Wer als Finanz- und Versicherungsvermittler eine eigene Internetseite betreibt, könnte derzeit unter Umständen wegen Datenschutzverstößen im Zusammenhang mit "Google Fonts" abgemahnt werden. Auf dieses Abmahnverfahren haben sich einige Anwaltskanzleien eingestellt und massenweise Abmahnungen versendet, so Rechtsanwalt Björn Thorben Jöhnke von der Kanzlei Jöhnke & Reichow. Diese sogenannten Abmahnanwälte vertreten Mandanten, die aktiv Internetseiten nach Datenschutzverstößen durchforsten. Was genau das Problem ist und ob eine Abmahnung samt Gebührenforderung im Zusammenhang mit dieser "Geschäftsmasche" rechtmäßig sein könnte oder nicht, erläutert Anwalt Jöhnke im folgenden Originalbeitrag. (jb)


Im Internet betreten die Besucher einer Website die Seiten stets unter Offenbarung ihrer eigenen IP-Adresse, der sogenannten dynamischen IP-Adresse. Die Abmahnung zielt auf eine über diese Offenbarung hinaus erfolgte unerlaubte Weitergabe dieser IP-Adresse an Dritte ab. Die Weitergabe etwa an Google erfolgt aber nur dann, wenn die Programmierung der Website so eingestellt ist, dass diese Daten auch tatsächlich – in den meisten Fällen automatisch – an Drittanbieter übermittelt werden.

Nach dem Abmahnungsinhalt soll die erfolgte Weitergabe der IP-Adresse eine Verletzung des allgemeinen Persönlichkeitsrechts nach Paragraf 823 Absatz 1 Bürgerliches Gesetzbuch (BGB) darstellen. Wenn dem so wäre, stünde ein Schadensersatzanspruch des Betroffenen im Raum. Das Recht auf informationelle Selbstbestimmung schützt die Entscheidungsfreiheit des Einzelnen, über die Weitergabe und Verwendung seiner personenbezogenen Daten selbst zu verfügen oder zu entscheiden.

Geschützte persönliche IP-Adresse
Eine Verletzung des allgemeinen Persönlichkeitsrechts kann dann erfolgt sein, wenn die persönliche IP-Adresse ein geschütztes Datum darstellt. Diese Abmahnmöglichkeit wurde im Wesentlichen durch den Europäischen Gerichtshof (EuGH) und den Bundesgerichtshof (BGH) und deren Rechtsprechung zu IP-Adressen ermöglicht (EuGH, Urteil vom 19.10.2016 – C‑582/14, und BGH, Urteil vom 16.5.2017 – Az. VI ZR 135/13). Nach Ansicht der vorgenannten Gerichte gibt die IP-Adresse in personenbezogener Weise Aufschluss darüber, dass zu bestimmten Zeiten eine bestimmte Seite abgerufen wurde. Zudem ist die Identität der Person hinter der IP-Adresse feststellbar. Demnach ist die IP-Adresse ein personenbezogenes Datum gemäß Artikel 4 Nummer 1 Datenschutzgrundverordnung (DSGVO).

Mithin wäre jedwede Weitergabe ohne Einwilligung eine Verletzung der informationellen Selbstbestimmung und somit des allgemeinen Persönlichkeitsrechts. Dieser Einschätzung folgte auch das Landgericht (LG) München und bestätigte damit einen Datenschutzverstoß (LG München, Urt. v. 20.01.2022 – 3 O 17493/20) im Zusammenhang mit "Google Fonts", nämlich durch die Weitergabe der IP-Adresse an Google ohne Einwilligung des Webseitennutzers.

Das Problem: Die Gestaltung der Internetseite
Es ist üblich und nicht ohne Weiteres ein Verstoß, dass die IP-Adresse des Besuchers für den Betreiber offenbart und hinterlegt wird. Allerdings nutzen viele Websites vorgefertigte Skripte, die bestimmte Funktionen von Drittanbietern beziehen. Prominentes Beispiel sind die "Google Fonts", welche die Nutzung und Darstellung von Schriftarten auf der eigenen Webseite ermöglichen. Bei entsprechender Gestaltung oder Programmierung der Internetseite werden die IP-Adressen der Besucher automatisch an Google weitergeleitet, sodass die Schriftarten von Google-Servern auf die Webseite geladen werden können.

Diese Weitergabe der IP-Adresse als personenbezogenes Datum (siehe oben) ist damit das "Einfallstor" und stellt aktuell das Kerngeschäft einiger Abmahnanwälte dar. Schlechterdings ist die Abmahnung einer – auch durch den Webseiteninhaber unbewussten – Weitergabe von IP-Adressen jedoch häufig sogar rechtmäßig. Dieses ist natürlich immer einer Prüfung des Einzelfalls vorbehalten, jedoch lässt sich sehr häufig ein Datenschutzverstoß im Ergebnis bejahen. In diesen Fällen müsste so dann noch weiter geprüft werden, ob die Abmahnung an sich nicht schon Formfehlern unterliegt, da der Gesetzgeber mittlerweile hohe Anforderungen an das Aussprechen von Abmahnungen gestellt hat. Auch sollte ein etwaiger Schadenersatzanspruch dem Grunde und der Höhe nach begründet werden. Die reine Erwähnung in der Abmahnung, dass ein solcher Anspruch einfach besteht, reicht nicht aus. 

Handlungsempfehlung für Webseitenbetreiber
Vordergründig sollte die Rechtsprechung des EuGH und des BGH die Datenschutzinteressen der Bürger stärken. Mittlerweile hat sich hieraus aber ein strukturelles Abmahngeschäft entwickelt. Es empfiehlt sich zwingend, die eigene Internetpräsenz datenschutzrechtlich zu überprüfen und sicher zu gestalten, aus aktuellem Anlass. Ebenfalls sollte auf die Weitergabe von IP-Adressen und sonstigen Daten an Drittanbieter gänzlich verzichtet werden. Technisch gesehen gibt es auch Möglichkeiten, etwaige Schriftarten auf lokalen Servern zu speichern, sodass eine Datenweitergabe nicht mehr notwendig ist.

Wurden also tatsächlich Services von Drittanbietern genutzt und gelangt hierdurch die IP-Adresse eines Besuchers an einen Drittanbieter, kann es angebracht sein in den "sauren Apfel zu beißen", die Abmahnung "zu erledigen" und sich dem eigentlichen Kerngeschäft in Zukunft datenschutzoptimiert zu widmen. Letztlich kann die Abmahnung im Einzelfall im Einklang mit der EuGH- und BGH-Rechtsprechung stehen und damit rechtmäßig sein. Jedoch sollte eine Abmahnung stets im Einzelfall juristisch überprüft werden und gesetzte Fristen zwingend eingehalten werden. Denn es sind nicht nur rechtmäßige Abmahnungen "im Umlauf", sondern auch unrechtmäßige. Und genau dieses sollte immer im Einzelfall geprüft werden, bevor möglicherweise unberechtigte Forderungen erfüllt werden. Für Unternehmer, die eine eigene Webseite betreiben, besteht also zwingend Handlungsbedarf, aus gegebenem Anlass.