Datenschutz: Die IP-Adresse unter dem Schutz der DSGVO (Google Fonts Urteil)
Unter dem Aktenzeichen 3 O 17493/20 urteilte das LG München am 20.01.2022 zu einem Fall in dem Google Fonts genutzt wurden.
Im Einzelnen verlangte der Kläger hier u. a. 100 EUR Schadensersatz nach Art. 82 Abs. 1 DS-GVO. Es handelt sich hierbei sichtlich um einen geringen symbolischen Betrag, der wohl grundsätzlich die Möglichkeit von Schadensersatzansprüchen klären sollte.
Das LG München stellt in seinem Urteil fest, dass der Kontrollverlust über die eigenen personenbezogenen Daten einen solchen Schadensersatz rechtfertigt. Eine IP-Adresse zählt als sogenanntes personenbezogenes „Datum“ immer zu den personenbezogenen Daten, denn der Nutzer kann letztendlich über die IP-Adresse identifiziert werden.
Demnach betrifft dieses Urteil zu den Google Fonts nicht nur die Google Fonts, sondern dürfte auch viele andere Bereiche treffen. So z. B. die Einbindung von Javascript-Bibliotheken und vielen anderen von Drittanbietern bereitgestellten Diensten.
Daher empfiehlt es sich nicht nur eine Cookie-Abfrage für Cookies zu nutzen, sondern die Cookie-Abfrage derart zu gestalten, dass eine Verbindung zu Servern von Drittanbietern erst nach einer entsprechenden Zustimmung aufgebaut wird.
Alternativ bietet es sich in vielen Fällen auch an, statt Drittanbietern wie z. B. Google Analytics auch selbst gehostete Analysedienste zu nutzen. Dementsprechend sollten die Schriftarten einer Webseite nicht über die Google Fonts bei den Nutzern geladen werden, sondern vielmehr direkt auf der eigenen Webseite gehostet werden. Anschließend sollte der Quelltext der Webseite auf etwaige weitere Verstöße geprüft werden, so führt WordPress z. B. trotz entsprechender gegenteiliger Einstellungen noch immer einen DNS-Prefetch für fonts.google.com aus. Ein solches ungewolltes Verhalten muss natürlich ebenfalls abgestellt werden.
Sie benötigen Hilfe bei der Beurteilung ob Ihre Webseite datenschutzkonform ist oder bei der Umsetzung der technischen Maßnahmen? Schreiben Sie mir einfach über mein Kontaktformular.
Auszug aus dem Urteil:
Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (BeckOK Datenschutzrecht, Wolff/Bring, 38. Edition, DS-GVO Art. 82, Rn. 24). Ausreichend ist gern. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, ist umstritten (vgl. BVerfG NJW 2021, 1005,Rz. 20 m.w.N.; Kohn ZD 2019, 498 (501); Paal MMR 2020, 14 (16)), kann aber im hiesigen Fall dahingestellt bleiben. Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Klägers auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.7.2020 – C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll.
Rn. 12 Urteil des LG München vom 20.1.2022 unter dem Aktenzeichen 3 O 17493/20