Unternehmer beschäftigen sich derzeit mit Google Fonts. Grund hierfür sind Abmahnungen und Schadenersatzforderungen, die massenhaft per Post verschickt werden. Auch bei uns melden sich zahlreiche Mandanten mit der Frage: Was tun?
Worum geht es?
Ein paar findige Leute und ihre Anwälte haben eine alte Masche neu erfunden, um Geld zu verdienen. Sie nutzen einen kleinen Fehler vieler Webseiten-Betreiber: Die fehlerhafte Einbindung von Schriftarten, namentlich der Google Fonts. Etliche Unternehmer erhielten Post mitunter eines in Deutschland tätigen Dikigoros, zugelassen nach § 2 EuRAG. Er fordert für Wang Yu 140 Euro Schadenersatz, 30 Euro Rechtsanwaltsgebühren und 20 Euro Auslagen zuzüglich Mehrwertsteuer. Aber auch ein Berliner Anwalt erlangt derzeit mit seinen Forderungen über 170 Euro für Martin Ismail einen gewissen Bekanntheitsgrad. Bereits aufgrund der Masse der ausgesandten Schreiben dürfte die Erwähnung der beiden Namen berechtigt sein.
Einbindung von Google Fonts
Google überlässt seit 2010 mit seinen „Google Fonts„1 Schriftarten. Sie sind weitestgehend Open Source und dürfen kostenlos auf Webseiten genutzt werden.2 Google Fonts sind aufgrund ihrer freien Nutzung bei Gestaltern nicht unbeliebt. Die Einbindung ist im Wesentlichen auf zwei Arten möglich: 1. Durch Speicherung der Schriftarten auf dem eigenen Webserver (lokal) oder 2. durch den Abruf von einem Google Server (dynamisch).2 Beim dynamischen Abruf erfährt der Google Server jedoch die IP-Adresse des Besuchers.
Problematisch ist demnach die zweite, die dynamische Einbindung der Google Fonts. Ein weiterer „Klick“ des Nutzers ist nicht zwingend erforderlich; die Webseite des Anbieters leitet die IP des Besuchers an Google weiter, dessen Browser dann von Google die Schriftart abruft. Möglich wäre es, den Abruf bis zur rechtmäßig Einwilligung des Nutzers (informed consent) zu unterbinden; selbst auf diese datenschutzrechtlich zulässige Variante verzichten allerdings manche Webseitenbetreiber noch immer. Mitunter forcieren nicht-europäische Webseiten-Baukästen, Plugins und Themes diese Entwicklung.
Google Fonts und Datenschutz
Nutzt eine Webseite die Google Fonts-API, so protokolliert diese immerhin „Details der HTTP-Anfrage einschließlich des Zeitstempels, der angeforderten URL und aller HTTP-Header (einschließlich Verweis-URL und User-Agent-String), die in Verbindung mit der Verwendung der CSS API bereitgestellt werden. IP-Adressen werden nicht protokolliert. Der Zugriff auf protokollierte Daten ist sicher. Zusammengefasste Nutzungsstatistiken dienen dazu, die Beliebtheit von Schriftfamilien zu messen und werden auf der Analyseseite von Google Fonts veröffentlicht.“ 5
Die IP-Adresse des Besuchers gilt als personenbezogenes Datum, wenn dem Verantwortlichen die Mittel zur Verfügung stehen, über Zusatzinformationen von der IP-Adresse einen Rückschluss auf die natürliche Person zu ziehen (ZD 2022, 290, 191). Das hatten bereits der Europäische Gerichtshof in seinem Urteil vom 19.10.2016 – C-582/14 und anschließend der Bundesgerichtshof mit Urteil vom 16.5.2017 – VI ZR 135/13 (LG Berlin, AG Berlin-Tiergarten) entschieden. Selbst wenn Google zusichert, die IP nicht zu speichern,4 wird die IP dennoch an Google übermittelt.
Bereits kurz nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hatten verschiedene Autoren auf die Problematik hingewiesen (vergleiche z.B. Globocnik: On Joint Controllership for Social Plugins and Other Third-Party Content – a Case Note on the CJEU Decision in Fashion ID, IIC 2019, 1033). Während Google Analytics die Unternehmen kurz nach dem Jahr 2018 beschäftigte, stachen die Google Fonts und andere Dienste bislang nicht in vergleichbarer Weise hervor.
Rechtsprechung zu Google Fonts
Mit Urteil vom 20.1.2022 – 3 O 17493/20 – ZD 2022, 290 hat das Landgericht München I rechtskräftig auf die Problematik der Einbindung von Google Fonts hingewiesen. Leitet eine Webseite die dynamische IP-Adresse des Nutzers durch Abruf der Google Fonts automatisch an Google weiter, verletzt dieser Eingriff in das allgemeine Persönlichkeitsrecht des Besuchers in unzulässiger Weise. Das Landgericht formuliert es in Randzeichen 12 so:
„Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist.“
Schlimmstenfalls kommen die Fonts also aus den USA. Letzteres ist so böse, dass das Landgericht München I den Betroffenen Schadenersatz zuspricht. Nur zum Vergleich: Für verfärbtes Haar gibt es jedenfalls in München nichts (Amtsgericht München Urteil vom 15.2.2019 – 312 C 8595/18). Aber wenn die IP in die USA gelangt, gibt es 100 Euro für den Kontrollverlust und individuelles Unwohlsein, so das LG München I. Wer weiß schon, was die Vereinigten Staaten mit einer IP machen: Kampfdrohnen zum Standort schicken, Atomraketen neu ausrichten oder … ? Manchem könnte da schon unwohl werden, unwohler jedenfalls als wenn das Haar die falsche Farbe hat.
Das Landgericht erkennt auf einen Anspruch aus § 823 Abs. 1 BGB iVm § 1004 BGB analog auf Beseitigung und Unterlassung aufgrund der Verletzung des informationellen Selbstbestimmungsrechts des Betroffenen. Darüber hinaus besteht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO.
Nach Auffassung des Landgerichts bestünde ein grundlegender Unterschied zum Schadenersatzrecht des Bürgerlichen Gesetzbuchs (BGB), bei dem gem. §§ 249 ff. BGB Schadensersatz nach der Differenzhypothese zu leisten ist. Während das BGB einen empirischen Schaden fordert und nur in den Fällen des § 253 Abs. 2 BGB ein immaterieller Schadensersatz zu leisten ist, ermögliche Art. 82 DSGVO einen leichteren Zugriff auf den immateriellen Schaden. Fischer, in ZD 2022, 290, 292 hofft deshalb sogar auf einen entsprechenden Abschreckungseffekt bei den verantwortlichen Datenverarbeitern. Er wünscht sich, die Höhe der „immateriellen Schäden höher anzusetzen, um einen pönalisierenden Effekt zu erzielen, da die personenbezogenen Daten von den Verantwortlichen bereits unwiderruflich übermittelt wurden. Andernfalls bestünde weiterhin die Gefahr, dass datenschutzrechtliche Strafen billigend in Kauf genommen werden.“
Was tun?
Betroffene Webseitenbetreiber sollten die Schreiben eines Anwalts kritisch prüfen und gegebenenfalls Rechtsrat einholen. Erst nach einer Risikoabwägung sollten Sie entscheiden, ob sie
- einer berechtigten Forderung nachkommen
- eine fragliche Forderung weiter hinterfragen,
- eine unberechtigte Forderung ignorieren oder
- gegen die Anspruchsteller vorgehen.
Anders formuliert: Zahlen, nichts tun, selbst antworten oder eigenen Anwalt einschalten?
Einzelfallprüfung erforderlich
Selbstverständlich können Anwälte nicht jedes eingehende Schreiben mit den vorstehenden Ausführungen pauschal bewerten. Vielmehr ist jeder Einzelfall auf seine individuelle Berechtigung zu prüfen.
Die uns vorliegenden Anwaltsschreiben enthielten zuweilen Unklarheiten, teilweise erwiesen sie sich als angreifbar. In einem der Fälle war die Echtheit des Ausstellers zweifelhaft. Einer der Anwälte machte den Schadenersatz seines angeblichen Mandanten auf seiner Rechnung als eigenen Schadenersatz geltend und berechnete hierauf Umsatzsteuer. Dass dabei die Geschäftsgebühr Nr. 2300 VV RVG fehlerhaft berechnet war, verwunderte nicht weiter. Fraglich blieb die Legitimation der Mandanten. In den meisten Fällen war ein rechtsmissbräuchliches Vorgehen zu befürchten. Wir vertreten in diesen Fällen mitunter die Auffassung, die vermeintliche Forderung nicht zu bezahlen. Das Risiko und das weitere Vorgehen sind dennoch im jeweiligen Einzelfall abzuwägen.
Abzugrenzen sind die vorstehenden Fälle jedoch von berechtigten Forderungen, vor allem solcher, die mit einem Auskunftsanspruch verbunden sind. Immerhin drohen gerichtliche Verfahren. Wird eine Auskunft nicht, falsch oder nicht vollständig abgegeben, riskieren die Verantwortlichen zudem das Einschalten der Bußgeldbehörden.
Dass die Forderungsschreiben in den wohl bekannteren Fällen Wang Yu und Martin Ismail niedrig ausfallen, dürfte kein Zufall sein; einige Unternehmer scheuen in diesen Fällen die Kosten des eigenen Anwalts. Lohnen kann sich eine Beratung dennoch, allein um Folgefehler zu vermeiden.
Anwaltliche Musterschreiben
Von Musterschreiben raten wir ab, es sei denn wir haben diese selbst verfasst. Das hat einen einfachen Grund: Wir kennen weder den Autor noch den Inhalt der Musterschreiben. Natürlich können wir die vorgelegten Musterschreiben allgemein prüfen; dann stellt sich allerdings die Frage, ob die Schreiben zum Fall passen. Wir müssten also auch prüfen, ob das Musterschreiben zum individuellen Sachverhalt passt.
Wir greifen lieber auf unsere eigenen, von uns geprüften und auf den Sachverhalt passenden Vorlagen zurück. Die passen wir je nach Entwicklung und Erfahrung in den von uns betreuten Verfahren an. Dabei stützen wir uns auf Tools aus dem Bereich des Legal Tech.
Ebenso mahnen wie zur Vorsicht bei selbständiger Formulierung, vor allem einer strafbewehrten Unterlassungserklärung. So kann bereits der erstmalige Verstoß gegen eine eigenformulierte Erklärung zur Verwirkung einer hohen Vertragsstrafe führen.
Rechtsmissbrauch bei Abmahnwellen
Bei massenhaften Aussendungen ist zu prüfen, ob die Durchsetzung datenschutzrechtlicher Ansprüche gegen das Schickenverbot (§ 226 BGB) sowie Treu und Glauben (§ 242 BGB) verstoßen könnte. So verpflichtet das Bürgerliche Gesetzbuch durchaus zur gegenseitigen Rücksichtnahme. Die Ausübung eines Rechts ist unzulässig, wenn sie den Umständen nach nur den Zweck haben kann, einem anderen Schaden zuzufügen.
Vorgehen gegen Anspruchsteller
Glücklicherweise sind die Anwälte der „Gegner“ nicht weniger findig. Wer sich gegen eine unberechtigte Forderung zur Wehr setzen und nicht auf die gerichtliche Geltendmachung des Gegners warten will, kann selbst eine negative Feststellungsklage in Erwägung ziehen.
Alternativ macht bereits ein (derzeit nicht rechtskräftiger) Beschluss des Landgerichts Baden-Baden vom 11.10.2022 – 3 O 277/22 im Wege der einstweiligen Verfügung die Runde. Dieser untersagt dem Antragsgegner im Wege der einstweiligen Verfügung unter Androhung eines Ordnungsgeldes, an dessen Stelle Ordnungshaft für jeden einzelnen Fall der Zuwiderhandlung, einen Partnerbetrieb des Franchise-Systems der Antragstellerin mit Forderungen im Zusammenhang mit der Einbindung von Google Fonts zu kontaktieren. Immerhin, der Streitwert dort betrug 30.000 Euro und ist für die Anwälte daher „lukrativer“.
Anspruchsteller sollten allerdings das Prozesskostenrisiko im Auge behalten, vor allem wenn sich die Kosten beim Gegner als uneinbringlich darstellen könnten.
Technische Umsetzung
Aus technischer Sicht sollten die Webseiten die Schriftarten nicht dynamisch einbinden, sondern lokal auf dem eigenen Webserver abspeichern und Besuchern direkt zur Verfügung stellen, soweit dies urheberrechtlich zulässig ist.
Anlässlich der derzeitigen Google-Fonts-Welle scheint es ratsam, den eigenen Webauftritt auch im Übrigen auf korrekte Umsetzung zu prüfen. So gibt es zahlreiche Snippets und Plugins, die externen Inhalt (Content) in die eigene Webseite einbinden und damit möglicherweise Daten an Dritte und in Drittländer übermitteln. Beispiele hierfür sind Kartendienste (Google Maps), Videos (YouTube, Vimeo), Fotos oder sonstige Webinhalte, Analyse- (Google Analytics, Matomo Analytics) und sonstige Tools. In vielen Fällen ist eine rechtskonforme Darstellung dieser Inhalte auf der Webseite möglich.
Erster Anhaltspunkt ist, ob die eigene Webseite eine Verbindung zu Servern Dritter aufbaut. Die Ergebnisse sollten Sie dokumentieren, die Verarbeitung auf Rechtmäßigkeit prüfen. Gegebenenfalls sind die Datenschutzerklärung und interne Prozesse anzupassen.
Google Fonts sind nicht der Anfang
Google Fonts sind leider nicht der Anfang. Die Welle war ein zu erwartendes Übel. Vergleiche dazu die Warnung vor Trittbrettfahrern von Skupin in seinen Praxishinweisen zu LG München I, Urteil vom 20.1.2022 – 3 O 17493/20 in GRUR-Prax 2022, 264. Wiederholt bestätigten die Gerichte, dass schon die einmalige Übertragung einer ungekürzten IP-Adresse an einen Server in den USA datenschutzrechtlich unzulässig sein kann. Vergleiche dazu Verwaltungsgericht Wiesbaden mit Beschluss vom 1.12.2021 – 6 L 738/21.WI. Die Geltendmachung von Schadenersatzansprüchen blieb abzuwarten.
Unternehmer sollten sich allerdings auf Ungemach von anderer Seite einstellen. Denn sämtliche Verstöße gegen die DSGVO können Ansprüche auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter begründen, wenn den Betroffenen wegen eines Verstoßes ein materieller oder immaterieller Schaden entstanden ist, Art. 82 Abs. 1 DSGVO.
Immaterieller Schadenersatz bei Datenschutzverstößen
Die Fälle, in denen Gerichte immateriellen Schadenersatz zusprechen, häufen sich.
Das Arbeitsgericht Neuruppin sprach in seinem Urteil vom 14.12.2021 – 2 Ca 554/21 einer Arbeitnehmerin einen Entschädigungsanspruch von 1.000 Euro zu, weil der Arbeitgeber den Namen der Betroffenen nicht von der Internetseite entfernt hatte. Der Schadenersatzanspruch nach Art. 82 DS-GVO setze nicht voraus, dass der Anspruchsteller erlittene immaterielle Beeinträchtigungen vorträgt. Art. 82 DS-GVO beinhalte insoweit eine Warn- und Abschreckungsfunktion.
Das Arbeitsgericht Mannheim verurteilte einen Arbeitnehmer mit Urteil vom 20.05.2021 – 14 Ca 135/20 zur Zahlung von 7.500 Euro (Rn. 130 ff.). Der Arbeitgeber hatte WhatsApp-Nachrichten des Arbeitnehmers auf einem sowohl dienstlich als auch privat genutzten Firmenhandy ausgewertet. Der Zugriff auf dienstlich wie privat genutzte E-Mail und Exchange-Konten der Mitarbeiter dürfte bei erlaubter Privatnutzung ähnliches Unbehagen bei den Gerichten auslösen.
Das Landgericht München I sprach bereits mit Endurteil vom 09.12.2021 – 31 O 16606/20 (erledigtes Verfahren OLG München – 36 U 138/22) einem Betroffenen Schadenersatz zu. Die Entwendung personenbezogener Daten aus dem Datenbestand eines Finanzdienstleisters rechtfertigten dort immateriellen Schadensersatz in Höhe von 2.500 Euro.
Die dritte Zivilkammer des Landgerichts Mainz verlagert die Furcht vor (voreiligen) Schufa-Einträgen nunmehr auch auf Unternehmer. Mit Urteil vom 12.11.2021 – 3 O 12/20 (Rn. 56 ff.) spricht es einem Betroffenen Schadensersatz wegen einer Verletzung des Persönlichkeitsrechts und für erlittene immaterielle Schäden in Höhe von 5.000 Euro zu, wenn eine Einmeldung zur Schufa nach dem Erlass eines Mahnbescheids und vor dessen Zustellung an den Betroffenen erfolgt.
Das Oberlandesgericht Koblenz vertrat in seinem Urteil vom 18.5.2022 – 5 U 2141/21 die Auffassung, dass sich der immaterielle Schadensersatzanspruch nach Art. 82 DSGVO der Höhe nach unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention bestimme.
Das Oberlandesgericht Dresden weist in seinem Urteil vom 30.11.2021 – 4 U 1158/21 – auf seine Auffassung hin, dass neben einer GmbH als Verantwortlichen auch ihr Geschäftsführer als Gesamtschuldner für Schadenersatzansprüche in Betracht komme. Geschäftsführer sollten daher die möglichen Gefahren einer Geschäftsführerhaftung beachten.
Anhängige Vorlagefragen beim EuGH
Bislang bietet die deutsche Rechtsprechung noch eine gewisse Disharmonie. Die weitere Entwicklung des immateriellen Schadenersatzes bei Datenschutzverstößen bleibt daher abzuwarten.
Zuletzt legten das Bundesarbeitsgericht mit Vorlagebeschluss vom 26.08.2021 – 8 AZR 253/20 (A), das Landgericht Saarbrücken, Beschluss vom 22.11.2021 – 5 O 151/19 und das Amtsgericht München mit Vorlagebeschluss vom 3.3.2022 – 132 C 1263/21, GRUR-RS 2022,17050 dem Europäischen Gerichtshof Rechtsfragen betreffend die Auslegung des Art. 82 DSGVO vor. Davor hatte das Bundesverfassungsgericht (BVerfG) mit Beschluss vom 14.01.2021 – 1 BvR 2853/19 – Rn. 19 f. – eine mögliche Vorlagepflicht der Gerichte bejaht: Der Entschädigungsanspruch aus Art. 82 Abs. 1 DSGVO sei bislang nicht erschöpfend geklärt. Die letztinstanzlichen Gerichte müssten in diesem Fall die zu klärenden Fragen dem Europäischen Gerichtshof nach Art. 267 Abs. 3 AEUV vorlegen, um das Recht der Parteien auf ihren gesetzlichen Richter nicht zu verletzen, Art. 101 Abs. 1 Satz 2 GG.
Fazit
Zusammenfassend bleibt wohl nur: Über die Forderungen von Wang Yu und Martin Ismail sollten sich Unternehmer nicht allzu sehr den Kopf zerbrechen. Die Gefahren lauern andernorts. Datenschutzbeauftragte und im Datenschutz tätige Rechtsanwälte mühen sich daher nicht zu Unrecht, ihren Mandanten gegenüber auf die Einhaltung ihrer Verpflichtungen zum Datenschutz zu pochen.
Bestenfalls ziehen Unternehmen daher frühzeitig im Datenschutz erfahrene Juristen in ihre Projekte ein. Bei datenverarbeitenden Vorgängen sollten die beteiligten Juristen mit technischen Abläufen und den Abläufen bei Verarbeitungsprozessen vertraut sein. Und sie sollten die wesentlichen Grundsätze des Datenschutzes kennen.
Der Beitrag kann eine individuelle, anwaltliche Beratung nicht ersetzen. Beachten Sie bitte das Erstelldatum und prüfen Sie den Beitrag ggf. auf Aktualität. Wenn Sie sich unsicher sind, fragen Sie Ihren Anwalt – oder uns.
Bildquellen
- letters-3665281: Bild von Bruno /Germany auf Pixabay | Pixabay Lizenz