Wie wir bereits in der Vergangenheit berichteten (vgl. hier und hier), gab es in diesem Jahr die erste große „DSGVO-Abmahnwelle“ vor dem Hintergrund des Urteils des Landgericht München I Urteil vom 20.01.2022 – Az. 3 O 17493/20 hinsichtlich der fehlerhaften Einbindung von Google Fonts. Neben einer Schadensersatzforderung sollten Empfänger zudem eine Unterlassungserklärung für die Nutzung der Google Fonts abgeben und die Anwaltsgebühren zahlen – meist in Höhe von 367,23 Euro.
Wie stellt sich der rechtliche Hintergrund dar und was muss ein Webseitenbetreiber bei der Einbindung zwingend beachten?
Bei einer dynamischen Einbindung von Technologien wie Google Fonts kann eine Verbindung zu Google-Servern in den USA aufgebaut und unter anderem die IP-Adresse des Besuchers übermittelt werden. Diese Verarbeitung erfordert grundsätzlich eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG des Betroffenen.
Müssen Webseitenbetreiber in der Zukunft mit weiteren Abmahnwellen vor dem Hintergrund eines DSGVO-Verstoßes rechnen?
Bevor ein Gericht nicht dazu urteilt, ob solche Arten von Abmahnungen, die offensichtlich im Vordergrund nicht den Datenschutz, sondern die Zahlungen der Abgemahnten haben, kann jedenfalls die Einwendung des sogenannten Rechtsmissbrauchs geltend gemacht werden.
Rechtsmissbräuchlich erscheinen verschiedene Abmahnungen gleich vor mehreren Hintergründen. Es erscheint zumindest fraglich, ob die in den Abmahnungen benannten natürlichen Personen, auch tatsächlich geschädigte Personen im Sinne des Schadensersatzanspruches sind. Deutlich wahrscheinlicher ist hier der Einsatz von Crawlern, da meist anhand des Time-Stamps auf den Webseiten zu erkennen ist, dass in Sekundenbruchteilen nicht mehrere Websites durch die gleiche Person besucht worden sein können. Sollten vermehrt unbegründete Abmahnungen bei verschiedenen Unternehmen eingehen, ist es leichter von einem rechtsmissbräuchlichen Handeln auszugehen, da die vermeintlich Betroffenen die Websites wohl vorsätzlich angesteuert haben dürften.
Ob andere Gerichte sich außerdem der Rechtsauffassung des LG München I anschließen und neben dem Rechtsverstoß gegen die DSGVO als solchen einen Schadensersatzanspruch in Höhe von 100 Euro aufgrund eines unzulässigen Eingriffs in das allgemeine Persönlichkeitsrecht wegen „individuellen Unwohlseins“ oder „Kontrollverlusts“, nach Besuch einer Seite annehmen, bleibt außerdem fraglich. Die Frage, welche Intensität ein solcher Eingriff haben muss, um ein Schmerzensgeld auszulösen, ist tatsächlich hoch umstritten.
Aktuelle Entwicklungen
Die Berliner Staatsanwaltschaft hat ein Verfahren gegen einen Berliner Rechtsanwalt und seinen Mandanten, den angeblichen Repräsentanten der „IG Datenschutz“, eingeleitet. Ihnen wird Abmahnbetrug und Erpressung in mindestens 2.418 Fällen vorgeworfen. Am 21.12. wurden im Auftrag der Staatsanwaltschaft Durchsuchungen in Berlin, Hannover, Ratzeburg und Baden-Württemberg durchgeführt. Die Strafverfolgungsbehörden werfen den Beschuldigten vor „…bundesweit Privatpersonen und Kleingewerbetreibende, die auf Ihren Homepages sog. „Google Fonts“ – ein interaktives Verzeichnis mit über 1.400 Schriftarten, die das Schriftbild einer Webseite bestimmen – eingesetzt haben, per Anwaltsschreiben abgemahnt zu haben. Zugleich wurde diesen angeboten, ein Zivilverfahren gegen Zahlung einer Vergleichssumme in Höhe von jeweils 170 Euro vermeiden zu können. Dass die behaupteten Schmerzensgeldforderungen wegen Verletzung des Rechts auf informationelle Selbstbestimmung nicht bestanden, soll den Beschuldigten dabei bewusst gewesen sein. Entsprechend sollen sie auch gewusst haben, dass für die Angeschriebenen kein Anlass für einen entsprechenden Vergleich bestand, da sie die angeblichen Forderungen gerichtlich nicht hätten durchsetzen können. Die Androhung eines Gerichtsverfahrens soll daher tatsächlich nur mit dem Ziel erfolgt sein, die Vergleichsbereitschaft zu wecken.“ (siehe hier).
Was könnten weitere Technologien sein, die zukünftig in den Fokus von Abmahnkanzleien gelangen könnten?
Webseitenbetreiber sollten also dringend darauf achten Technologien oder Services, wie die von Google (reCAPTCHA, Google Maps) oder auch sozialen Netzwerken, wie Meta datenschutzkonform einzubinden.
Bei dem Einsatz von Captcha-Diensten wie Googles reCAPTCHA wird das Verhalten der Nutzer analysiert, um zu gewährleisten, dass es sich bei dem Nutzer einer Website um einen Menschen und nicht um einen sogenannten Bot handelt. Hierfür wird u. a. auf bereits installierte Google-Cookies und bisherige Browser Interaktionen zurückgegriffen. Um dieses Verhalten auch bewerten zu können, werden zudem personenbezogene Daten wie die IP-Adresse des Websitebesuchers oder die Referrer URL zur Auswertung an Google weitergeleitet.
Ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO an der Einbindung der genannten Technologien könnte in dem Schutz vor Bot-Angriffen und vollen Spam Ordnern begründet werden. Gegen ein berechtigtes Interesse spricht jedoch, dass es wohl datenschutzfreundlichere Alternativen gibt, da ungewiss ist, was Google mit den erhobenen Daten im Anschluss macht.
Das Gleiche gilt für die Einbindung von Kartendiensten, wie Google Maps oder Pixel von Social-Media-Diensten.
Die Einholung einer Einwilligung des Betroffenen zu einer Nutzung der Services mittels eines Consent-Tools bleibt daher oft die einzig rechtssichere Möglichkeit.