LG MÜNCHEN I ZUR NUTZUNG VON GOOGLE FONTS

In unserem Blog-Beitrag „Analyse, Karten, Schriftarten & Co. – Datenschutz bei Internetseiten“ haben wir bereits im Februar des vergangenen Jahres auf die datenschutzrechtlichen Besonderheiten bei der Implementierung von Drittinhalten auf der Internetseite betrachtet. In diesem Zusammenhang empfahlen wir die Installation von Webschriftarten auf den Servern der verantwortlichen Stelle. Mit Urteil vom 20. Januar 2022 hat das LG München I (Az. 3 O 17493/20) nun entschieden, dass die dynamische Einbindung von Google Fonts nicht auf das berechtigte Interesse der verantwortlichen Stelle gestützt werden kann.


WAS SIND WEBSCHRIFTARTEN UND GOOGLE FONTS?

Internetseiten stellen neben Präsenzen in sozialen Netzwerken zunehmend eines der wichtigsten Kommunikationskanäle von Unternehmen und Behörden dar. Dementsprechend ist das Bedürfnis groß, die Elemente der Internetseite an die Corporate Identity des Unternehmens anzupassen sowie durch die Nutzung besonderer Schriftarten den Wiedererkennungswert zu erhöhen. Verschiedene Anbieter stellen hierfür umfangreiche Bibliotheken an Webschriftarten, meist zur kostenfreien Nutzung, zur Verfügung. Einer der am meist verbreitetsten Anbieter in diesem Bereich ist Google mit dem Produkt „Google Fonts“.


WIESO IST DAS DATENSCHUTZRECHTLICH RELEVANT?

In der Regel können derartige Schriftarten über zwei verschiedene Varianten auf einer Internetseite implementiert werden: Zu unterscheiden ist zwischen der Installation der Webschriftarten auf den Server der verantwortlichen Stelle („statisch“) und dem permanenten Abruf der Webschriftarten über die Server des Anbieters der Webschriftarten („dynamisch“).

Während bei der Einbindung der Webschriftarten über die Server der verantwortlichen Stelle keine datenschutzrechtlichen Besonderheiten zu beachten sind, sieht das bei einem Abruf über die Server des jeweiligen Anbieters anders aus: Rufen Nutzende eine Internetseite auf, welche über eine dynamische Implementierung von Webschriftarten verfügt, erfolgt zugleich ein Verweis auf die Bibliothek des jeweiligen Anbieters. Hierbei erfolgt eine Übermittlung personenbezogener Daten, zum Beispiel in Form von IP-Adressen. Oftmals ist damit automatisch eine Verarbeitung der personenbezogenen Daten in datenschutzrechtlichen Drittländern verbunden. So beispielsweise auch bei der Nutzung von Google Fonts. Zwar verfügt Google ebenfalls über Server innerhalb der Europäischen Union, jedoch kann grundsätzlich eine weltweite Datenverarbeitung nicht ausgeschlossen werden. Eine solche unterliegt stets den speziellen datenschutzrechtlichen Vorschriften des Kapitel V der Datenschutz-Grundverordnung (DS-GVO).


WAS HAT DAS GERICHT ENTSCHIEDEN?

Im Rahmen des benannten Verfahrens beanstandete der Kläger die dynamische Nutzung von Google Fonts sowie die hierbei stattfindende Übermittlung personenbezogener Daten ohne Einwilligung der jeweiligen Nutzenden. Die beklagte verantwortliche Stelle stützte die Einbindung von Google Fonts und die diesbezügliche Datenverarbeitung auf die Rechtsgrundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO. Das Gericht stellte diesbezüglich eine unerlaubte Weitergabe der IP-Adresse des Klägers und mithin eine Verletzung des Rechts auf informationelle Selbstbestimmung fest. Nach Ansicht des Gerichtes könne die dargestellte Datenverarbeitung nicht auf die Rechtsgrundlage des berechtigten Interesses gestützt werden, da eine Nutzung von Webschriftarten auch ohne Übermittlung personenbezogener Daten möglich sei.

Weiterhin steht dem Kläger ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Dies gilt insbesondere vor dem Hintergrund des Kontrollverlustes des Klägers über seine personenbezogenen Daten sowie die Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Für das Gericht erscheint der geltend gemachte Schadensersatz von 100 € für angemessen. Die beklagte verantwortliche Stelle hat darüber hinaus  zukünftig vergleichbare Datenverarbeitungen zu unterlassen. Zuwiderhandlungen können mit einem Ordnungsgeld von bis zu 250.000 €, ersatzweise mit Ordnungshaft bis zu sechs Monaten geahndet werden.


EMPFEHLUNGEN FÜR DIE PRAXIS

Verantwortlichen Stellen ist anzuraten sämtliche Internetseiten auf den Einsatz von Webschriftarten und vergleichbaren Diensten von Drittanbietern (z.B. Content Delivery Networks, kurz: CDN) zu untersuchen. Zu empfehlen ist dabei grundsätzlich die Implementierung dieser Dienste und Elemente auf den Servern der verantwortlichen Stelle.

Die Nutzung der Rechtsgrundlage der Einwilligung kann für die benannten Datenverarbeitungen nicht empfohlen werden: Findet bei der jeweiligen Verarbeitungstätigkeit eine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland statt, richtet sich diese Verarbeitung nach Kapitel V der DS-GVO. Dabei kann zwar ebenfalls eine Einwilligung nach Art. 49 Abs. 1 Satz 1 lit. a) DS-GVO herangezogen werden, jedoch ausschließlich im Ausnahmefall. Ein solcher Ausnahmefall ist im Rahmen regelmäßig wiederkehrender Datenverarbeitungen für eine Vielzahl von Nutzenden jedoch nach Auffassung der Aufsichtsbehörden grundsätzlich zu verneinen.

Sofern Unsicherheiten in der Anwendung des Gerichtsurteils oder in der weiteren Handhabung der datenschutzrechtlichen Vorschriften im Zusammenhang mit der Internetseite bestehen, empfehlen wir die Kontaktaufnahme mit Ihrem Datenschutzbeauftragten. Gern hilft Ihnen in diesen Fällen auch das DID Dresdner Institut für Datenschutz weiter.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.


TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Auch das neue Jahr wollen wir nutzen, um möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 08. Februar 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Drittlandübermittlung
  • Internetseite
  • Schadenersatz
  • Urteil
  • Webschriftarten
Lesen

AUSKUNFTS- UND SCHADENERSATZANSPRUCH NACH BEENDIGUNG EINES ANWALTSVERTRAGES

In seinem Urteil vom 1.7.2021 (Az.: 15 O 372/20 – Urteil ist bisher noch nicht frei zugänglich) hat sich das Landgericht (LG) Bonn mit dem für Berufsgeheimnisträger praxisrelevanten Auskunftsanspruch samt Herausgabe einer Kopie der Handakte gemäß Art. 15 DS-GVO befasst. Der nachfolgende Beitrag beschäftigt sich mit dem konkreten Sachverhalt des Urteils sowie der Entscheidung des Gerichts und die damit verbundene Auswirkung für die Praxis.


WORUM GEHT ES IN DEM URTEIL?

Ursprünglich wurde die Rechtsanwaltskanzlei für die Mandantin in einer Verkehrsunfallsstreitigkeit sowie einer Schadenssache tätig. Nachdem das Mandat gekündigt wurde, forderte die Mandantin die Kanzlei zur Erteilung einer vollständigen Datenauskunft einschließlich einer Kopie der Handakte auf. Durch den neuen Prozessbevollmächtigten wurden schließlich gerichtlich u.a. Ansprüche auf Auskunft und Kopie sowie Schmerzensgeld geltend gemacht. Ihr diesbezüglicher Anspruch sei bisher nicht vollständig erfüllt worden, weil Angaben zum „Mandatskonto“ und zur bisher erfolgten Kommunikation mittels E-Mail und WhatsApp fehlten. Zudem fehlten Angaben zum Bürorechner und zu der Frage, ob Daten an den mit dem Anwalt in Bürogemeinschaft gemeinsam tätigen Kollegen weitergegeben worden seien, weil dieser die gleiche Telefaxnummer nutze.


WAS WURDE KONKRET ENTSCHIEDEN?

Das Gericht führt aus, dass nach Art. 15 DS-GVO jede betroffene Person, nach Art. 4 Nr. 1 DS-GVO also jede durch personenbezogene Daten identifizierbare oder identifizierte Person, das Recht hat, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie u.a. ein Recht auf Auskunft über diese personenbezogenen Daten. Der Begriff der „personenbezogenen Daten“ ist weit gefasst und umfasst nach der Legaldefinition in Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Das Landgericht Bonn folgt insoweit der Rechtsprechung des OLG Köln (Urt. v. 26.7.2019 – Az.: 20 U 75/18), die den Umfang der Datenauskunft grundsätzlich weit fast. Hierunter fallen demnach u.a. auch die Angaben aus dem Mandatskonto und die betreffende elektronische Kommunikation.

Das Urteil des LG Bonn steht insoweit im Einklang mit der Entscheidung des Bundesgerichtshofes (BGH) (Urt. v.  15.6.2021 – Az.: VI ZR 576/19). Auch der BGH geht im Einklang mit der Rechtsprechung des Europäischen Gerichtshof (EuGH) von einem sehr weiten Verständnis des Begriffes der personenbezogenen Daten aus und lässt insoweit auf der Tatbestandsebene des Art. 15 DS-GVO keine teleologische Reduktion des Anwendungsbereiches zu. Konkret sieht der BGH vom Auskunftsanspruch u.a. Korrespondenz zwischen den Parteien, interne (Akten-)Vermerke und Kommunikation umfasst. Außerdem sei der Auskunftsanspruch nicht bereits deshalb ausgeschlossen, weil die Daten dem Vertragspartner bereits bekannt sein.


IST DIE VERSPÄTETE AUSKUNFT DANN SCHADENERSATZPFLICHTIG?

Dieser Frage erteilt das Landgericht Bonn eine Absage. Es konstatiert, dass der Klägerin aufgrund der nach acht Monaten ersteilten Datenauskunft kein Anspruch auf Schadenersatz in Form eines Schmerzensgeldes aus Art. 82 DS-GVO zusteht. Zu Begründung führt das Gericht an:

„Gemäß Art. 82 Absatz 2 DSGVO haften die Verantwortlichen – insoweit konkretisierend – für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung entstanden ist. Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen. Aufgrund von anderen Verstößen, die nicht durch eine der DSGVO zuwiderlaufende Verarbeitung verursacht worden sind, kommt eine Haftung nach Artikel 82 Absatz 1 DSGVO nicht in Betracht […]“

Daher führt nach Ansicht des Gerichtes eine bloße Verletzung der Informationsrechte der betroffenen Person aus Art. 12-15 daher nicht dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist. Dementsprechend löst die nach Art. 12 Abs. 3 Satz 1 DS-GVO verspätete Erfüllung von (Auskunfts-)Ansprüchen grundsätzlich keinen Schadensersatzanspruch gemäß Art. 82 DS-GVO aus. Das Landgericht Bonn bezieht hier klar Stellung zu einer umstrittenen Fragestellung im Rahmen des Art. 82 DS-GVO.

Unabhängig davon scheitert der Anspruch auch daran, dass ein Schaden nicht dargelegt wurde. Allein dass die Betroffene auf die Datenauskunft „warten“ musste, kann nach Ansicht des Gerichtes auch nach dem Schadensmaßstab der DS-GVO keinen ersatzfähigen Schaden begründen. Es muss auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Andernfalls scheidet ein „Schaden“ begrifflich schon aus. Eine solche Spürbarkeit wurde im gegenständlichen Verfahren jedoch nicht dargelegt.


WELCHE AUSWIRKUNGEN FÜR DIE PRAXIS SIND ZU ERWARTEN?

Vorab ist anzumerken, dass keine Klärung der Frage nach dem Verhältnis der datenschutzrechtlichen Vorschriften der Art. 15 ff. DS-GVO zu den berufsrechtlichen Vorschriften, insbesondere dem § 50 Bundesrechtsanwaltsordnung (BRAO) erfolgte. So kennt § 50 Abs. 2 BRAO einen eigenständigen Herausgabeanspruch des Auftraggebers gegenüber dem Rechtsanwalt, wobei letzterer gemäß § 50 Abs. 3 BRAO die Herausgabe so lange verweigern darf, bis er wegen der ihm vom Auftraggeber geschuldeten Gebühren und Auslagen befriedigt ist. Klärungsbedürftig ist in diesem Zusammenhang insbesondere das Verhältnis zwischen § 50 Abs. 2 und 3 BRAO zu Art. 15 Abs. 3 DS-GVO und Art. 20 DS-GVO.

So ist die Annahme eines weiten Umfangs des Auskunftsanspruchs in jedem Fall zu begrüßen, da ein Ablehnen bestimmter Datenarten bereits auf Tatbestandebene des Art. 15 DS-GVO wohl nicht mit der Schutzwirkung der DS-GVO in Einklang zu bringen ist. Dies ist jedoch nicht gelichbedeutend mit der Annahme, dass keine Ausnahmen möglich wären. In Betracht kommen können hier insbesondere Art. 12 Abs. 5 Satz 2 DS-GVO (offenkundig unbegründeten oder exzessiven Anträgen), Art. 15 Abs. 4 DS-GVO (Beeinträchtigung der Rechte und Freiheiten anderer Personen) sowie Art. 23 Abs. 1 DS-GVO i.V.m. § 29 Bundesdatenschutzgesetz (BDSG) (Geheimhaltungspflichten) oder i.V.m. § 34 BDSG (u.a. Aufbewahrungspflichten und Datensicherung).

Hinsichtlich der Ausführungen zum Schadenersatzanspruch wird mit Spannung zu erwarten sein, wie der EuGH diesbezüglich entscheiden wird, da der Oberste Gerichtshof in Österreich (OGH, Entsch. v. 15.4.2021 – Az.: 6 Ob 35/21) entsprechend vorgelegt hat. Geklärt werden soll u.a., ob der Zuspruch von Schadenersatz nach Art. 82 DS-GVO neben einer Verletzung von Bestimmungen der DS-GVO auch erfordert, dass der Kläger bzw. Betroffene einen Schaden erlitten hat oder ob bereits die Verletzung von Bestimmungen der DS-GVO als solche für die Zuerkennung von Schadenersatz ausreicht.


FAZIT

Es bleibt festzuhalten, dass Auskunfts- sowie Kopieanspruch des Art. 15 DS-GVO einerseits und der Schadenersatzanspruch des Art. 82 DS-GVO andererseits regelmäßig Gegenstand von Gerichtsentscheidungen sind und auch bleiben werden. Trotz zahlreicher Entscheidungen verbleiben viele offene Fragestellungen. Gleichwohl führen die höchstrichterlichen Entscheidungen Stück für Stück zu Rechtssicherheit. Für Verantwortliche empfiehlt es sich entsprechende Vorkehrungen zu treffen, um Auskunftsersuchen unverzüglich und vollständig beantworten zu können.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Auskunftsanspruch
  • Berufsgeheimnisträger
  • Betroffenenrechte
  • Schadenersatz
  • Urteil
Lesen