adresse welchem Nutzer „gehört hat“, auch entsprechend lange speichert, bis z.B. eine Behörde ein entsprechendes Auskunftsverlangen stellt.
Vorliegend ging es um die Übermittlung einer solchen, dynamischen IP-Adresse an Google in die USA.
Google selbst wird es regelmäßig nicht möglich sein, anhand der übermittelten IP-Adresse auf eine bestimmte, diese IP-Adresse nutzende Person zurückzuschließen. Ein solcher Rückschluss kann in der Regel nicht alleine mit technischen Mitteln erfolgen, sondern es bedarf des Einsatzes rechtlicher Mittel, etwa eines Auskunftsverlangens seitens einer Behörde beim Internetprovider.
Nach Ansicht des BGH sei es jedoch zweifelhaft, ob eine Information nur dann als personenbezogen anzusehen ist, wenn der Empfänger selbst sie einer bestimmten Person zuordnen kann.
Dabei hält der Senat es für denkbar, dass der Anwendungsbereich der DSGVO auch dann eröffnet ist, wenn die übermittelnde Stelle selbst zur Identifizierung befähigt ist oder den Personenbezug mit Hilfe Dritter herstellen kann.
Fraglich ist somit, ob für die Bejahung eines personenbezogenen Datums bereits die abstrakte Möglichkeit einer Identifizierung genügt oder ob die für eine Identifizierung notwendigen Voraussetzungen in tatsächlicher und rechtlicher Sicht im konkreten Fall auch vorgelegen haben müssen.
Maßgeblich für die Beurteilung ist daher, ob man einen abstrakten oder konkreten Beurteilungsmaßstab anlegt.
Vorliegend fehlen im Verfahren allerdings die Feststellungen dazu, ob die dynamische IP-Adresse in einer Weise gespeichert wurde, die eine nachträgliche Identifizierung des diese Nutzenden möglich gemacht hätte ebenso dazu, ob hier die Voraussetzungen für ein Auskunftsersuchen seitens einer Behörde erfüllt waren.
Schadensersatz auch bei provoziertem Verstoß?
Selbst wenn man eine relevante Datenschutzverletzung durch die Übermittlung der dynamischen IP-Adresse an Google annehmen möchte, könnte ein Schadensersatzanspruch aufgrund des provozierenden Verhalten des Abmahners ausgeschlossen sein.
Schließlich hat dieser sich ja ganz bewusst in den Bereich einer Datenschutzverletzung begeben. Sein Vorgehen hatte System und es war von Anfang an geradezu darauf angelegt, dass die ihm zugeordnete IP-Adresse an Google übermittelt wird.
So nahm das Berufungsgericht hier zwar einen Verstoß gegen die DSGVO an. Der Eintritt eines immateriellen Schadens i.S.v. Art. 82 Abs. 1 DSGVO wurde jedoch verneint, da der Abmahner gar keinen unfreiwilligen Kontrollverlust über seine Daten erlitten habe. Vielmehr habe der die Übermittlung der IP-Adresse an Google ja gerade selbst veranlasst, indem er gezielt Webseiten mit dynamischer Einbindung von Google Fonts aufgesucht hatte.
Der BGH macht ein weiteres Verständnis vom Schadensbegriff nach Art 82 Abs. 1 DSGVO deutlich und betont, dass der Schadensbegriff unabhängig vom nationalen Verständnis autonom unionsrechtlich auszulegen ist.
Bereits die Befürchtung eines zukünftigen Missbrauchs der zu Unrecht übermittelten Daten könne einen immateriellen Schaden darstellen, wobei deren bloße Behauptung ohne nachgewiesene negative Folgen nicht ausreiche. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen.
Offen bleibt, ob das gezielte Herbeiführen des Datenschutzverstoßes im Sinne einer Provokation die Annahme eines Schadenseintritts ausschließt.
Auschluss aufgrund missbräuchlichen Vorgehens als Korrektiv?
Noch vor einigen Jahren war der Aufschrei groß, versendete ein Mitbewerber Abmahnungen im zweistelligen Bereich. Schnell wurde angeführt, es handele sich um rechtsmissbräuchliche Massenabmahnungen.
Die Zeiten haben sich geändert. Wie der den BGH beschäftigende Fall zeigt, sprechen wir über Abmahnungen im sechsstelligen Bereich durch einen einzelnen Abmahner. Verständlicherweise steht hier der Vorwurf eines (rechts)missbräuchlichen Vorgehens ebenfalls im Zentrum der Verteidigung gegen solche Abmahnschreiben.
Der BGH möchte daher mit seiner dritten Vorlagefrage vom EuGH wissen, ob bei Annahme eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO ein Schadensersatzanspruch wegen eines rechtsmissbräuchlichen Vorgehens ausgeschlossen sein könnte.
Konkret geht es hier insbesondere darum, ob ein Ausschluss des Anspruchs dann in Betracht kommt, wenn der diesem zugrunde liegende Datenschutzverstoß ganz bewusst und massenweise provoziert worden ist, um diesen im Anschluss zu dokumentieren und daraus ein „Schmerzensgeld“ herleiten zu können.
Zwar ist nach ständiger Rechtsprechung des EuGH die missbräuchliche Berufung auf Unionsrecht unzulässig. Allerdings sind die Kriterien, wann genau ein Missbrauch zu bejahen ist, schwammig. Insbesondere bezüglich der notwendigen subjektiven Komponente herrscht Unklarheit, was deren Feststellung betrifft.
Die hier vom Abmahner an den Tag gelegten Umstände könnten nach Ansicht des BGH tatsächlich für einen Missbrauch sprechen (vor allem wegen des gezielten, massenweisen Vorgehens und der dahinterstehenden, finanziellen Motivation, wenn man den jeweils geltend gemachten Schadensersatz im Licht der Masse der Abmahnschreiben betrachtet).
Die Masse der Schreiben könnte jedoch auch durch legitime Interessen, wie etwa Interesse an „Aufklärungsarbeit“ hinsichtlich der in dieser Masse bestehenden Datenschutzproblematik zu rechtfertigen sein, so der Senat.
Auf den EuGH wird es ankommen
Die vom BGH dem EuGH zur Vorabentscheidung vorgelegten Fragen sind von erheblicher Bedeutung und haben enorme Tragweite, weit über den gegenständlichen Fall und die Nutzung von Google Fonts hinaus.
Es bleibt zu hoffen, dass durch die Position des EuGH die Luft für solche rein technikbasierten Massenabmahnungen sehr dünn wird und der geltend gemachte Schadensersatzanspruch zumindest aufgrund der Provokation bzw. eines missbräuchlichen Vorgehens unter den Tisch fällt.
Dann würde derart massiven Abmahnwellen künftig jeder Nährboden entzogen.
Die Annahme, es könnte solchen Abmahnern schließlich ja auch um Ruhm und Aufklärungsarbeit gehen, erscheint doch eher weltfremd.
Diese Motive dürften sicherlich niemanden dazu veranlassen, derart in eine Infrastruktur für das Aufspüren, Dokumentieren, Erstellen und Versenden von Abmahnschreiben im sechsstelligen Bereich zu investieren.
Während Abmahnungen im Ecommere früher meist auf das Wettbewerbs-, Marken- und Urheberrecht beschränkt waren, gewinnen Abmahnungen im Datenschutzrecht seit Jahren an Bedeutung.
Da Datenschutz im Ecommerce meist auch eine technische Komponente hat, bietet sich dieses Feld für ein automatisiertes, massenweises und damit aus Abmahnsicht extrem lukratives Vorgehen geradezu an.
Doch nicht nur als Online-Händler müssen Sie das Thema „Datenschutz“ Ihrer Verkaufspräsenz unbedingt stets im Auge behalten.
Inzwischen werden auch reine Webseitenbetreiber, die gar nicht über das Internet verkaufen, sondern dort nur ihre Leistungen bzw. ihr Unternehmen präsentieren zum vorrangigen Ziel solcher „DSGVO-Abmahnungen“. Denn auch bei einer reinen Präsentationswebseite kann in datenschutzrechtlicher Hinsicht viel schief gehen und insbesondere die Datenschutzerklärung auf der Webseite muss rechtssicher und aktuell sein.
Sie sind Online-Händler und wollen datenschutzrechtliche Probleme auf Ihrer Verlaufspräsenz vermeiden und wünschen sich abmahnsichere, durch spezialisierte Rechtsanwälte erstellte und aktuell gehaltene Rechtstexte, insbesondere eine professionelle und DSGVO-konforme Datenschutzerklärung nutzen?
Dann empfehlen wir Ihnen unsere Schutzpakete ab dem Starter-Paket.
Sie verkaufen nicht über das Internet, aber betreiben für Ihr Unternehmen eine Präsentationswebseite? Gerne sichern wir Sie dann in datenschutzrechtlicher Hinsicht mit unserem Datenschutz-Paket ab.
Nutzen Sie ganz einfach "EasyScan"!
Da es inzwischen eine Vielzahl von Tools und Diensten gibt, die Webseitenbetreiber nutzen, von denen rechtliche Probleme (ähnlich wie bei Google Fonts) ausgehen können und die in der Datenschutzerklärung auf der Webseite geregelt werden müssen: Unsere Mandanten können mit dem Tool "EasyScan" ihre Webseite ganz einfach in wenigen Minuten auf genutzte, datenschutzrechtlich relevante Tools und Dienste hin scannen, sich eine Bewertung hinsichtlich rechtlicher Problematiken einholen und die von uns zur Verfügung gestellte Datenschutzerklärung sogleich passgenau anhang der erkannten Tools und Dienste vorkonfigurieren lassen.
Dem nicht genug: Lassen Sie Ihre Webseite dauerhaft durch "EasyScan" überwachen. Unser Scanner macht Sie dann auf neue, datenschutzrechtliche Probleme per Email aufmerksam und schlägt Ihnen Lösungen zu deren Beseitigung vor.
Auf diese Weise kann schnell, bequem und dauerhaft Rechtssicherheit im Datenschutzbereich erzielt werden.
Wir halten Sie informiert, wie die Sache ausgehen wird!
Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare