Sofern Sie bereits das Missvergnügen hatten, sich neuerdings in aufgezwungener Korrespondenz mit Deutschlands neusten selbstproklamierten „Datenschützern“ – namentlich Herrn Martin Ismail, vertreten durch Herrn Rechtsanwalt Kilian Lenard oder Herrn/Frau Wang Yu, vertreten durch Herrn Dikigoros Nikolaos Kairis – zu befinden, möchten wir Ihnen zunächst ein Lob aussprechen:
Augenscheinlich kommen Sie auf Ihrer Website den Informationspflichten bezüglich Ihrer Kontaktdaten gem. Art. 13 Abs. 1 lit. a DSGVO, sowie § 5 Abs. 1 Nr. 1 TMG ordnungsgemäß nach. Nicht anders ist zu erklären, weshalb Sie nunmehr eines der berüchtigten, in großer Zahl kursierenden Abmahnschreiben in Ihren Händen halten.
Der Ihnen darin gemachte Vorwurf kann mittlerweile als allgemein bekannt betrachtet werden und lässt sich vereinfacht wie folgt herunterbrechen:
Sie nutzen Google Fonts auf Ihrer Website. Der genutzte Font – hierbei dürfte es sich wohl um den einzigen unbestreitbaren Fakt handeln – wurden nicht lokal eingebunden, sondern wird dynamisch von Google-Servern bezogen. Beim Aufruf Ihrer Website kommt es insofern zu einer direkten Kommunikation zwischen dem Besucher und einem Google-Server. Die technische bedingte Folge dieser Kommunikation ist, dass dem Google-Server die momentane IP-Adresse des Besuchers offenbart wird. Eine Einwilligung des Besuchers zur Weitergabe seiner IP-Adresse an die Google-Fonts-Server wurde nicht erteilt bzw. vielmehr nicht abgefragt.
Der jeweilige „Datenschützer“ behauptet nunmehr, er habe Ihre Website besucht und im Rahmen dieses Besuches die vorgenannte Weitergabe seiner IP-Adresse durch Sichtung des Seitenquelltextes festgestellt, obwohl er hierzu nicht eingewilligt hat. Sehr schwammig deutet er an, dass er aufgrund eben jener Weitergabe an „Gefühlen des Kontrollverlustes“ und einem „individuelles Unwohlsein“ leiden könnte, welches mit seiner Ansicht nach mit einem Schmerzensgeld zu kompensieren wäre.
Ohne nähere oder präzisierende Ausführungen wird abschließend ein Betrag zwischen 140,00 € und 170,00 € gefordert – der Formulierung nach wohl im Vergleichswege angedacht. Die international angehauchter „Datenschützerkombi“ (Yu/Kairis) fordert darüber hinaus gerne noch eine mehr oder minder diffuse Auskunft über die Datenverarbeitung gem. Art. 15 DSGVO. Dennoch ist allen Abmahnungen gemein, dass das finanzielle Interesse des „Datenschützers“ klar im Vordergrund steht – Unterlassungserklärungen werden z.B. überhaupt nicht gefordert.
Es handelt sich um eine inhaltlich stets gleiche und massenhaft verschickte Abmahnung. Sie sind insofern nicht allein. Momentan sehen sich deutschlandweit mehrere tausend Website-Betreiber mit den exakt gleichen Schreiben konfrontiert.
Was hat es damit auf sich? Wieso gerade jetzt?
Der initiale Anstoß für die derzeit rollende „Abmahnwelle“ lässt sich in einer jüngeren Entscheidung des Landgericht München I vermuten – speziell im Endurteil vom 20. Januar 2022 in der Sache 3 O 17493/20.
Das Landgericht München I erkannte eine Verletzung des Rechts auf informationelle Selbstbestimmungen und des Persönlichkeitsrechts, wenn der Inhaber einer Webseite im Rahmen der dynamischen Einbindung von Google Fonts bei Aufruf seiner Webseite durch einen Dritten dessen dynamische IP-Adresse automatisiert und ohne Zustimmung des Dritten an Google weiterleitet. Es läge insbesondere kein Rechtfertigungsgrund für eine solche Weiterleitung vor, da es grundsätzlich möglich sei, Google Fonts lokal einzubinden und insofern die Weitergabe der IP-Adresse ohne Notwendigkeit erfolgt.
Dem Beklagten wurde daraufhin unter Androhung von Ordnungsmittel untersagt, bei einem Aufruf einer von ihm betriebenen Internetseite durch den Kläger dessen IP-Adresse durch Bereitstellung einer Google Fonts dem Google selbst offenzulegen. Darüber hinaus wurde ein Auskunftsanspruch des Klägers gem. Art. 15 DSGVO bejaht und diesem zudem ein Schmerzensgeld gem. § 82 Abs. 1 DSGVO in Höhe von 100,00 € zugesprochen.
Die kursierenden Abmahnschreiben ziehen ihre inhaltliche Begründung einzig und allein aus dieser Entscheidung und zitieren diese auch ausnahmslos. Allerdings bleiben Aspekte außer Betracht bzw. verschwiegen, welche nicht nur einer allgemeinverbindlichen Betrachtungsweise der Entscheidung entgegenstehen, sondern den angedeuteten Schadensersatzanspruch an sich in Frage stellen:
Zuallererst: Es handelt sich um erste, einzige und somit auch einsame deutsche Entscheidung, welche sich mit den datenschutzrechtlichen Implikationen einer dynamischen Einbindung von Google Fonts beschäftigt. Es handelt sich gerade nicht – wie durch die ellenlange Zitation weiterer, jedoch dem Inhalt und Vorwurf nach irrelevanter, Entscheidungen suggeriert – um eine ständige und gefestigte Rechtsprechung, sondern um eine erstinstanzliche Beurteilung eines konkreten Einzelfalls.
Aufmerksamen Leser mit Prozesserfahrung dürfte ferner nicht unentdeckt bleiben, dass sich die Beklagte offenbar – besonders bezüglich des Schmerzensgeldanspruchs – sehr zurückhaltend verteidigt haben muss, da mehrfach grundsätzlich diskutable Tatsachen unstreitig gestellt wurden (vgl. „Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Klägers auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat.“; „Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde […]; „Die Höhe des geltend gemachten Schadensersatzes ist im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung angemessen und wird von der Beklagten auch nicht angegriffen“]. Ein solches Prozessverhalten schont den Kläger hinsichtlich seiner Darlegungs- und Beweislast. Im Ergebnis bekommt er den begehrten Anspruch durch das Gericht einfacher zugesprochen, da sich die Beklagte nicht engagiert verteidigt. Ein solches Prozessgebaren auf der Beklagtenseite ist nicht der Standard und kann in Folge zu atypisch ausfallenden Entscheidungen führen.
Das Landgericht München I sah den Ausschluss von Bagetellschäden bzw. die Notwendigkeit einer Erheblichkeitsschwelle noch als umstritten an (vgl.: „Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, ist umstritten […]“). Diese „Umstrittenheit“ dürfte mit den ausführlichen, vielsagenden Schlussanträgen des Generalanwalts beim EuGH, Herrn Manuel Campis Sánchez-Bordona, vom 06. Oktober 2022 im Verfahren C-300/21 zum Thema „Schadensersatz nach Art. 82 DSGVO“ weitgehend beseitigt sein. Die Kernaussagen in gebotener Kürze:
- Nach Ansicht des Generalanwalts beim EuGH erfordert ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zwingend einen tatsächlich erlittenen Schaden. Eine datenschutzverstoßende Handlung allein ohne kausal erlittenen Schaden soll gerade nicht ausreichen. Auch kann ein Schaden hierbei nicht einfach ohne weiteres aus dem Verstoß selbst heraus vermutet werden. Dies gilt explizit auch für den oftmals angeführten (empfundenen) Kontrollverlust über die eigenen Daten.
- Nach Ansicht des Generalanwalts beim EuGH sieht die DSGVO auch keinen er Höhe nach vom Schaden losgelösten Strafschadensersatz vor. Ein solcher wird auch nicht als primär wünschenswert angesehen. Art. 82 Abs. 1 DSGVO führt folglich nicht einen auf europäischer Ebene angesiedelten Strafschadensersatzanspruch in die Rechtsordnungen der Mitgliedsstaaten ein, welchen das Konzept des Strafschadensersatz fremd ist [Anmerkung: Das deutsche Zivilrecht kennt keinen Strafschadensersatz]. In Konsequenz behandeln diese Mitgliedstaaten den Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO, wie sie jeden anderen zivilrechtlichen Schadensersatzanspruch behandeln. Es verbleibt damit auch bei Art. 82 Abs. 1 DSGVO bei einem auf Ausgleich des faktischen Schadens abzielenden Charakters.
- Nach Ansicht des Generalanwalts beim EuGH ist im Rahmen von Art. 82 DSGVO eine Unterteilung in ersatzfähigen Schaden und bloßer Unannehmlichkeit angezeigt. Zur Abgrenzung ist als unvermeidliche Folge des Lebens in einer Gesellschaft die Überschreitung einer Erheblichkeitsschwelle erforderlich.Eine europarechtliche verbindliche Vorgabe, ab wann diese Schwelle überschritten ist, existiert nicht. Es liegt an den nationalen Gerichten, diese Schwelle auszuarbeiten.
Was bedeutet dies im Ergebnis?
Es ist überaus unwahrscheinlich, dass der in den Abmahnungen angedrohte Schadensersatzanspruch, über welchen sich die „Datenschützer“ vergleichen möchten, dem Grunde nach überhaupt besteht. In Ermangelung eines klar behaupteten, geschweige denn substantiiert dargelegten tatsächlichen Schadens dürfte der Tatbestand von Art. 82 Abs. 1 DSGVO nicht verwirkt sein. Vermutungsregeln, welche die Darlegung und die Beweispflicht für diese Darlegung erleichtern, existieren gerade nicht.
Das angedeutete „subjektive Unwohlsein“ aufgrund Kontrollverlustes über die eigenen Daten durch IP-Adressen-Weitergabe an Google dürfte die Erheblichkeitsschwelle nicht entscheidend in Richtung ersatzfähiger Schaden überschreiten.
All dessen ungeachtet liegt bezüglich des Vorgehens der „Datenschützer“ die Vermutung nahe, dass zum diese zum Aufspüren dynamischer Google-Fonts-Einbindungen auf Websites sogenannte Crawler nutzen, welche das Internet nach entsprechenden Seitenquelltextfragmenten durchsuchen. Der eigentliche abgemahnte Datenschutzverstoß entsteht erst durch den Besuch der Website durch eine nach der DSGVO geschützten natürlichen Person. Der „Besuch“ eines Crawlers, welcher lediglich die potenzielle Möglichkeit eines Datenschutzverstoßes aufzeigt, reicht nicht aus
.Hieraus lässt sich zwingend schließen: Die „Datenschützer“ besuchen – sofern dieser Schritt überhaupt tatsächlich gegangen wird – im vollen Bewusstsein Websites, von denen sie sicheres Wissen haben, dass die dortige Google-Font-Einbindung automatisch und ohne ihre Einwilligung ihre IP-Adresse an Google-Server übertragen wird, um sich selbst in ein „subjektives Unsicherheitsbefinden“ zu versetzen, dessen Verursachung sodann dem Website-Betreiber zur Beanspruchung auf Schmerzensgeld angelastet werden soll.
Bekannt ist auch, dass vorgenanntes Prozedere angesichts der riesigen Zahl an Abmahnungen mehrmals täglich auf verschiedenen Websites gepflegt wird – ohne Berücksichtigung, dass hierdurch letzten Endes dem Google-Server immer wieder dieselbe IP-Adresse übermittelt wird. Es kann daher durch den Besuch weiterer Websites faktisch kein „Mehr“ an Unsicherheitsbefinden erzielt werden, die dynamische IP-Adresse ist dem Google-Server bereits bekannt.
Selbst im Falle eines hypothetisch begründeten Schadensersatzanspruchs würde es sich bei dessen Geltendmachung um einen deutlichen Rechtsmissbrauch handeln, welche diesen zunichtemachen würde.
Es kann daher als nahezu ausgeschlossen angesehen werden, dass auch nur einer der selbsternannten „Datenschützer“ seiner Abmahnung nachgelagert ein gerichtliches Verfahren gegen den Adressaten anstrengen wird.
Handlungsempfehlungen?
Schlussfolgernd können und sollten Sie die in den Abmahnungen formulierten Geldforderungen nicht begleichen, da diese gleich in mehrerlei Hinsicht jeglicher Grundlage entbehren. Nichtsdestotrotz sollte der genutzte Google-Font schnellstmöglich DSGVO-konform auf Ihrer Website implementiert werden, da diese ansonsten Anstoß zu Beschwerden bei und Streitigkeiten mit den Datenschutzaufsichtsbehörden bieten können. Der denkbar einfachste Weg ist hierbei, auf die Konstruktion einer Einwilligungslösung zu verzichten (Möglichkeit der Datenübertragung vor Erteilung der Einwilligung) und stattdessen den genutzten Font tatsächlich lokal einzubinden.
Ein abschließender Aufruf zur Vorsicht
Sofern Sie im Rahmen der Abmahnung mit einem Auskunftsverlangen gem. Art. 15 DSGVO konfrontiert wurden, sollte dieses Verlangen nicht einfach mitsamt der unbegründeten Schmerzensgeldforderung ignoriert werden.
Das Auskunftsrecht nach Art. 15 DSGVO steht nicht im zwingenden Zusammenhang mit einem Datenschutzverstoß, sondern ist ein Recht, welches ein jeder von Datenverarbeitung Betroffene bei Interesse vom für die Datenverarbeitung Verantwortlichen einfordern kann. Eine unrichtige Auskunft oder ein ignoriertes Auskunftsbegehren stellt für sich einen Verstoß gegen die DSGVO dar, welcher seinerseits einen Schadensersatzanspruch nach Art. 82 DSGVO begründen kann und bereits auch schon zu entsprechenden Verurteilungen geführt hat. Im Falle der vorgenannten „Datenschützer“ ließe sich das Auskunftsbegehren mit einem Verweis auf eine Stellung zu missbräuchlichen Zwecken zurückweisen oder mit der Aufforderung, seine Identität als tatsächlich betroffene Person gesichert nachzuweisen beantwortet werden. Wichtig ist hierbei, dass eine Reaktion Ihrerseits binnen Monatsfrist erfolgen muss.
Rechtsanwalt Stephan Germann