Presse

Die juristische Auseinandersetzung um die dynamische Einbindung von Google Fonts bekommt eine richtungsweisende Bedeutung für Betreiber von Webseiten und die Auslegung der Datenschutz-Grundverordnung (DSGVO). Der Bundesgerichtshof (BGH) hat in einem Verfahren mit dem Aktenzeichen VI ZR 258/24 den Europäischen Gerichtshof (EuGH) um eine verbindliche Vorabentscheidung gebeten. Bis das Luxemburger Gericht seine Sicht klärt, bleibt die Rechtslage in Deutschland für viele Website-Betreiber unsicher.

Im Mittelpunkt steht der technische Ablauf, wenn Google Fonts dynamisch eingebunden werden: Wird die Schriftart von einem Google-Server geladen, überträgt der Browser des Seitenbesuchers dabei seine IP-Adresse an Google in den USA. Diese IP-Datenübermittlung kann nach Auffassung zahlreicher Gerichte ein Datenschutzverstoß sein, wenn sie ohne gültige Einwilligung der Besucher erfolgt.

In dem Streitfall stellte sich zudem ein ungewöhnlicher Sachverhalt dar: Eine Person hatte eine Software entwickelt, die automatisiert Tausende von Webseiten auf diese dynamische Einbindung prüft – und gezielt Websites besucht, nur um die damit verbundene Datenübermittlung zu Google zu erzeugen und anschließend Schadensersatzansprüche geltend zu machen. Diese Verfahrensweise wirft nicht nur Fragen des Datenschutzes, sondern auch des Rechtsmissbrauchs auf.

Um die Rechtslage zu klären, hat der BGH dem EuGH drei Vorabentscheidungsfragen zur Auslegung der DSGVO vorgelegt:

1. Was bedeutet „personenbezogen“ bei dynamischen IP-Adressen?
Die erste Frage betrifft den grundlegenden Begriff der DSGVO: Wann ist eine Information personenbezogen im Sinne des Artikels 4? Reicht es aus, dass ein Dritter – etwa ein Provider – die IP-Adresse einer Person zuordnen könnte, oder muss der Adressat der Daten (hier Google) selbst über die Möglichkeit verfügen, die betroffene Person zu identifizieren?

2. Kann ein immaterieller Schaden entstehen, wenn ein Verstoß bewusst provoziert wurde?
Nach Artikel 82 DSGVO ist ein Anspruch auf Schadenersatz möglich, wenn jemand einen immateriellen Schaden erlitten hat. In der Praxis bedeutet das meist, dass die betroffene Person unfreiwillig die Kontrolle über ihre Daten verliert. Doch was gilt, wenn die Person den Verstoß gezielt herbeiführt, nur um ihn rechtlich verwerten zu können? Diese Frage ist für all diejenigen wichtig, die systematisch Datenschutzverstöße dokumentieren lassen, um daraus Profit zu schlagen.

3. Dient ein Anspruch der DSGVO dem Schutzzweck, wenn er künstlich geschaffen wurde?
Selbst wenn ein formaler Verstoß und ein immaterieller Schaden vorliegen, bleibt die Frage, ob ein Anspruch wegen Rechtsmissbrauchs ausgeschlossen sein kann. Der BGH bittet den EuGH, klarzustellen, ob ein Schadensersatzanspruch verneint werden kann, wenn die Voraussetzungen künstlich geschaffen wurden, um einen finanziellen Vorteil zu erlangen. Entscheidend wäre dabei, ob die Motivation allein finanzieller Gewinn oder nur überwiegend dieser Zweck war.

Die Entscheidung des EuGH wird weit über diesen Einzelfall hinaus Wirkung entfalten. Sollte der EuGH die dynamische IP-Adresse generell als personenbezogen klassifizieren, hätte das Auswirkungen auf viele Dienste, die technisch vergleichbare Datenverarbeitungen vornehmen. Ebenso wichtig ist die Antwort auf die Frage des immateriellen Schadens und des Rechtsmissbrauchs: Können Personen, die Verstöße bewusst produzieren, überhaupt noch Schadensersatz verlangen? Oder ist dies ein Fall von „Abmahnindustrie“, die die DSGVO zu eigenen Zwecken instrumentalisieren will?

Solange der EuGH nicht entschieden hat, bleibt die Rechtslage unklar. Viele Verfahren in Deutschland sind derzeit ausgesetzt. Die Vorlage des BGH zeigt jedoch, dass die höchsten deutschen Richter erhebliche Zweifel an der Zulässigkeit massenhafter Abmahnungen haben, wenn diese auf bewusst provozierten DSGVO-Verstößen beruhen.

Website-Betreiber, die Google Fonts verwenden, sollten ohnehin prüfen, ob sie diese Schriftarten lokal hosten können, um die Übermittlung von IP-Adressen zu vermeiden. Das lokale Hosting eliminiert die datenschutzrechtliche Problematik, die zu diesen juristischen Auseinandersetzungen geführt hat, und lässt sich technisch relativ einfach umsetzen.