Derzeit sind unzählige Abmahnungen und sonstige Schreiben im Umlauf, mit denen aufgrund der Verwendung von Google Fonts auf Webseiten Geld in Form von Schadenersatz nach Art. 82 DSGVO von den betroffenen Webseitenbetreibern verlangt wird.
Ich möchte hier nicht darauf eingehen, was ich persönlich von diesen Abmahnungen und der Art der Geschäftemacherei halte, sondern mich einmal konkret auf den Schadenersatzanspruch fokusieren, welcher seitens der angeblich Geschädigten Webseitenbesucher geltend gemacht wird.
Grundsätzlich gibt Art. 82 DSGVO Betroffenen das Recht, Schadenersatz aufgrund einer Datenschutzverletzung zu fordern. Konkret heißt es hierzu in Art. 82 DSGVO:
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Nun hatte das LG München I, Urteil vom 20.1.2022 – 3 O 17493/20 entschieden, dass allein die Verwendung von Google Webfonts ohne Einwilligung des Betroffenen und die damit verbundene Datenübermittlung (zumindest der IP-Adresse des Betroffenen) zu einem Kontrollverlusts über die an Server von Google in den USA übermittelten Daten führe und dies jedenfalls einen erheblichen Eingriff darstelle, der Ansprüche auf immateriellen Schadensersatz begründet. Aha.
Konkret entschied das LG München zum Schadenersatz:
Dem Kl. steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens iSd Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (BeckOK Datenschutzrecht, Wolff/Brink, 38. Ed., DS-GVO Art. 82 Rn. 24). Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und sog. Bagatellschäden auszuschließen sind, ist umstritten (vgl. BVerfG NJW 2021, 1005 [= ZD 2021, 266 mAnm Blasek] Rn. 20 mwN; Kohn ZD 2019, 498 (501); Paal MMR 2020, 14 (16)), kann aber im hiesigen Fall dahingestellt bleiben. Die Bekl. räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Kl. auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Kl. über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kl. empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH Urt. v. 16.7.2020 – C-311/18 [= ZD 2020, 511 mAnm Moos/Rothkegel = MMR 2020, 597 mAnm Hoeren] – Facebook Ireland u. Schrems) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll. Die Höhe des geltend gemachten Schadensersatzes ist im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung angemessen und wird von der Bekl. auch nicht angegriffen.
Hier sollte man aber dann nun doch einmal innehalten und sich fragen: Was kann Google allein mit der IP-Adresse des Nutzers tatsächlich anfangen? Wenn er nicht bei einem Google Dienst zu diesem Zeitpunkt angemeldet ist, vermutlich recht wenig. Vielleicht aber doch, wer weiß das schon. Die weitaus wichtigere Frage ist jedoch, wo soll hier der konkret eingetretene Schaden entstanden sein? Durch den Kontrollverlust über die IP-Adresse? Nutzt derselbe Internetuser denn nicht Google als Suchmaschine, wie es über 98% aller Nutzer tut? Wo ist hier der Kontrollverlust? Oder ist es vielleicht doch eher nur ein Unbehagen des Nutzers, dass Google nun auch noch weiß oder wissen könnte, wo sich der Nutzer sonst noch so rumtummelt?
Das LG München hat in seiner Entscheidung 100,- € Schadenersatz zugesprochen, was nun eine Reihe von ominösen Internetnutzern auf den Plan gerufen hat, hier gezielt Webseiten anzusurfen, die Google Fonts nutzen. Doch halt. Gab es nicht sowas wie ein Mitverschulden? Zumindest im deutschen Zivilrecht gilt, dass wenn ein Nutzer gezielt sich in eine solche Gefahr des Kontrollverlusts begibt, dass er dann auch ein entsprechendes Mitverschulden trägt, was wohl über dem Verschulden des Webseitenbetreibers liegen dürfte.
Möglicherweise springt nun aber auch der EuGH vielen Webseitenbetreibern und auch sonstigen Verantwortlichen nach der DSGVO zur Seite. Der Generalanwalt hat in seinen Schlussanträgen vom 06.10.2022, C-300/21 unter anderem festgehalten:
Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die genannte Verordnung erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen.
Der in der Verordnung 2016/679 geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.
Das liest sich dann doch schon etwas versöhnlicher. Es reicht nach Auffassung des Generalanwalts nicht aus, dass die betroffene Person verärgert über die Datenschutzverletzung ist. Es muss also schon etwas mehr als bloßes Unbehagen hervorgerufen werden, ehe es überhaupt zu einem Schadenersatz kommen kann. Dieser muss dann aber auch konkret benannt und notfalls gerichtlich auch bewiesen werden, so dass es meinem Dafürhalten nach schwieriger werden dürfte, für solche Verstöße Schadenersatz zu erhalten.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530