Erstes Urteil deckt Spähprogramm-Strategie von Google auf

Michael-450x300

Millionenfach im Einsatz - Google`s Spähprogramme auf Webseiten

Ob Google Fonts, Google Maps oder YouTube Videos – nichts davon ist legal

Das Landgericht München (3. Zivilkammer) hat im Januar 2022 entschieden, dass die unerlaubte Weitergabe dynamischer IP-Adressen an Google eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB darstellt. Der Kläger hat einen Anspruch auf Unterlassung und Schadenersatz aufgrund der Weitergabe von IP-Adressen an Google durch Nutzung von Google-Fonts. Die Beklagte wurde zu einer Zahlung von 100 Euro Schmerzensgeld verurteilt (Urteil LG München: 3 O 17493/20 vom 20.01.2022)

Um was geht es genau: Google stellt unter Google Fonts eine große Auswahl an Schriften zur Verfügung, die kostenlos genutzt werden dürfen und die die Darstellung von Texten auf einer Webseite erst ermöglicht.

Für die Einbindung in die eigene Internetseite gibt es hierzu eine statische oder eine dynamische Variante. Bei der statischen Variante wird zu Google-Servern keine Verbindung aufgebaut, wodurch diese Variante in datenschutz- und persönlichkeitsrechtlicher Hinsicht unbedenklich ist. Anders die dynamische Variante. Hier wird zum Google-Server eine Verbindung aufgebaut und mindestens die IP-Adresse an Google übertragen.

Im vorliegenden Fall hatte die Beklagte dynamische Google Fonts in ihre Webseite eingebunden. Hierfür holte sie im Voraus von Ihren Besuchern über ein Consent-Banner keine Einwilligung ein. Der Kläger hat sich daran gestört gefühlt. Er verlangte von der Webseitenbetreiberin Schadensersatz und Unterlassung.

Das Landgericht München hat im Sinne des Klägers entschieden.

Bei der unerlaubten Weitergabe der dynamischen IP-Adresse des Klägers an Google liegt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB vor. Außerdem steht dem Kläger ein Anspruch auf Unterlassung der Weitergabe seiner IP-Adressen an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog zu.

Durch die dynamische Adresse verfügt der Webseitenbetreiber abstrakt über Mittel, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen. Es kommt nicht darauf an, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen.

Durch die Weiterleitung der dynamischen IP-Adresse an Google beim Aufrufen der Webseite durch den Kläger hat die Beklagte das Recht des Klägers auf informationelle Selbstbestimmung verletzt. Außerdem stellt die automatische Weitergabe der IP-Adresse einen nach dem Datenschutzrecht unzulässigen Eingriff in das allgemeine Persönlichkeitsrecht des Klägers dar. Der Eingriff ist auch nicht gerechtfertigt, da die Beklagte kein berechtigtes Interesse hat. Auch war der Kläger nicht zur Verschlüsselung seiner eigenen IP-Adresse verpflichtet, z.B. durch Nutzung eines VPN, da eine derartige Verpflichtung ihn in der Ausübung seiner Rechte einschränken würde.

Das Gericht hat zudem eine Wiederholungsgefahr bejaht, die nur durch eine strafbewehrte Unterlassungserklärung ausgeräumt werden kann.

Dem Kläger steht aus Art. 15, Art. 4 Nr. 2 DSGVO ein Auskunftsanspruch zu. Der Schadensersatzanspruch ergibt sich aus Art. 82 Abs. 1 DSGVO, wobei auch ein immaterieller Schaden ausreichend ist. Dieser besteht hier in einem Kontrollverlust des Klägers über seine Daten und in einem von ihm dadurch empfundenen Unwohlsein. Die Haftung aus Art. 82 Abs. 1 DSGVO soll Anreiz für Sicherungsmaßnahmen schaffen und präventiv weiteren Verstößen vorbeugen.

Die Abgabe von kostenlosen Services ist Strategie. Die ahnungslosen Webseitenbetreiber werden unbewusst zu Datenhehlern

Die Weitergabe der dynamischen IP-Adresse passiert auch bei der Einbindung von Google Analytics, Google Maps und YouTube Videos. Vimeo Videos sind ebenfalls nicht legal verwendbar.

Zudem ist anzumerken, und hier irrt das Gericht, dass selbst die Einholung der Zustimmung über einen Consent Banner die Weitergabe der IP-Adresse nicht verhindern kann, weil die Dienste schon vor bzw. zeitgleich mit dem Consent Banner geladen werden, der Verstoß also schon ohne Zustimmung des Benutzers erfolgt ist. Bei den Fonts wäre die Webseite ohne Texte und damit als solche nicht erkennbar. Bei eingebetteten Videos wird die Playerkomponente schon vorher geladen und damit die IP-Adresse übertragen. Ein Consent Banner kann das nicht verhindern. Es bleibt also keine andere Wahl, als alle US-Dienste von der Webseite zu entfernen und durch Datenschutz-und die Privatsphäre beachtende Services zu ersetzen: Matomo (statt Google Analytics), Open Street Map (statt Google Maps) Google Fonts selbst hosten (statt Google hosted Fonts) Video.Taxi (statt YouTube oder Vimeo).

Nur die IP-Adresse – von wegen

Jedes Mal, wenn die IP-Adresse des Besuchers übermittelt wird, wird ein ganzes Paket an sensiblen Informationen übertragen. Es sind folgende Informationen:

  • Grober Standort
  • Detaillierter Standort
  • Kontaktinformation
  • physische Adresse
  • E-Mail Adresse
  • Name
  • Telefonnummer
  • Suchverlauf
  • Browserverlauf
  • Kennungen
  • Benutzer-ID
  • Geräte-ID
  • Nutzungsdaten
  • Produktinteraktion
  • Werbedaten

Diese Daten werden niemals gelöscht und bilden einen Baustein beim Bau des digitalen Zwilings des Benutzers. Mit diesen Informationen wird dann Geld verdient, ohne dass der Inhaber der Daten dafür entlohnt wird. Er wird es wahrscheinlich nicht mal wissen, was da mit seinem Eigentum geschieht.