LG München I: Nutzung von Google Webfonts ohne Einwilligung löst DSGVO-Schadensersatzanspruch aus

Mit „Google Webfonts“ können Seitenbetreiber bestimmte Schriftarten und -stile für ihren Internetauftritt dynamisch besucherabhängig anzeigen lassen. Hierfür nimmt der Browser des Besuchers automatisch eine Verbindung mit dem Google-Netzwerk auf, welches sodann die Fonts lädt. Weil hierbei allerdings die Besucher-IP-Adresse an Google übertragen wird, sieht das LG München I ein Einwilligungserfordernis und sprach in einem kürzlich ergangenen Urteil einem privaten Nutzer einen Unterlassungs- und Schadensersatzanspruch gegen einen Seitenbetreiber zu. Lesen Sie mehr zum Urteil.

I. Der Sachverhalt

Ein privater Nutzer nahm einen Seitenbetreiber auf Unterlassung und auf Schadensersatz in Anspruch, weil letzterer auf seiner Website Schriften und Stile über Google Fonts laden ließ, ohne eine entsprechende Nutzereinwilligung in die dadurch vollzogenen Datenverarbeitungen einzuholen.

Bei Seitenaufruf wurde so unabhängig von einem entsprechenden Willen des Nutzers eine Verbindung zum Google-Netzwerk aufgenommen und dessen dynamische IP-Adresse an Google übertragen.

Zwar informierte der Seitenbetreiber über die Verwendung von Google Webfonts in seiner Datenschutzerklärung, ist aber der Meinung die Datenverarbeitung sei durch sein überwiegendes berechtigtes Interesse an der graphisch ansprechenden Gestaltung seiner Website und mithin durch Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt.

Der private Nutzer als Kläger sieht dahingegen in der einwilligungslosen Übertragung seiner IP-Adresse an Google eine Verletzung seines Rechts auf informationelle Selbstbestimmung (als Ausprägung des allgemeinen Persönlichkeitsrechts) und zusätzlich einen immateriellen Schaden aufgrund des Datenverlusts in Höhe von 100,00€ für gegeben.

II. Die Entscheidung

Das LG München I gab mit Urteil vom 20.01.2022 (Az. 3 O 17493/20) der Klage statt und bejahte sowohl den Unterlassungs- als auch den Schadensersatzanspruch des Nutzers.

Durch die einwilligungslose Übermittlung der Nutzer-IP-Adresse an Google im Wege der Verbindungsaufnahme mit Google beim Laden der Webfonts sei das Recht auf informationelle Selbstbestimmung des Nutzers verletzt worden.

Bei der IP-Adresse handle es sich um ein personenbezogenes Datum, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.

Die Übermittlung an Google als maßgebliche Datenverarbeitung sei rechtswidrig erfolgt.
Eine Rechtfertigung der IP-Adressübermittlung aufgrund von berechtigten Interessen an der graphisch ansprechenden Seitengestaltung über Art. 6 Abs. 1 lit. f DSGVO scheide schon deswegen aus, weil die Datenübermittlung für die Erreichung des Zwecks nicht erforderlich sei.

Dem Seitenbetreiber habe stets die Möglichkeit zugestanden, die Fonts lokal auf dem eigenen Server zu speichern, sie so stets serverseitig zu laden und so Datenverarbeitungen infolge einer Verbindungsaufnahme des Nutzerbrowser zu Google zu unterbinden.

Als ausschließliche Rechtfertigungsmöglichkeit für die Datenverarbeitung komme insofern eine ausdrückliche Nutzereinwilligung vor der Datenübermittlung in Betracht, die vom Seitenbetreiber, dem Beklagten, aber nicht eingeholt worden sei.

Aufgrund der insofern entstandenen Rechtsverletzung sei auch der Schadensersatzanspruch in Höhe von 100,00€ aus Art. 82 DSGVO begründet.

Zwar werde für die Ersatzfähigkeit eines – wie vorliegend - immateriellen Schadens eine gewisse Erheblichkeit vorausgesetzt. Diese sei aber gegeben und im Kontrollverlust des Nutzers über ein personenbezogenes Datum gegenüber Google zu sehen, das als Unternehmen bekanntermaßen Daten über seine Nutzer sammele und diese außerhalb der EU auf US-Servern verarbeite, ohne dass dafür geeignete Datenschutzgarantien und Kontrollmechanismen für Betroffene bestünden.

Deshalb überschreite das vom klagenden Nutzer empfundene Unwohlsein die Erheblichkeitsschwelle.

III. Fazit

Nach Ansicht des LG München I kann die Übermittlung von IP-Adressen an Google im Zuge der Einbindung von Google Webfonts nicht durch berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) gerechtfertigt werden, sondern ist nur bei ausdrücklicher Nutzereinwilligung rechtmäßig.

Hintergrund ist, dass Seitenbetreiber auf Datenverarbeitungen infolge einer Verbindungsaufnahme zu Google bei Fonts auch komplett verzichten können, indem sie die Fonts lokal installieren. Bloße Bequemlichkeitsgründe, anstatt einer lokalen Serverspeicherung auf Browser-Downloads zu setzen, können Seitenbetreiber gerade nicht entlasten.

Das LG München I bestätigt damit die langjährige Beratungspraxis der IT-Recht Kanzlei, bei Bedarf an externen Fonts ausschließlich auf ein lokales Laden zu setzen und so Verbindungsaufnahmen zu externen Servern und dadurch angestoßene Datenverarbeitungen zu unterbinden.

Durch die lokale Einbindung von Fonts können Seitenbetreiber nicht nur dem datenschutzrechtlichen Gebot der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) entsprechen, sondern auch separate Einwilligungserfordernisse für Webfonts umgehen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.