Das Landgericht München hat vor einem halben Jahr in einem Aufsehen erregenden Urteil den Einsatz von Google Fonts für nicht rechtmäßig erklärt, wenn sie dynamisch eingebunden werden. Aber damit nicht genug, das LG München (Urteil vom 20.01.2022, Az. 3 O 17493/20) hat dem Kläger auch ein Schmerzensgeld in Höhe von 100 € zugesprochen. Kann nunmehr jeder Besucher Deiner Website Schadensersatz von Dir verlangen, wenn Du Google Fonts dynamisch einbindest?
I. Was sind Google Fonts überhaupt?
Google Fonts sind Schriftarten, die Google zum Abruf zur Verfügung stellt. Du kannst sie herunterladen und kostenlos auf Deiner Website verwenden.
II. Welche Fonts verwendet Google?
Google Fonts stellt über 1400 verschiedene Schriften zur Verfügung. Beliebte Beispiele sind Roboto, Open Sans, Lato, Montserrat, Oswald oder Noto Sans / Serif.
III. Wie werden Google Fonts eingebunden?
Man kann Google Fonts auf zwei Arten einbinden: dynamisch oder lokal.
1. Werden Google Fonts geladen?
Bei der dynamischen Einbindung werden die Google Fonts von Google – Domains mit Serverstandorten teilweise in den USA heruntergeladen. Ein Vorteil daran ist die Abrufgeschwindigkeit, denn die Google – Server gelten als sehr leistungsstark. Darüber hinaus werden die Fonts oft sogar im Cache des Nutzers gespeichert sein, weil die Schriften sehr populär sind.
2. Kann ich die Google Fonts auch einbinden, ohne sie zu laden?
Wenn Du die Schriftarten dagegen lokal einbindest, lädst Du sie zunächst von den Google Servern herunter, um sie dann in Deinen eigenen Webspace hochzuladen. Damit werden keine Daten an Dritte gesendet, d.h. aus datenschutzrechtlicher Sicht ist diese Methode vorzuziehen. Wenn Du ein eher kleineres Online Business betreibst, kann das für Dich den Nachteil haben, dass die Schriften weniger schnell abgerufen werden als bei einer dynamischen Einbindung.
IV. Werden bei der dynamischen Einbindung personenbezogene Daten an Google gesendet?
Diese Frage ist wichtig, weil auf die Verarbeitung personenbezogener Daten die DSGVO zur Anwendung kommt (sofern der räumliche Anwendungsbereich eröffnet ist). Wenn es keine personenbezogenen Daten sind, kommt die DSGVO auf jeden Fall nicht zur Anwendung. Nach Angaben von Google wird beim dynamischen Einbinden von Google Fonts die IP – Adresse des Nutzers an Google gesendet. Ist das ein personenbezogenes Datum? Um es vorwegzunehmen: Ja, dass es sich bei der IP – Adresse um ein personenbezogenes Datum handelt, kann mittlerweile als gesichert gelten. Um das besser zu verstehen, können wir uns die Hintergründe einmal etwas genauer anschauen.
1. Was versteht die DSGVO unter personenbezogenen Daten?
Unter den Begriff „personenbezogene Daten“ fallen zunächst Daten, die bereits die Bezeichnung einer Person enthalten. Die Person ist in diesem Fall also schon durch die Daten identifiziert, so die Bezeichnung in Art. 4 Nr. 1 DSGVO. Die IP-Adresse zum Beispiel erlaubt keine direkte Identifikation einer Person. Wenn Du nur die IP-Adresse kennst, weißt Du noch nichts über ihren Besitzer. Zum anderen sind personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO aber auch Informationen, die sich auf bloß identifizierbare Personen beziehen. Hier ist also nicht bereits aufgrund der bloßen Kenntnis der Daten klar, um wen es sich handelt. Eine sog. indirekt identifizierbare Person kann gem. Art. 4 Nr. 1 DSGVO erst nach einer
Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind
identifiziert werden. Man braucht also immer noch einen Zwischenschritt, um herauszufinden, zu welcher Person die Daten gehören.
2. Weshalb ist die IP – Adresse ein personenbezogenes Datum?
Nach der EuGH – und BGH – Rechtsprechung sind IP – Adressen personenbezogene Daten, weil sie indirekt einer Person zugeordnet werden können.
Zu dieser Frage hatte der BGH in einem Vorabentscheidungsverfahren den EuGH angerufen. Der BGH wollte vom EuGH wissen, ob die IP – Adresse auch dann ein personenbezogenes Datum ist, wenn der Webseitenbetreiber gar nicht selbst über die Mittel verfügt, um einen Personenbezug herzustellen.
Der EuGH bejahte diese Frage (Urteil vom 19.10.2016, Az. C-582/14). Es seien alle Mittel in Betracht zu ziehen, die vernünftigerweise zur Bestimmung der betroffenen Person eingesetzt werden können (s. Erwägungsgrund 26 DSGVO). Dafür sind ErwGr. 26 S. 3, 4 DSGVO insbesondere der Zeitaufwand und die Kosten einer Identifizierung zu berücksichtigen.
Nach dem EuGH genügt es hier, dass Du Dich als Webseitenbetreiber im Fall von Cyberattacken an die Behörden wenden kannst, welche die Bestimmung der Person durch den Internetprovider dann veranlassen. Dem schloss sich der BGH in der Folge an (Urteil v. 16.05.17, Az. VI ZR 135/13). Die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, die nur der Provider besitzt, reiche aus (Rn. 24 im Urteil).
V. Was ist das Problem am dynamischen Einbinden von Google Fonts?
Weil also die IP – Adresse ein personenbezogenes Datum nach der DSGVO ist, braucht es für deren Verarbeitung eine Rechtsgrundlage. Wenn Du auf Deiner Webseite Google Fonts einsetzt, bist Du datenschutzrechtlich dafür verantwortlich, dass die IP – Adresse an Google gesendet wird.
Wenn Du Google Fonts dynamisch einbindest, wirst Du in aller Regel eine Einwilligung des Websitebesuchers in die Übertragung seiner IP – Adresse an Google nicht einholen.
Das bedeutet, als Rechtsgrundlage für die Datenverarbeitung bleibt nur das überwiegende Interesse des Verantwortlichen nach Art. 6 Abs. 1 lit. f DSGVO. Viel spricht aber dafür, dass Du Dich auf das überwiegende Interesse hier nicht berufen kannst.
Das kann man bereits damit begründen, dass Du die Google Fonts ohne wesentliche Nachteile auch lokal einbinden könntest (so jedenfalls LG München im angegebenen Urteil). Demnach ist es also gar nicht erforderlich, Google Fonts dynamisch einzubinden. Die niedrigere Abrufgeschwindigkeit spricht das LG München gar nicht an. Sie dürfte aber hinzunehmen sein und zu keinem anderen Ergebnis führen.
Dazu kommt als weiterer Problemkreis noch die Frage der Zulässigkeit einer Datenübertragung in die USA. Dazu kannst Du hier näheres nachlesen.
VI. Sind Google Fonts DSGVO – konform?
Wenn Google Fonts dynamisch eingebunden werden, sind sie nicht DSGVO konform, weil die IP – Adresse ohne Einwilligung des Nutzers an Google übermittelt wird.
VII. Schmerzensgeld? Wirklich?
Ob es tatsächlich Schmerzensgeld geben kann, „nur“ weil die IP – Adresse an Google gesendet wird, ist umstritten. Um das genauer zu verstehen, müssen wir etwas weiter ausholen und uns mit ein wenig Theorie beschäftigen.
1. Was sagt das deutsche Recht?
Im deutschen Zivilrecht gibt es eine Erheblichkeitsschwelle für „Schmerzensgeld“, wenn, wie hier, das allgemeine Persönlichkeitsrecht verletzt wird.
Die Erheblichkeitsschwelle hat den Hintergrund, dass es im deutschen Recht Schadensersatz für Schäden, die nicht Vermögensschäden sind, nach § 253 Abs. 1 BGB nur „in den durch das Gesetz bestimmten Fällen“ gibt. Diese Fälle sind in § 253 Abs. 2 BGB vollständig aufgezählt: „die Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung“ (§ 253 Abs. 2 BGB). Du siehst es vielleicht schon, das allgemeine Persönlichkeitsrecht ist da gar nicht dabei.
Der Schadensersatzanspruch wurde erst durch sog. richterliche Rechtsfortbildung anerkannt. Und weil die Gerichte dabei äußerst vorsichtig vorgehen, gibt es Schadensersatz bei einer Verletzung des Persönlichkeitsrechts nur bei einer „objektiv erheblich ins Gewicht fallenden Persönlichkeitsrechtsverletzung“. Das hat teilweise wohl den Grund, dass nach dem Grundsatz der Gewaltenteilung solche Entscheidungen eigentlich der Gesetzgeber treffen müsste. Außerdem ist das allgemeine Persönlichkeitsrecht in sehr vielen Fällen zumindest in seinem Schutzbereich betroffen, gerade auch bei Bagatellfällen. Hier entsteht dem Betroffenen ein nur geringer, am Ende hinzunehmender Schaden. Die Erheblichkeitsschwelle sorgt dafür, dass es bei Bagatellfällen keinen Schadensersatz gibt.
Dementsprechend hat etwa das Amtsgericht Dietz in einem Urteil v. 07.11.18 (Az. 8 C 130/18) zu einer Spam – E-Mail verlangt, dass dem Betroffenen durch die Mail als Schaden ein spürbarer Nachteil entsteht.
2. Wird hier die Erheblichkeitsschwelle überhaupt relevant?
Das Landgericht München ist in seinem Urteil zu Google Fonts davon ausgegangen, dass in diesem Fall das ungute Gefühl des Betroffenen schlimm genug war, um eine erhebliche Persönlichkeitsrechtsverletzung zu bejahen. Aber ich würde nicht davon ausgehen, dass sich diese Argumentation für alle vergleichbaren Fälle durchsetzt.
Das ungute Gefühl nach einer ungefragten Übermittlung der IP – Adresse an Google dürfte sich in vielen Fällen auch in Grenzen halten.
3. Was sagt die DSGVO?
Es ist noch nicht geklärt, ob eine wesentliche Beeinträchtigung auch von Art. 82 Abs. 1 DSGVO vorausgesetzt wird, aus dem der Schadensersatzanspruch hier folgen würde.
Darauf kommt es aber entscheidend an. Diese Vorschrift steht in der Normenhierarchie über den deutschen Regelungen des BGB, einschließlich des oben erwähnten § 253 BGB. Deshalb kann das deutsche Recht auch keine Grundlage für die Auslegung des Art. 82 Abs. 1 DSGVO sein.
Der Wortlaut des Art. 82 Abs. 1 DSGVO setzt die wesentliche Beeinträchtigung nicht voraus. Er besagt:
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Daher müssen, ähnlich wie schon beim deutschen § 253 BGB, die Gerichte (und am Ende der EuGH) sich mit dieser Frage erst auseinandersetzen. Maßstab dafür ist die DSGVO und das übrige Europarecht.
Aus diesen Quellen könnte das Erheblichkeitserfordernis aber gerade nicht zu entnehmen sein. Zur Begründung wird Erwägungsgrund 146 S. 3 der DSGVO angeführt, der lautet:
„Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“
Und ein Ziel der DSGVO ist es, dass Bußgelder abschreckend sein müssen, Art. 83 Abs. 1 DSGVO.
Für Rechtssicherheit kann hier erst eine Entscheidung des EuGH sorgen. Der EuGH hat diese Frage bislang noch nicht geklärt (s. BVerfG, Stattgebender Kammerbeschluss vom 14. Januar 2021 – 1 BvR 2853/19). Er ist derzeit aber schon damit befasst, weil das Landgericht Saarbrücken und auch der österreichische oberste Gerichtshof entsprechende Vorabentscheidungsersuchen beim EuGH eingereicht haben (LG Saarbrücken, Beschluss v. 22.11.2021, Az. 5 O 151/19, OGH Beschluss v. 15.04.2021, Az. 6 Ob 35/21x).
VIII. Was tun, wenn jemand von mir Schmerzensgeld fordert?
Vereinzelt melden sich „Geschädigte“, die von Webseitenbetreibern 100 € Schmerzensgeld fordern, wie es das Landgericht München zugesprochen hat. Was ist davon zu halten?
Aus dem oben Gesagten ergibt sich zunächst einmal, dass es zwar möglich, aber nicht sicher ist, dass ein Gericht hier einen Schmerzensgeldanspruch bejahen würde. Die neueren Urteile zu Spam E-Mails scheinen eher dazu zu tendieren, den Anspruch zuzusprechen, aber eine gefestigte Rechtsprechung gibt es noch nicht. Auch das Urteil des Landgerichts München ändert daran nichts. Im Gegenteil, die Frage kann, wie gesagt, noch nicht als geklärt angesehen werden, bis der EuGH entschieden hat.
Vor dem Hintergrund dieser unklaren Rechtslage steht noch gar nicht fest, ob der Betroffene überhaupt Ernst macht und ein Gerichtsverfahren gegen Dich anstrengen wird. Vielleicht möchte er das Risiko gar nicht eingehen und versucht es einfach einmal. Darüber hinaus muss der Absender im Streitfall erst einmal beweisen, dass Du die Google Fonts überhaupt dynamisch eingebunden hast, bzw. dass die IP – Adresse an Google gesendet wurde.
Du könntest also darauf spekulieren, dass es zu keinem Prozess kommt und den Brief ignorieren. Diese Strategie birgt aber ein Risiko, weil Du einen Prozess auch verlieren könntest, wenn es doch dazu kommt.
IX. Fazit
Unsere Empfehlung lautet, Google Fonts lokal einzubinden. Dann bist Du auf der sicheren Seite. Ob jetzt jeder Websitebesucher, dessen IP – Adresse an Google gesendet wurde, Schadensersatz von Dir verlangen kann, ist derzeit noch unklar.
Kolja Strübing, Rechtsanwalt. Kolja hat in Freiburg und Leipzig seine juristische Ausbildung absolviert. In Freiburg war er lange als studentische Hilfskraft an einem Lehrstuhl tätig. Nun unterstützt er Paragraf 7 als Rechtsanwalt. Sein Vordiplom in Mathematik hilft ihm dabei, auch die technischen Hintergründe zu verstehen. Er ist nun in der Welt zu Hause und lernt gerade surfen.
Die Empfehlung, Google Fonts lokal einzubinden, könnte man dadurch unterstreichen, indem man sich selber daran hält. Diese Seite lädt sie jedoch auch von Google.
Im Moment jedenfalls verbreitet das Urteil des LG München Unsicherheit, gerade weil es wieder für „findige“ Abmahn-Anwälte gut zu sein scheint. Wenn also gerade ein kleiner Webseiten-Betreiber möglichem Ärger aus dem Weg gehen will, dann bleibt ihm wohl nichts anderes übrig, als sich an die DSGVO „Best Practices“ zu halten: entweder sich die Zustimmung des Nutzers *vor* dem Laden der Fonts von Google zu besorgen, oder sie eben lokal auszuliefern.
Wenn ich die Fonts aber nicht vor der/ohne Zustimmung von der entfernten Quelle verwenden darf, dann muss ich mir ja ohnehin eine Alternativ-Lösung überlegen, welche die Frage aufwirft: warum zwei verschiedene Darstellungen (Fonts) planen und umsetzen?
Als Betreiber eines Blogs will man aber seine Nutzer vermutlich nicht mit einem „Consent Banner“ nerven. Bleibt dann nur die lokale Variante. Ist jedenfalls die defensive und auch richtige Variante.
Pingback: Wie erstelle ich eine Datenschutzerklärung? - easyRechtssicher