Google-Fonts-Abmahnungen – Schadensersatz oder Betrug

Dass die Verwendung von Google-Fonts auf einer Website zu Datenschutzrechtsverletzungen und somit auch zu Schadenersatzansprüchen der Besucher dieser Website führen kann, ist bereits gerichtlich geklärt. Nun ist aber auch ein staatsanwaltschaftliches Ermittlungsverfahren aufgrund von Abmahnungen bekannt geworden, mit denen solche Ansprüche eingefordert wurden. Ändern sich hierdurch in der Praxis die Möglichkeiten gegen Google-Fonts-Abmahnungen vorzugehen? Wann können umgekehrt Datenschutzrechtsverletzungen noch bedenkenlos geltend gemacht werden?

„Die unerlaubte Weitergabe der  dynamischen  IP-Adresse   des  Klägers  durch   die  Beklagte  an   Google  stellt  eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1  BGB   dar“ stellt das Landgericht München I durch Urteil vom 20.01.2022 (Az.: 3 O 17493/20) fest. Die Kanzlei des Verfassers war in diesem Verfahren Prozessvertreter der weitestgehend obsiegenden Klagepartei. Gegenstand des Verfahrens war die Verwendung von „Google Fonts“ auf einer Webseite. Im Ergebnis spricht das Gericht nach Feststellung einer Datenschutzrechtsverletzung dem klagenden Besucher einen Unterlassung- und Auskunftsanspruch sowie immateriellen Schadensersatz in Höhe von 100 € zu.

„Bei Google Fonts handelt es sich um ein Tool, das lizenzfrei von der Firma Google für Webseitenbetreiber zur Verfügung gestellt wird. Internetseiten, die dieses nutzen, übermitteln die Internet Protocol (IP)‑Adresse in der Regel ohne Kenntnis und Einwilligung von Besuchern der Website automatisch an die Firma Google in den USA“. Diese Beschreibung wiederum stammt aus einer Pressemitteilung der Generalstaatsanwaltschaft Berlin vom 21.12.2022. Anlass der Pressemitteilung waren die Vollstreckung unter anderem von Durchsuchungsbeschlüssen in Berlin, Hannover, Ratzeburg und Baden-Baden wegen des Verdachtes des (teils) versuchten Betruges und der (versuchten) Erpressung in mindestens 2.418 Fällen.

Die Verbindung zwischen dem Zusprechen eines – wenn auch eher symbolischen - Schadensersatzes in Höhe von 100 € und einer Maßnahme der Staatsanwaltschaft Berlin, deren Beschreibung fast an die Bekämpfung organisierter Kriminalität erinnert, liegt erkennbar in der Geltendmachung von vergleichbaren Ansprüchen und zwar von Schadenersatzansprüchen infolge einer durch die Verwendung von Google-Fonts verursachten Datenschutzrechtsverletzung.

Wieso also erhält eine Person Schadensersatz und die andere die Aussicht auf eine strafrechtliche Verurteilung? Können die rechtlichen Ansichten über die im Grunde selbe Handlung dermaßen fundamental auseinandergehen? Diese Unterschiede lassen sich am ehesten anhand der zwischen der Rechtsprechung des LG München I und dem Vorgehen der Staatsanwaltschaft Berlin liegenden Entwicklungen verstehen. Während dem Münchner Fall ein Einzelfall-Ereignis zu Grunde lag, welches eine individuelle gerichtliche Verfolgung nach sich zog, setzten die Beschuldigten im Berliner Verfahren offenbar auf eine automatisierte Feststellung und Verfolgung im Sinne von „legal tech“.

Die Entscheidung des LG München I enthält eigentlich wenig Neues und setzt die bundesweit vorherrschende Rechtsprechung auch in vergleichbaren Fällen, wie etwa solche die sich mit der Verwendung von Google-Analytics beschäftigen, konsequent fort. Etwas vereinfacht dargestellt, liegt eine Datenschutzrechtsverletzung vor, weil eine IP-Adresse, welche als personenbezogenes Datum anzusehen ist, infolge der Verwendung von Google-Fonts weitergegeben worden ist, ohne dass hierfür eine Einwilligung oder sonstige datenschutzrechtliche Erlaubnis vorgelegen hat. Inzwischen ermöglicht es Art. 82 Abs.1 DSGVO, aufgrund einer Datenschutzverletzung auch weitergehend immateriellen Schaden geltend zu machen. Über die Voraussetzungen und angemessene Höhe von immateriellem Schadensersatz wegen eines DSGVO-Verstoßes gehen die Ansichten auseinander. Die im Fall des LG München I eingeklagten lediglich 100 € - der Schwerpunkt der Klage lag nicht in der Erlangung von Schadensersatz, sondern der Unterbindung des unzulässigen Verhaltens des Betreibers der gegenständlichen Website – waren jedenfalls aufgrund der geringen Höhe unproblematisch.  

Interessanter als die eher unspektakuläre Entscheidung an sich, waren die daran anschließenden Entwicklungen, welche sich uns als Prozessvertreter der im Münchner Fall obsiegenden Partei zeigten. Anscheinend verursachte die Entscheidung des LG München I nicht nur im Inland, sondern aufgrund der datenschutzrechtlichen Regelungen auf europäischer Ebene durch die Datenschutzgrundverordnung (DSGVO) auch etwa in Österreich, einige Aufmerksamkeit. In der Folgezeit wurde unsere Kanzlei mehrfach unmittelbar oder mittelbar über das Landgericht München I mit Kontaktanfragen oder der Bitte um und weitere Informationen zu dem Verfahren kontaktiert. Bei den Anfragenden handelte es sich um Datenschutzbeauftragte oder Kanzleien, die wohl mit der Abwehr entsprechender Ansprüche betraut waren.

Offenbar wurde das Urteil in einer Vielzahl von Fällen zur Begründung von Schadensersatzforderungen herangezogen. Teilweise scheint einer entsprechenden Geltendmachung die einfache Erwägung zugrunde zu liegen, dass bei einer einzelnen Datenschutzverletzung zwar nur ein geringer Schadensersatzanspruch entsteht, bei ausreichender Anzahl von Verstößen aber doch Einiges zusammenkommt.

In dieses Muster scheinen nun die beschuldigten Personen im Zusammenhang mit den Ermittlungen der Staatsanwaltschaft Berlin zu passen. Laut Pressemitteilung sollen diese wie folgt vorgegangen sein: „Mittels einer eigens dafür programmierten Software sollen sie zunächst Websites identifiziert haben, die Google Fonts nutzen. In einem zweiten Schritt und wieder unter Nutzung einer dafür entwickelten Software sollen Sie Websitebesuche durch den Beschuldigten 41‑jährigen automatisiert vorgenommen, diese letztlich also fingiert haben.“

Was also im Einzelfall zulässig ist, wird strafbar wenn es regelmäßig und automatisiert gemacht wird? Generell gilt das natürlich nicht. Zudem erlauben allein die Ermittlungen natürlich noch nicht, von einer tatsächlichen Verurteilung auszugehen. In dem Fall der Staatsanwaltschaft Berlin sollen nach deren Ansicht Schadensersatzansprüche wohl insbesondere daran gescheitert sein, dass nicht eine Person sondern ein Webcrawler – also ein Programm, das gezielt eine Vielzahl von Websites durchsucht - die entsprechenden Internetseiten aufgerufen hat.

Was für diese Ansicht spricht ist, dass Webcrawler im Gegensatz zu Personen weder dem Schutzbereich des Datenschutzrechts unterfallen, noch immateriellen Schaden erleiden können. Andererseits kann die infolge der Nutzung von Google-Fonts weitergeleitete IP-Adresse dennoch ein personenbezogenes Datum des Inhabers des zum Seitenaufruf genutzten Internetanschlusses sein.  Datenschutzrechtsverletzung und somit auch Schadensersatzansprüche erscheinen daher nicht zwingend auszuscheiden.

In Bezug auf die individuellen Schadensersatzansprüche verbleibt es aber jedenfalls bei der Frage, ob bzw. warum die vermehrte Geltendmachung gleichartiger Ansprüche und/oder automatisierte Feststellung in dem gegebenen Kontext unzulässig sein soll, bzw. wo die Grenze der zulässigen Geltendmachung von datenschutzrechtlichen Schadensersatzansprüchen und der unzulässigen genau verläuft.

Exakt lassen sich diese Fragen nicht beantworten. Eine Differenzierung zwischen den aufgeführten Fällen, könnte unter anderem durch das zivilrechtliche Verständnis des Schadensersatzes als Instrument des Ausgleiches für erlittenen Schaden geboten sein. Die gezielte und sogar automatisierte Suche danach, durch „Erleiden“ einer Datenschutzverletzung einen Schadensersatzanspruch zu erhalten, entsprechen eher der Zielsetzung eines Vermögenszuwachses nicht lediglich eines Ausgleiches. Es scheint insoweit verfehlt, überhaupt von einem Schaden zu sprechen. Das Problem wird dadurch verstärkt, dass es hier wie oft im Bereich des Datenschutzrechts um immateriellen Schaden geht, also solchen der gerade keinen Vermögensschaden darstellt und in der Praxis schwer zu erfassen oder schwer konkret zu benennen ist. So gibt es gerichtliche Entscheidungen zu Art 82 Abs. 1 DSGVO, welche immateriellen Schadensersatz unter Verweis auf einen fehlenden Schaden ablehnen, wenn der immaterielle Schaden lediglich etwa mit Varianten von Unwolhlbefinden über die eigenen Daten begründet worden ist.

Letztlich widersprechen sich die Ansichten des Landgerichts München I und der Staatsanwaltschaft Berlin nicht. Das LG München I hat sich mit einem Einzelfall beschäftigt, Berlin mit einem automatisierten System zur Anspruchsgeltendmachung. In der Einschätzung, dass die Nutzung von Google-Fonts innerhalb einer Website in der Form, dass IP-Adressen der Besucher an Google übermittelt werden, ohne Einwilligung oder sonstige datenschutzrechtliche Rechtfertigung unzulässig ist, scheint Übereinstimmung zu herrschen.

Insoweit sollte sich keine Person, welche im Einzelfall entsprechend gegen den Betreiber einer Website vorgehen möchte, sich durch die dargestellte Entwicklung abhalten lassen. Einzelfälle in diesem Sinne liegen auch bei wiederholter Geltendmachung solcher Ansprüche vor, solange hier nicht eine gewisse Regelmäßigkeit eintritt. Die Geltendmachung von Schadensersatz ist möglich. Sofern ein solcher von Gerichten zugesprochen wird, sind 100 € eher im Bereich der unteren Grenze.

Für die Praxis dürfte das Vorgehen der Staatsanwaltschaft Berlin dennoch von einigem Gewicht sein. Bei den allermeisten Fällen von Google-Fonts Abmahnungen aus dem Jahr 2022 dürfte es sich nicht um Einzelfälle, sondern um systematische Fälle handeln. Hier dürfte mit zunehmender Systematisierung die Wahrscheinlichkeit auf eine gerichtliche Durchsetzbarkeit von Schadensersatzansprüchen abnehmen. Zudem wird mit einer zunehmenden Zurückhaltung von Anspruchstellern zu rechnen sein.

Sofern Sie eine Google-Fonts-Abmahnung erhalten haben, empfiehlt sich dennoch eine individuelle Prüfung durch einen Anwalt jedenfalls dann, wenn neben den in diesem Artikel hauptsächlich behandelten Schadensersatzansprüchen, weitere und im Ergebnis möglicherweise unangenehmere Ansprüche wie Unterlassungsansprüche geltend gemacht werden, also die Abgabe einer strafbewehrten Unterlassungserklärung gefordert wird. Bei leichtfertigem oder unsachgemäßem Umgang mit solchen Unterlassungsansprüchen können erhebliche Risiken durch Vertragsstrafen oder kostspielige Gerichtsverfahren entstehen.