Das Landgericht München entschied in einem neuen Urteil (Az. 3 O 17493/20): Das Einbinden von Schriftarten von Google-Servern ohne Zustimmung stellt einen Verstoß gegen die DSGVO dar. Zudem sind aber auch andere CDNs (Content Delivery Network) von der Entscheidung des LG München betroffen. Wir klären auf. 

Hintergrund des Urteils

Der Kläger klagte gegen eine Webseite auf Schadensersatz von 100 Euro, da die Webseite die IP-Adresse in Form der eingebundenen Google Fonts des Klägers ohne dessen Einwilligung an das US-Unternehmen Google weitergegeben wurde. Das LG München äußerte sich diesbezüglich wie folgt: “Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar.”

Begründet wird dies dadurch, dass es sich bei “dynamischen IP-Adressen” um personenbezogene Daten handele, “da es dem Webseitenbetreiber über eine zuständige Behörde und den Internetzugangsanbieter abstrakt möglich sei, die betreffende Person zu identifizieren”. Auf der Gegenseite wurde dahingehend argumentiert, dass eine Weitergabe der IP-Adresse ein berechtigtes Interesse im Sinne der DSGVO vorläge. Widerlegt wurde dies anhand dessen, dass ein Einbinden der Google-Fonts über einen externen Google-Server nicht nötig sei, sondern die Google Fonts lediglich heruntergeladen werde können. 

Bußgeld bis zu 250.000 Euro

Das Bußgeld, welches durch das Urteil ausgesprochen wurde, zeigt erneut die strengen Regelungen und Wirkungen der DSVO: Dem beklagten Webseitenbetreiber droht eine Geldstrafe von 250.000 Euro. Zudem wurde auf Unterlassung geklagt. Dem Beklagten könnte mithin eine Ordnungshaft von bis zu sechs Monaten bevorstehen, sollte eine Unterlassung nicht erfolgen. 

LG München: Auch andere CDNs betroffen. 

Zwar geht es in dem Urteil des LG München primär um Google-Fonts und deren Einbindung, das Urteil hat jedoch eine größere Reichweite: Die von dem Urteil getragenen Grundsätze sind zudem auch auf alle alle anderen extern in Webseiten eingebundenen Inhalte von US-Diensten anwendbar. Daraus ist zu schließen, dass somit auch jede Art von CDN (Content Delivery Network) aus den USA betroffen sind.

Dahingehend gilt es zu beachten, dass Webseiten die Inhalte wie Schriftarten, Skripte, Bilder oder sonst dergleichen selbst hosten sollen, um die Anforderungen der DSGVO zu erfüllen und keine etwaige Verstöße zu riskieren. Um zudem sicher zu sein, könnte eine Zustimmung zur Weitergabe der IP-Adresse über einen Consent-Banner eingeholt werden. 

Mit Blick auf das Schrems-II-Urteil (hier nochmal zum Nachlesen: Privacy Shield – Gekippt – Website-Check.de) ist es in etwaiger Hinsicht umstritten, ob und inwieweit  personenbezogene Daten in die USA übermittelt werden dürfen. Es müssen demnach sog. Standardvertragsklauseln abgeschlossen werden Neue Standardvertragsklauseln ab 27.09.2021 verpflichtend – Website-Check.de

Mit dem Urteil des LG München wird eine sogenannte Präjudizwirkung geschaffen, die für weitere Klagen entscheidend sein wird. Dafür müsste sich die Entscheidung des LG jedoch durchsetzen. Dies gilt in dieser Hinsicht abzuwarten. 

Bildquelle: geralt von pixabay