Das LG München hatte sich jüngst mit der Frage zu befassen gehabt, ob die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google eine Verletzung des allgemeinen Persönlichkeitsrechtes nach § 823 Abs. 1 BGB darstellt. In diesem Zusammenhang hatte es auch zu prüfen, ob der Einsatz von Schriftartdiensten wie Google Fonts auf eine Rechtsgrundlage aus der Datenschutzgrundverordnung (DSGVO) gestützt werden kann (LG München, Urt. v. 20.01.2022 – 3 O 17493/20).
Bereits beim Besuch bzw. Laden der Webseite des Betreibers, auf der der Schriftartdienst „Google Web Fonts“ eingebunden wurden wurde, wurde eine Verbindung zu den Servern von Google aufgebaut. Es wurde die IP-Adresse des Webseitenbesuchers schon mit dem Laden der Seite automatisch an Google weitergegeben, damit Google die Schriftarten zur Verfügung stellen kann. Sodann hat Google die Daten des Webseitenbesuchers ausgelesen, u.a. auch die IP-Adresse des Nutzers.
Der Kläger machte nun vor dem LG München eine Verletzung des allgemeinen Persönlichkeitsrechts in Form der informationellen Selbstbestimmung nach § 823 Abs. 1 BGB geltend und nahm die Beklagte auf Unterlassung nach § 823 Abs. 1 i.V.m. § 1004 BGB analog in Anspruch. Dieses mit dem Argument, die dynamische IP-Adresse sei ein personenbezogenes Datum, für dessen Erhebung und Verarbeitung die Einwilligung des Nutzers erforderlich sei. Eine solche Einwilligung lag in dem Streitfall jedoch nicht vor.
Die Klage hat Erfolg. Der Kläger hat gegen die Beklagte einen Anspruch auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i. V. m. § 1004 BGB analog. Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stelle eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar.
Das Recht auf informationelle Selbstbestimmung beinhalte das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Bei der von der Beklagten an Google weitergegebenen dynamischen IP-Adresse handele es sich um ein personenbezogenes Datum, denn der Webseitenbetreiber verfüge abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen, so das Gericht.
Das Landgericht führt weiter aus, dass die Beklagte das Recht des Klägers auf informationelle Selbstbestimmung verletze, indem die Beklagte die dynamische IP-Adresse an Google weiterleitete, als der Kläger die Webseite der Beklagten aufrief und somit eine Einwilligung des Webseitenbesuchers weder eingeholt wurde noch werden könnte.
Letztlich könne der Einsatz von Schriftartendiensten wie Google Web Fonts nicht auf die Anspruchsgrundlage zur Datenverarbeitung aus Art. 6 Abs. 1 S.1 lit. f DSGVO – das sogenannte „berechtigte Interesse“ gestützt werden, da der Einsatz von Schriftarten auch möglich sei, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss.
Im Ergebnis kann das Urteil des LG München rechtlich sogar überzeugen, wenngleich damit der Weg weiter in das „analoge Digitaluniversum“ bereitet wird. Denn für die Webseitenbetreiber, die sich als Unternehmen im Internet präsentieren um Interessenten zu generieren und Kunden zu betreuen, wird es nicht einfacher.
Rechtlich nicht zu beanstanden ist die Entscheidung des Senats, dass Webseitenbetreiber durch die unerlaubte Weitergabe der dynamischen IP-Adresse der Nutzer das allgemeine Persönlichkeitsrecht in Form des informationellen Selbstbestimmungsrecht nach § 823 Abs. 1 BGB verletzt. Dieses Recht beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Erfolgt eine Weitergabe dieser Daten bereits beim Aufrufen der Webseite, kann nicht einmal eine Einwilligung des Nutzers hierzu eingeholt werden. So liegt ein unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Nutzers vor.
Letztlich wird jedoch abzuwarten sein, wie höhere Instanzen diesbezüglich entscheiden werden. Bisher gibt es nur die vorgenannte Entscheidung des LG München. Ob dieses Urteil rechtskräftig geworden ist, ist aktuell nicht bekannt. Als dann stellt sich auch die Frage, wie ein Oberlandesgericht dazu entscheiden würde. Bis ein solcher Rechtsstreit dem BGH zur Entscheidung vorliegt, dürfte noch etwas Zeit verstreichen. Bis dahin sollte man diese Problematik weiterverfolgen und um die rechtlichen Risiken zu wissen.
Im Folgenden möchten wir Ihnen ausführlich vor Augen führen, warum Schriftartdienste wie Google Web Fonts, Adobe Fonts oder aber auch Dienste wie Google Cloud CDN datenschutzrechtlich bedenklich und relevant sind. Weiter möchten wir – unverbindlich und ohne Anspruch auf Vollständigkeit – über mögliche Vorgehensweisen informieren, die eine möglichst datenschutzkonforme Nutzung der jeweiligen Dienste ermöglichen.
Dazu im Einzelnen:
Bei Google Web Fonts handelt es sich um von Google zur Verfügung gestellte Schriftarten, die Webseiten nicht nur einheitlich und ansprechender erscheinen lassen, sondern auch schneller machen. Außerdem können neben der direkten Einbettung der Schriftarten in Webseiten und Stylesheets diese auch dazu benutzt werden, Grafiken und Logos zu erstellen. Google Web Fonts kann jeder kostenlos und ohne weitere Kennzeichnung auf jeder beliebigen Webseite verwenden. Dabei ist der Dienst bereits für die Google Suchmaschine optimiert.
Nun stellt sich die Frage, wie sich die Nutzung von Google Web Fonts in Bezug auf das Datenschutzrecht verhält. Warum sind Google Web Fonts in datenschutzrechtlicher Hinsicht bedenklich?
Beim Laden einer Webseite, auf der Google Web Fonts eingebunden wurden, wird eine Verbindung zu den Servern von Google aufgebaut. Das heißt also, dass mit jedem Webseitenbesuch automatisch die Fonts über an einen Server von Google geladen werden, damit Google die Schriftarten zur Verfügung stellen kann. Anschließend liest Google zahlreiche Daten des Webseitenbesuchers aus. Hierzu gehören insbesondere:
Google hat durch das Auslesen der IP-Adresse des Nutzers die Möglichkeit, den Standort desjenigen zu bestimmen, der die Webseite besucht. Hierbei handelt es sich jedoch um personenbezogene Daten, die Betreiber von Webseiten nur mit Zustimmung des Nutzers erheben und an Google weiterleiten dürfen (siehe EuGH, 19.10.2016 – C-582/14). Gemäß EuGH stellen IP-Adressen dann personenbezogene Daten dar, wenn der Websitebetreiber über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.
Zudem muss eine Rechtsgrundlage für die Verarbeitung einschlägig sein. Im Rahmen von Google Web Fonts kommen zwei Rechtsgrundlagen in Betracht:
Jedoch scheitert die Einholung der Einwilligung des Nutzers daran, dass die Übermittlung sofort beim Aufrufen der Webseite stattfindet. Zu beachten ist außerdem, dass Google keine ausreichenden Informationen darüber zur Verfügung stellt, welche Daten zu welchem Zweck verarbeitet werden, wie lange diese gespeichert werden, etc. Solche Informationen wären jedoch für die Einholung einer freiwilligen Einwilligung erforderlich.
Es stellt sich nunmehr die Frage, ob es dennoch Möglichkeiten gibt, Google Web Fonts DSGVO-konform zu nutzen. In Betracht kommen dabei zwei Vorgehensweisen:
Zunächst besteht hat der Webseitenbetreiber die Möglichkeit, die gewünschten Google Web Fonts herunterzuladen, lokal einzubinden und anschließend die Verbindung zu den Google Servern zu kappen. Im Rahmen dieser Vorgehensweise ist eine Einwilligung nicht erforderlich. In Googles FAQ zu Google Fonts wird die Legalität hiervon bestätigt. Eine Anleitung, wie das lokale Einbinden von Google Fonts und die Trennung zu Googles Servern funktioniert, ist HIER zu finden. Zu beachten ist jedoch, dass sich diese Möglichkeit negativ auf die Ladezeiten und die integrierte Optimierung der Suchmaschine von Google auswirkt. Auch die Aktualisierung der Schriftarten ist danach Aufgabe des Webseitenbetreibers.
Eine weitere Möglichkeit, Google Web Fonts DSGVO-konform zu nutzen, bietet die datenschutzrechtliche Argumentation, mit einem überwiegenden berechtigten Interesse des Webseitenbetreibers. Denn das lokale Einbinden von Google Web Fonts hat auch seine Nachteile, wie oben bereits erwähnt. Liegt ein überwiegendes berechtigtes Interesse des Betreibers vor, so ist eine gesonderte Einwilligung des Nutzers nicht erforderlich.
Das Landgericht München hat jedoch in einem Fall entschieden, dass der Einsatz von Schriftartendiensten wie Google Fonts nicht auf Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden kann, also kein überwiegendes berechtigtes Interesse des Webseitenbetreibers vorliegt (LG München, Urt. v. 20.01.2022 – 3 O 17493/20). Denn der Einsatz der Schriftarten sei auch möglich, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss. Jedoch ist anzumerken, dass es sich hierbei um ein erstinstanzliches Urteil handelt und es demnach abzuwarten bleibt, wie die höheren Instanzen entscheiden werden.
Bei Google Cloud CDN handelt es sich um ein Content Delivery Network von Google. Ein Content Delivery Network ist ein Netzwerk regional verteilter und über das Internet verbundener Server, die Inhalte an verschiedenen Orten auf der Welt zwischenspeichern. Dadurch stellt es Content von Webseiten in kürzester Zeit bereit und entlastet gleichzeitig den Web-Host, indem der Datenverkehr auf verschiedene Cache-Server verteilt wird. So können Nutzer in der Praxis auf Webseiteninhalte zugreifen, ohne langen Wartezeiten ausgesetzt zu werden.
Auch im Rahmen der Nutzung vom Google Cloud CDN stellt sich die Frage, warum die Nutzung datenschutzrechtlich relevant ist. Google erhält über sein Content Delivery Network vollen Zugriff auf den Datenverkehr zwischen seinen Kunden und deren Webseitenbesuchern. Hierbei erhebt Google unter anderem Daten zu dem verwendeten Betriebssystem, dem verwendeten Browser, der Referrer-URL, der aufgerufenen Webseite und der IP-Adresse der Nutzer. So kommt es zur Erhebung von personenbezogenen Daten. Demzufolge treffen diejenigen, die Google Cloud CDN verwenden, besondere datenschutzrechtliche Pflichten.
Folgende datenschutzrechtliche Pflichten müssen Webseitenbetreiber erfüllen, um Google Cloud CDN datenschutzkonform zu verwenden.
Werden personenbezogene Daten von Webseitenbetreibern an Dritte weitergegeben, müssen sie mit diesen gemäß Artikel 28 Datenschutz-Grundverordnung (DSGVO) einen Vertrag zur Auftragsverarbeitung abschließen. Für die Nutzung von Google Cloud CDN gilt also folgendes: Nutzen Webseitenbetreiber Google Cloud CDN, müssen sie mit Google einen entsprechenden Vertrag abschließen. Der Vertrag sollte beinhalten,
Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, wenn in den Drittländern kein angemessenes Datenschutzniveau gegeben ist. Dies ist in den USA aktuell nicht der Fall. Nunmehr führt Google jetzt Standardvertragsklauseln ein, um diesem Problem entgegenzuwirken. Betreiber sollten diese Standardvertragsklauseln also prüfen und gegebenenfalls akzeptieren. Zu beachten ist ferner, dass der EuGH vorgibt, dass Standardvertragsklauseln nur dann als Rechtsgrundlage für Datentransfers in Drittländer dienen können, wenn das Datenschutzniveau dort erfüllt wird (siehe: EuGH, 16.07.2020 – C-311/18)
Der EuGH hat den Privacy Shield für unwirksam erklärt (siehe oben). Daher müssen Webseitenbetreiber Hinweise auf das Privacy Shield aus ihrer Datenschutzerklärung entfernen. Haben Betreiber von Webseiten mit Google einen Auftragsverarbeitungsvertrag geschlossen, sollten sie darauf in ihrer Datenschutzerklärung hinweisen. Dabei sollte aufgeführt werden,
Bei Adobe Fonts geht es um von Adobe zur Verfügung gestellte Schriftarten. Nutzer können diese für ein einheitliches Schriftbild auf ihren Webseiten oder in ihren Apps verwenden.
Webseiten laden Adobe Fonts mit jedem Besuch über einen Server von Adobe, um die benötigten Schriftarten von Adobe korrekt darstellen zu können. Anschließend erhält Adobe automatisch Daten, unter anderem zu den bereitgestellten Schriftarten, der Konto-ID, der Anwendung, die die Schriftarten anfordert, dem Server, der die Schriftarten bereitstellt und dem Hostnamen der Webseite, auf der die Schriftarten geladen werden. Jedoch ist unklar, ob Adobe in diesem Rahmen auch Zugriff auf die IP-Adresse und weitere personenbezogene Daten der Webseitenbesucher erhält. Adobe selbst gibt an, beim Laden der Schriften keine Cookies zu speichern und keine Daten wie IP-Adresse und Browser-Version zu erfassen. Die gesammelten Daten sollen lediglich dazu dienen, die Webseite und das damit verbundene Adobe-Font-Konto zu identifizieren.
Erheben und Verarbeiten Webseitenbetreiber durch die Nutzung von Adobe Fonts personenbezogene Daten wie die IP-Adresse der Nutzer, benötigen sie eine Einwilligung der Nutzer gemäß Artikel 7 DSGVO. Doch diese Einwilligung in Form eines Opt-Ins müsste bereits vor Erhebung personenbezogener Daten vorliegen und damit bevor die Schriftarten dargestellt werden. Das ist in der Praxis jedoch nicht möglich. Allerdings könnten Betreiber von Webseiten ein berechtigtes Interesse daran haben, die Daten von Nutzern zu verarbeiten (Art. 6 Abs. 1 S. 1 lit. f DSGVO).
Das berechtigte Interesse könnte darin bestehen, dass Adobe Fonts Vorteile mit sich bringt. Hierzu gehören beispielsweise eine geräteübergreifende, einheitliche Darstellung, verbesserte Ladezeiten und ein kleinerer administrativer Aufwand. Rechtlich zweifelhaft bleibt dennoch, ob dies für ein berechtigtes Interesse der Webseitenbetreiber genügt. Im Rahmen des berechtigten Interesses ist jedoch auch hier die oben erwähnte Entscheidung des Landgericht München zu berücksichtigen, wonach der Einsatz von Schriftartendiensten nicht auf Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden kann.
Webseitenbetreiber müssen neben der Einholung der erforderlichen Einwilligung der Nutzer oder einem berechtigten Interesse ihrerseits, in ihre Datenschutzerklärung einen Hinweis über die Verwendung von Adobe Fonts aufnehmen. Außerdem sollten sie Nutzer auch auf die entsprechenden Nutzungsbedingungen und Datenschutzbestimmungen von Adobe hinweisen.
Im Rahmen der Erhebung und Verarbeitung von personenbezogenen Daten spielt die Einwilligung des Nutzers bzw. Besuchers einer Webseite letztlich eine ganz entscheiden Rolle. Ist eine Einwilligung des Nutzers nämlich nicht eingeholt worden, so wird die weitere Vorgehensweise auf der Webseite des Betreibers gegen die DSGVO verstoßen. Das Einwilligungserfordernis wirkt sich dabei insbesondere auf den sehr praxisrelevanten Einsatz von Cookies und ähnlichen Technologien beim Betrieb von Telemedien aus. Zu beachten ist hierbei das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), das zum 1. Dezember 2021 in Kraft getreten ist. Dabei stellt § 25 TTDSG die zentrale Norm für den Bereich der “Einwilligung” dar.
Wie die Abfrage einer Einwilligung in der Praxis erfolgt, welche Anforderungen daran gestellt werden und alles rund um das Thema „Cookies und Einwilligungsbanner“ kann hier nachgelesen werden: Achtung Webseitenbetreiber – Cookies erfordern die aktive Einwilligung des Nutzers! Weitere datenschutzrechtliche Themen und Rechtsfälle können hier nachgelesen werden: DATENSCHUTZRECHT.
Rechtsanwalt Björn Thorben M. Jöhnke ist Partner der Kanzlei Jöhnke & Reichow Rechtsanwälte und seit 2017 Fachanwalt für Versicherungsrecht. Während seiner Anwaltstätigkeit hat er bereits eine Vielzahl von gerichtlichen Verfahren im Versicherungsrecht geführt und erfolgreich für die Rechte von Versicherungsnehmern gestritten.
Mit unserer Kompetenz streiten wir ehrgeizig für Ihr Ziel, nämlich Ihre Interessen durchzusetzen! Wir freuen uns, dass unsere Mandanten-/-innen unser Engagement schätzen und positiv bewerten.
Verpassen Sie auch zukünftig keinen Beitrag unserer Kanzlei. Über unseren 2mal monatlich erscheinenden Newsletter erhalten Sie stets die aktuellen Beiträge unserer Kanzlei zu den Themen Versicherungsrecht, Bank- und Kapitalmarktrecht, Vertriebsrecht, Handelsvertreterrecht und Wettbewerbsrecht. Wir freuen uns auf Ihre Anmeldung.