Icon Datenschutzbeauftragter
Datenschutz

Unschuldig verurteilt – warum das Google-Fonts-Urteil des LG München zugleich gut und vollkommen falsch ist

Johannes Endres
Verfasst von: Johannes Endres
Leiter Beratung

Das LG München hat ein richtungweisendes Urteil gesprochen. Dem Opfer einer Datenschutz-Verletzung wurde ein deutlicher Schadensersatz zugesprochen. Dabei stellte das Gericht fest, dass es nicht auf einen tatsächlichen Schaden ankommt, und nicht einmal auf die konkrete Möglichkeit eines Schadens.

Allein die im Urteil explizit als abstrakt bezeichnete Möglichkeit, "... mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen ..." liegt der Entscheidung zugrunde. Man kann trefflich darüber streiten, ob eine so radikale Position im Sinne der DSGVO ist. Das liegt im Bereich der Rechtsauslegung und der Meinungen. Ganz anders die Beschreibung des Sachverhalts, denn die soll die Fakten wiedergeben.

Das Urteil beschreibt die Fakten so: Der Beklagte (ein Web-Seiten-Betreiber) habe die IP-Adresse des Klägers ohne dessen Zustimmung an ein anderes Unternehmen übermittelt, und damit sein Recht auf informationelle Selbstbestimmung verletzt. Zudem habe der Beklagte die IP-Adresse in die USA übertragen und damit dem Kläger die Möglichkeit genommen, seine Betroffenenrechte dort durchzusetzen. Bei einer solchen Verletzung ist eine deutliche Sanktion sicher angemessen.

Das Problem: Nichts davon ist tatsächlich passiert.

Erstens hat der Web-Seiten-Betreiber die IP-Adresse gar nicht an Google übermittelt. Er hat lediglich den Vorschlag in die Webseite eingebaut, dass der Browser des Users sich den Font von Google holen sollte. In der Regel folgt ein Browser dieser Empfehlung. Dazu muss er Kontakt zu einem Server aufnehmen. Und im Zuge dieses Kontakts muss er die eigene IP-Adresse angeben, damit der Server weiß, wohin der den Font liefern soll. Kurz: Seine IP-Adresse hat der Nutzende (mit Hilfe seines Browsers) selbst direkt an Google geliefert; ein Umweg über den Betreiber der Webseite war nicht im Spiel. Es ist also eine nachweislich falsche Tatsachenbehauptung, der Beklagte habe die IP-Adresse an Google übermittelt.

Man kann hier argumentieren, dass zwar die Behauptung einer "Übermittlung" eindeutig falsch ist, aber der Webseiten-Betreiber doch irgendwie mit dafür verantwortlich ist, dass der Browser des Nutzernden einen Google-Server kontaktiert. Doch der User hat jederzeit die volle Kontrolle über solche Kontakte und damit über seine personenbezogenen Daten. Wenn er seine IP-Adresse nicht bei Google wissen will, kann er solche Zugriffe im Browser sperren. Ein Webseitenbetreiber könnte dann zwar die Nutzer-IP-Adresse irgendwie an Dritte weitergeben, doch bei der Einbindung von Google Fonts passiert das nicht.

Ein durchschnittlich verständiger Mensch mag sich dessen vielleicht nicht bewusst sein. Das könnte ein Argument für eine (Mit-)Verantwortung des Website-Betreibers sein. Doch dies wurde vor dem LG München nicht diskutiert.

Auch die zweite Sachbehauptung – Übertragung der IP-Adresse in die USA – ist beweisbar falsch. Ein wesentlicher Vorteil der Einbindung des Fonts direkt von Google ist die gegenüber eigenen Servern höhere Geschwindigkeit. Die erreicht Google durch Einsatz eines "Content Delivery Network" (CDN). Das bedeutet, dass die Fonts nicht auf einzelnen Servern bei Google USA bereitgestellt werden, sondern auf einer großen Zahl weltweit verteilter Server. Denn die Zugriffsgeschwindigkeit hängt unter anderem von der Länge der beteiligten Leitungen ab. Daher stehen die CDN-Knoten geographisch möglichst nahe beim Nutzer, in der Regel in Rechenzentren des Internet-Zugangs-Providers (Telekom, Vodafone, M-Net, ...).

Jeder Betreiber eines CDN (also auch Google) stellt durch technische Maßnahmen sicher, dass Daten – etwa Fonts – von dem jeweils nächstgelegenen Konten abgerufen werden. Bei Nutzung eines CDN verlässt die IP-Adresse des Nutzernden in der Regel also nicht die engere geographische Region und selbst im schlimmsten Fall nicht das Land, denn spätestens in der Nähe der großen Internet-Knoten jedes europäischen Landes steht ein CDN-Knoten von Google. Für Deutschland bedeutet dies, dass ein Google-Font zumindest von einem CDN-Server in der Nähe des Internet-Knotens DE-CIX in Frankfurt/Main geliefert wird.

Ganz unabhängig vom Wissen um die Funktion eines CDN lässt sich dies auch physikalisch beweisen –denn auch Daten können sich nicht schneller als das Licht bewegen. Mit Lichtgeschwindigkeit (300 km/ms) benötigt ein Datenpaket für eine Atlantik-Überquerung (mindestens 5.000 km) mehr als 16 Millisekunden; das Antwortpaket eben so viel. Wenn der Kontakt zum Google-Font-Server also weniger als 32 Millisekunden benötigt, kann kein Kontakt in die USA stattgefunden haben. In der Regel dauert der Verbindungsaufbau zu Google-Fonts-Servern unter 20 Millisekunden.

Da Google die IP-Adresse beim Fonts-Abruf nicht protokolliert oder sonst wie speichert, ist auch ein nachträglicher Export aufgrund von CLOUD-Act oder FISA ausgeschlossen.

Die IP-Adresse des Klägers hat also – beim Abruf des Google Fonts – mit Sicherheit Deutschland nicht verlassen.

Prozesstaktik

Im Urteil heißt es trotzdem, "... dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, ...". Wie die Prozessbeteiligten zu dieser kontrafaktischen Sachaussage gekommen sind, lässt sich nur vermuten. Eventuell haben sie einen der so genannten GeoIP-Dienste befragt, die versuchen, IP-Adressen geografische Koordinaten zuzuordnen. Diese Dienste sind jedoch ausschließlich zur Verortung von User-Endgeräten gedacht und geeignet; für Servern können sie aufgrund ihres Funktionsprinzips keine belastbare Orts-Information liefern.

Dass die eindeutig falsche Sachaussage dennoch als "unstreitig" aufgeführt ist, wirft ein schlechtes Licht auf den Beklagten und seine Verteidigung. Zu einer Darstellung des Sachverhalts beizutragen, die zumindest in der Nähe der Realität liegt, hätte ihnen gut angestanden. Und ein auf annähernd korrektem Verständnis der Fakten beruhendes Urteil hätte eventuell auch einen anderen Tenor.

Am falschen Baum gebellt?

Die vom Gericht behandelte Verletzung des Datenschutzes existiert zweifellos bei manchen in Webseiten eingebundenen Ressourcen. Doch ausgerechnet Google Fonts sind ein ungeeignetes Beispiel, um das Problem zu verhandeln. Denn obwohl Google bei anderen Diensten hinter den User-Daten her ist wie der Teufel hinter der arme Seele, gestaltet man gerade dieses Angebot datenschutzfreundlich:

  • Die IP-Adresse ist das einzige personenbeziehbare Datum und sie ist zur Übertragung der Fonts-Datei unverzichtbar. Google speichert sie nicht. Das ist sogar ein Datenschutz-Vorteil gegenüber der allgemein akzeptierten Praxis, IP-Adressen einige Tage aufzubewahren. Nicht einmal der "Quick Freeze" könnte hier greifen.
  • Die Nutzung von Domains wie „fonts.googleapis.com“ und „fonts.gstatic.com“ verhindert, dass die Cookies von anderen Google-Diensten an die Fonts-Server übertragen werden. Eine Verknüpfung des Font-Abrufs mit anderen Aktivitäten im Google-Universum ist auf diesem Wege nicht möglich.
  • Die Font-Server selbst setzten bei allen unseren Stichproben keine Cookies.

Fazit

Das "Google-Fonts-Urteil" des LG München geht am tatsächlichen Sachverhalt vorbei. Die Einbindung von Elementen aus einem Content Delivery Network funktioniert grundsätzlich anders als verhandelt. Doch diese Technik ist zentral für die Geschwindigkeit, Stabilität und Sicherheit des heutigen Internets. Angesichts dieser Bedeutung wäre eine gerichtliche Beurteilung ihrer Datenschutz-Auswirkungen durchaus wünschenswert – aber bitte mit sorgfältiger Abwägung der Risiken und auf Basis des wirklichen Sachverhalts.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.