Neuer Wind im Datenschutz durch Abmahnwellen?

ZD 2023, 1     Als vor 10 Jahren in Deutschland die Stiftung Datenschutz gegründet wurde, erhoffte man sich wirtschaftsimmanentere und damit effizientere Mittel im Datenschutz. Bisher hat selbst der hohe Bußgeldrahmen der DS-GVO in der Breite noch nicht dazu geführt, dass für Unternehmen die Einhaltung von Datenschutz ein Umsatz- und Gewinnfaktor ist. Im Gegenteil: Die EU-Unternehmen, die „Schrems II“ ernst nehmen und zB auf Google-Werbeprodukte verzichten, sehen sich im Online-Marketing abgehängt. Ursachen sind Netzwerkeffekte im Bereich der großen Werbeplattformen und ein Mangel an konkurrenzfähigen, datenschutzkonformen EU-Anbietern. Selbst konsequentere Durchsetzung der EU-Datenschutzbehörden und das Drohpotenzial sehr erfolgreicher Datenschutzaktivisten konnten bisher nur langsam und partiell einen Umschwung einleiten, der vermutlich durch einen (sehnlichst erhofften) Angemessenheitsbeschluss für die USA wieder gebremst wird.

Seit 2020 deutete sich eine Gezeitenwende an, indem die Datensouveränität des Einzelnen zunehmend auch durch Kartellbehörden und Verbraucherverbände geschützt wird. Im April 2022 hat der EuGH (ZD 2022, 384 mAnm Hense) das Verbandsklagerecht im Datenschutz gestärkt. Das Sanktionsregime der DS-GVO ist nicht abschließend; eine Abmahnfähigkeit nach UWG, UKlaG etwa durch Verbraucherverbände ist auch ohne Auftrag von betroffenen Personen möglich. Mit Beschl. v. 10.11.2022 hat der BGH (I ZR 186/17) in Sachen Facebook App-Zentrum erneut das Verfahren ausgesetzt und dem EuGH die Frage vorgelegt: Wann wird eine Rechtsverletzung „infolge einer Verarbeitung“ iSv Art. 80 Abs. 2 DS-GVO geltend gemacht; fällt etwa ein Verstoß gegen Art. 13 DS-GVO darunter?

Das erinnert an die Frage, welche Datenschutzvorschriften Marktverhaltensregeln sind - eine Diskussion, die lange das wettbewerbsrechtliche Instrumentarium im Datenschutz blockiert hat. Wenn der EuGH (C-252/21) den Schlussanträgen des Generalanwalts v. 20.9.2022 folgt, bekommen die Datenschutzbehörden weitere Schützenhilfe, weil auch Kartellbehörden Datenschutz inzident prüfen dürfen. Seit Januar 2021 verfolgt das BKartA auf Basis von § 19a GWB eine klare Strategie, die digitalen Gatekeeper in Schach zu halten und die EU-Kommission setzt große Hoffnungen auf den Digital Markets Act und den Data Act.

Doch all diese Maßnahmen sind nicht mit dem Tsunami vergleichbar, der mit der Google-Fonts-Abmahnwelle seit Mitte 2022 über Deutschland und Österreich hereinbrach. Die Anzahl der Forderungsschreiben soll sich bereits im siebenstelligen Bereich bewegen. In manchen „Abmahnschreiben“ wird nur Schadensersatz geltend gemacht (idR zwischen 150 und 300 EUR), in anderen auch Unterlassung (aber nicht Abgabe einer strafbewehrten Unterlassungserklärung) sowie Betroffenen-rechte (Löschung und Auskunft).

Die ersten Praxishinweise veröffentlichte die ÖDSB am 23.8.2022 und wies darauf hin, dass sie für Schadensersatzklagen und Beratung der Webseiten-Betreiber, ob sie Geldforderungen zahlen sollen, nicht zuständig ist. Gleichwohl lieferte die Aufsichtsbehörde eine Anleitung zur datenschutzkonformen Einbindung von Google Fonts. Auch IHKs, der Deutsche Schutzverband gegen Wirtschaftskriminalität e.V. und andere Stellen veröffentlichen Empfehlungen und Pressemitteilungen zur Abmahnwelle und verweisen u.a. auf Software-Tools wie Google-Fonts-Checker, um die eigene Webseite zu prüfen und sich vor Angriffen der Abmahner zu schützen.

Üblicherweise enthalten die anwaltlichen Abmahnschreiben hinsichtlich der Höhe des geforderten „Schmerzensgelds“ Verweise auf Urteile. Eine Entscheidung des LG München I v. 20.1.2022 (ZD 2022, 290 mAnm Fischer) zur Einbindung von Google Fonts auf Webseiten war wohl der Anstoß für die bisher größte Abmahnwelle im Datenschutzrecht. Das LG München I kam zu dem Ergebnis, dass die Einbindung von Google-Schriftarten einen Verstoß gegen das Datenschutzrecht darstellt und dem Webseiten-Besucher deswegen ein Schadensersatz zusteht. Die Entscheidung ist nicht unumstritten sowohl im Hinblick auf den Sachverhalt als auch in materieller und prozessualer Hinsicht. Das zeigt auch das am selben Tag ergangene Urteil des LG Wiesbaden (ZD 2022, 238 mAnm Nink).

Das LG Wiesbaden hatte eine „Schrems II“-Klage wegen Einsatz von 17 Drittland-Tools auf einer Webseite (davon 5 Google-Tools und drei Schriften-Tools, inkl. Google Fonts) abgewiesen. Insbesondere kenne nach Ansicht des LG Wiesbaden die DS-GVO keinen Unterlassungsanspruch nach § 1004 BGB analog und die vom Kläger vorgetragene Datenverarbeitung, vor allem der allgemeine Begriff „IP-Adresse“ sei zu unbestimmt. Außerdem habe der Kläger schon nicht schlüssig darlegen können, dass seine Daten überhaupt von den Drittanbietern verarbeitet wurden.

Anspruchsteller tragen für den behaupteten Verstoß gegen die DS-GVO die Darlegungs- und Beweislast. Weder ein Screenshot des Seitenquelltexts noch die Angabe der IP-Adresse mit Datum und Uhrzeit des Webseiten-Besuchs belegen einen Verstoß. Ein Screenshot der Webseite belegt allenfalls, dass Google Fonts eingebettet wurde. Es wird jedoch nicht belegt, dass tatsächlich eine Verbindung zum Google-Server aufgebaut wurde. Denkbar ist, dass der Code fehlerhaft im Quellcode eingebunden war oder der Nutzer durch Einstellungen im Browser, in Plugins oder der Firewall eine Verbindung zu Google-Servern blockiert hat. Selbst die Ergebnisse einer Netzwerkanalyse sind als Nachweis im gerichtlichen Verfahren ungeeignet, da die Konfiguration des verwendeten Endgeräts und der Software zum Zeitpunkt des Webseiten-Besuchs nicht in nachvollziehbarer Weise dokumentiert sind und Manipulationen nicht ausgeschlossen werden können.

Webseiten-Betreiber können Google Fonts selbst hosten, dh die Schriftarten werden zunächst von Google-Servern heruntergeladen und anschließend auf den eigenen Webservern hochgeladen. In diesem Fall werden keine Daten des Nutzers an Google-Server gesendet. Dies gilt jedoch nur, solange der Webseiten-Betreiber keine weiteren Google-Dienste wie zB Google Maps oder reCAPTCHA einbettet, denn auch diese Dienste laden Schriftarten von Google-Servern nach. Werden die Schriftarten nicht selbst gehostet und besucht ein Nutzer eine Webseite, in der Schriftarten eingebettet sind, sendet der Browser einen HTTP-Request an Google-Server. Der HTTP-Request enthält neben dem HTTP-Header auch die IP-Adresse des Nutzers. Die IP-Adresse ist für das Laden der Schriftarten technisch notwendig, da die Daten über das Internet zwischen dem Client, dem Nutzer und dem angefragten Server übertragen werden. Google stellt in seinen FAQ zu Google Fonts (Stand: 15.11.2022) klar, dass die IP-Adressen weder auf den Google-Servern gespeichert noch anderweitig verarbeitet werden. Erst recht werden keine Nutzerprofile erstellt.

Das LG München I hatte hingegen in seiner Entscheidung angenommen, dass Google „bekanntermaßen Daten über seine Nutzer sammelt“. Selbst wenn das so wäre, stellt sich die Frage, warum und inwieweit der Webseiten-Betreiber, der die Google-Schriften einsetzt, dafür verantwortlich sein soll. Google sieht seine datenschutzrechtliche Rolle (vgl. Abschnitt 2. i. der für Google Fonts API Terms of Service - ToS, Stand: 9.11.2022) als allein Verantwortlicher und verlinkt in den ToS die „Google Controller-Controller Data Protection Terms“, die wiederum auf EU-Standardvertragsklauseln für Drittlandübermittlung (2021) im Modul Controller-to-Controller verweisen. Vertragspartner des Webseiten-Betreibers laut der ToS ist Google LLC. Wenn ein drittländischer Verantwortlicher Daten direkt beim Internetnutzer erhebt, ist bereits fraglich, ob eine Übermittlung iSv Kapitel V DS-GVO vorliegt (s. EDSA, Guidelines 5/2021, Rn. 12). Unbestritten veranlasst der Webseiten-Betreiber durch die Einbindung von Google Fonts die weitergehende Datenverarbeitung durch Google. Gleichwohl ist es der Nutzer, der auf Grund des Internetprotokolls die ihm zugeordnete IP-Adresse sendet, nicht hingegen der Webseiten-Betreiber, wie es das LG München I in seiner Entscheidung annimmt. Ein Verstoß des Webseiten-Betreibers kann daher nicht in jedem Fall angenommen werden.

Das LG München I kam zu dem Ergebnis, dass der Kläger durch die rechtswidrige Übermittlung der IP-Adresse die Kontrolle über seine personenbezogenen Daten an Google verloren habe. Das dadurch „empfundene individuelle Unwohlsein“ sei so erheblich, dass dies einen Schadensersatzanspruch iHv 100 EUR rechtfertige. Diese Begründung ist pauschal und sollte kritisch hinterfragt werden. Gerichte haben bei schwerwiegenden Verstößen wie der unbefugten Veröffentlichung von Gesundheitsdaten einen Schadensersatz bejaht. Bei Art. 82 DS-GVO gilt ein weites Schadensverständnis. Allerdings bedeutet dies nicht, dass - wie offenbar das LG München I meint - jeder Datenschutzverstoß automatisch einen ersatzfähigen (immateriellen) Schaden zur Folge hat. Ein Schaden muss vielmehr auch tatsächlich entstanden sein. Dies folgt u.a. aus Erwägungsgrund 146 S. 6 DS-GVO, wonach der Schaden tatsächlich „erlitten“ sein muss. Auch dafür trägt der Geschädigte die Darlegungs- und Beweislast.

Das LAG Baden-Württemberg (ZD 2021, 436) hatte die Gefahr eines Missbrauchs durch US-Behörden und den Kontrollverlust der betroffenen Person potenziell als Schaden gesehen. Der Generalanwalt hat in seinen Schlussanträgen v. 6.10.22 (ZD 2023, 34 (Ls.) mAnm Schumacher/Stegemann - in diesem Heft) ausgeführt, dass Art. 82 DS-GVO keinen Strafcharakter habe. Aus Sicht des Generalanwalts ist bloßer Ärger nicht ersatzfähig, dagegen ein „subjektives Unmutsgefühl“ im Einzelfall schon.

In den anwaltlichen „Abmahnschreiben“ zu Google Fonts wird auch Löschung und Auskunft über die verarbeiteten Daten verlangt. Das setzt die Empfänger dieser Schreiben unter Druck zu reagieren. Es spricht einiges dafür, dass die Geltendmachung der Betroffenenrechte ebenso wie Schadensersatzforderung rechtsmissbräuchlich ist (§ 242 BGB, § 8a UWG), aber Rechtsprechung dazu gibt es bisher kaum. Die DS-GVO regelt in Art. 12 Abs. 5 S. 2 lit. b DS-GVO, dass der Verantwortliche in Fällen von offensichtlich unbegründeten oder exzessiven Anträgen die Anfrage verweigern kann. Gleichwohl muss der Verantwortliche dem Anfragenden spätestens innerhalb eines Monats mitteilen, aus welchen Gründen er die Betroffenenanfrage nicht beantwortet (EDSA, Guidelines 01/2022 v. 28.1.2022). Verantwortliche sollten mit der Zurückweisung des Auskunftsersuchens zurückhaltend umgehen, denn auch dies ist Gegenstand eines Vorabentscheidungsverfahrens (EuGH C-154/21). In jedem Fall sollte die Originalvollmacht angefordert werden. Wird diese nicht vorgelegt, kann die Betroffenenanfrage zurückgewiesen werden (OLG Stuttgart ZD 2021, 375).

Mittlerweile wurden mehrere Strafanzeigen gegen die Abmahnanwälte erstattet und einstweilige Verfügungen erzielt. Solche Aktionen wie die Google-Fonts-Abmahnwelle stärken das Datenschutzrecht wenig, schaden jedoch dem Berufsstand erheblich. Das einzig Gute, das man der Abmahnwelle abgewinnen kann, ist eine flächendeckende Sensibilisierung in puncto Datenschutz.