Was ist geschehen?
Die Beklagte (Webseitenbetreibende) des Verfahrens hat auf ihrer Webseite den US-Webdienst Google Fonts dynamisch eingebunden. Beim Aufruf der Webseite durch den Kläger (betroffene Person) sei den Richtern zufolge die IP-Adresse der betroffenen Person an den Anbieter des Webdienstes – in diesem Fall Google – übermittelt worden, ohne vorher eine Einwilligung bei der betroffenen Person einzuholen. Die (unerlaubte) Weitergabe der IP-Adresse stelle eine Verletzung des allgemeinen Persönlichkeitsrechts in Form des informationellen Selbstbestimmungsrechts dar, so die Richter. Doch wie kommen die Richter zu dieser Schlussfolgerung? Hierzu muss zunächst erläutert werden, was Google Fonts eigentlich ist und wie dieser Dienst funktioniert.
Dynamisch? Statisch? Entscheidend!
Google Fonts ist ein kostenfreier Dienst des US-Unternehmens Google LLC. Dieser Dienst bietet Webseitenbetreibenden die Möglichkeit, Schriftarten auf der eigenen Webseite einzubinden, sodass den Besuchern von Webseiten ein einheitliches Erscheinungsbild über verschiedene Geräte (Desktop-PC, Smartphone, Tablet, usw.) ausgespielt wird. Um die Schriftarten auf der eigenen Webseite einzubinden, bietet Google den Webseitenbetreibenden zwei Optionen an:
Dynamische Einbindung
Die Schriftarten werden beim Besuch der Webseite nachgeladen, d.h. es wird eine Verbindung zu Servern von Google hergestellt. Damit Google weiß, an wen die eingebundene Schriftart ausgeliefert werden muss, benötigt der Server eine Adresse – in diesem Fall die IP-Adresse des Webseitbesuchenden.
Statische Einbindung
Webseitenbetreibenden ist es darüber hinaus möglich, die Schriftarten herunterzuladen und lokal auf dem eigenen (Web)Server zu platzieren. Beim Aufruf der Webseite findet folglich keine Verbindung zu den Servern von Google statt, da die Schriften direkt auf der Webseite bzw. auf dessen Server eingebunden sind.
Widerrechtliches Übertragen oder berechtigtes Interesse?
Warum diese Einbindung illegal war, kann mit dem EuGH-Urteil vom 16.07.2020 (Schrems-II) erklärt werden. Da die Übermittlung von personenbezogenen Daten eine Verarbeitung im datenschutzrechtlichen Sinne darstellt, bedarf es hierfür eine Rechtsgrundlage. Erschwerend kommt hinzu, dass bei einer Übermittlung in sogenannte unsichere Drittstaaten (die USA stellen einen unsicheren Drittstaat dar) besondere datenschutzrechtliche Hürden zu beachten sind. Diese Hürden gelten auch für Server, die sich auf dem europäischen Kontinent befinden, jedoch von Unternehmen in unsicheren Drittstaaten betrieben werden. Google stellt solch ein Unternehmen dar.
Die Beschuldigte berief sich auf die Rechtsgrundlage „berechtigtes Interesse“ (Artikel 6 Abs. 1 Buchstabe f DSGVO). Dieses berechtigte Interesse sahen die Richter als nicht gegeben an, da das Interesse der betroffenen Person überwiege. Zudem sei es technisch möglich gewesen, eine Übermittlung der IP-Adresse zu unterbinden – die Schriftarten hätten statisch eingebunden werden können.
Die IP-Adresse ist ein personenbezogenes Datum
Diese Frage beantworteten das LG München eindeutig mit „Ja“. Die dynamische IP-Adresse stelle ein personenbezogenes Datum dar, denn die Webseitenbetreibende verfüge abstrakt über rechtliche Mittel, die betreffende Person anhand der gespeicherten IP-Adresse bestimmen zu lassen – auch wenn es zur Identifizierung die Mithilfe von Behörden und Internetzugangsanbieter bedarf. Ob die Beklagte oder Google die konkrete Möglichkeit hätten, die IP-Adresse mit der betroffenen Person zu verknüpfen, sei indes irrelevant.
Die Einwilligung ist kein Allheilmittel
Für die Übermittlung von personenbezogenen Daten in unsichere Drittstaaten oder zu Servern von Unternehmen in unsicheren Drittstaaten sind datenschutzrechtliche Hürden zu beachten. Vor dem Hintergrund des Schrems II-Urteils erscheint eine Einwilligung ebenfalls kaum möglich, denn diese sei nur in Ausnahmefällen für eben solche Übermittlungen einschlägig. Der Begriff „Ausnahme“ wird von Datenschutzbehörden eng ausgelegt, d.h. regelmäßig stattfindende Übermittlungen in Drittstaaten dürfen entsprechend nicht auf einer Einwilligung fußen.
Schadensersatz und Untersagung
Das Landgericht München sanktionierte diesen Fall in zweierlei Hinsicht:
Die Webseitenbetreibende wurde dazu verurteilt der betroffenen Person 100 Euro (zzgl. Zinsen) zu zahlen. Dieses Urteil ergibt sich aus den datenschutzrechtlichen Schadensersatzansprüchen. Die Richter sahen es als erwiesen an, dass durch die Übermittlung der IP-Adresse ein individuell empfundenes Unwohlsein der betroffenen Person entstanden sei – es handelt sich hierbei also um einen immateriellen Schaden.
Der Webseitenbetreibenden wurde es untersagt, IP-Adressen an Google offenzulegen. De facto wurde damit die dynamische Einbindung von Google Fonts untersagt.
Konsequente Umsetzung des Schrems II-Urteils
Die Richter setzen das EuGH-Urteil (Schrems II) konsequent um. Dies hat Auswirkungen auf eine Vielzahl von Drittanbieterdiensten auf Millionen von Webseiten, auch abseits von Google Fonts. Gemäß dem Urteil ist es nunmehr kaum noch möglich, Drittanbieterdienste insbesondere aus unsicheren Drittstaaten einzubinden, ohne eine vorherige Einwilligung der Webseitenbesuchenden einzuholen. Und selbst die Einwilligung gilt in Datenschutzkreisen als unsicher.
Wie gehen wir damit um?
Dieses Urteil könnte Strahlkraft besitzen. Daher sollte die Verarbeitung von personenbezogenen Daten auf Webseiten auf datenschutzrechtliche sichere Beine gestellt werden.
Binden Sie externe Schriftarten bestenfalls direkt auf Ihrer Webseite bzw. dem (Web)Server ein.
Prüfen Sie Ihre Webseite auf mögliche (illegale) Verbindungen zu Drittanbietern.
Unterbinden Sie unnötige und optionale Verbindungen zu Drittanbietern oder lassen Sie sich diese Verbindungen mittels eines wirksamen Cookie-Bots einwilligen.
Prüfen Sie, ob für das Erheben und Übermitteln von personenbezogenen Daten einschlägige Rechtsgrundlagen existieren.
Gerne unterstützen wir Sie bei der Überprüfung Ihrer Webseite.