Aufsatz : Rechtsmissbräuchliche Schadensersatzforderungen : aus der RDV 6/2022, Seite 300 bis 306
Das Landgericht München hat einem Betroffenen einen Betrag in Höhe von 100,00 EUR zugesprochen, weil das beklagte Unternehmen für seine Homepage frei verfügbare Schriften von Google (Webfonts) nicht auf dem eigenen Server hinterlegt hatte, sondern die Schriften direkt bei Seitenaufruf über die Server von Google nachgeladen wurden.[1]Auf diese Weise erhielt Google bei jedem Seitenaufruf eines Nutzers zwangsläufig dessen IP-Adresse, da diese zur Auslieferung der nachgeladenen Inhalte erforderlich war. Das Zivilgericht hat hierin einen Datenschutzverstoß gesehen, der es rechtfertigt, dem Betroffenen einen Schadensersatzanspruch zuzusprechen.
I. Ausgangslage bei Google Fonts
Der Ausgangspunkt, die Einstufung des Vorgehens als Datenschutzverstoß, für die Herleitung des Schadensersatzanspruchs wohl nicht zu beanstanden. Die Bereitstellung der Schriftarten von Google wäre für das verklagte Unternehmen auch auf dem eigenen Server rechtlich zulässig und technisch möglich gewesen. Google weist in dem Kontext selbst darauf hin, dass alle Schriftarten unter Open Source Lizenzen veröffentlicht sind und frei genutzt werden können.[2] Die von dem Unternehmen gewählte Umsetzung des Abrufs über Google war daher unnötig und führt insoweit zu einer überflüssigen Offenlegung der IP-Adresse gegenüber Google. Der richtige Ansatz für die datenschutzrechtliche Bewertung dürfte die Annahme eines Verstoßes gegen die Pflicht zur datenschutzfreundlichen Technikgestaltung gem. Art. 25 Abs. 1 DS-GVO (privacy by design) durch das Unternehmen sein.[3] Unter dem Gesichtspunkt der Datenminimierung gem. Art. 5 Abs. 1 lit. c) DS-GVO dürfte die technische Umsetzung ebenfalls zu beanstanden sein, weil die Datenverarbeitung nicht auf das unbedingt notwendige Maß reduziert war.[4]Das Gericht hat zur Herleitung des Schadensersatzanspruchs darauf abgestellt, dass es an einer erforderlichen Einwilligung des Betroffenen in die Weitergabe der IP-Adresse an Google gefehlt habe und sich hierdurch ein Verstoß gegen das allgemeine Persönlichkeitsrecht ergeben würde.[5] Weil die Einwilligung nur eine von mehreren möglichen Rechtsgrundlagen zur „Weitergabe“ der IP-Adresse ist, musste das Gericht außerdem herausarbeiten, dass die gewählte Gestaltung auch nicht unter dem Gesichtspunkt des berechtigten Interesses der verantwortlichen Stelle gem. Art. 6 Abs. 1 lit. f) DS-GVO gerechtfertigt werden konnte.[6] Die Argumentation ist im Ergebnis richtig, wenn auch in den Entscheidungsgründen relativ oberflächlich wiedergegeben. Es gibt durchaus berechtigte Interessen für die durch das Unternehmen gewählte Gestaltung, beispielsweise die einfachere Umsetzung durch einen Verweis auf die Server von Google. Es dürften allerdings auch insoweit die schutzwürdigen Interessen der Betroffenen überwiegen. Es hätte also richtigerweise in der Entscheidungsbegründung heißen müssen, dass das Vorliegen berechtigter Interessen dahinstehen kann, weil jedenfalls die schutzwürdigen Interessen der Betroffenen überwiegen. Im Rahmen der Interessenabwägung wären dann die Grundsätze von privacy by design und der Datenminimierung heranzuziehen gewesen; außerdem dürfte es maßgeblich darauf ankommen, dass ohne besonderen Mehraufwand relativ einfach eine andere technische Lösung bereitgestanden hätte.[7]
Wenn unter Berücksichtigung der vorstehenden Erwägungen von einem Datenschutzverstoß auszugehen ist, dann stellt sich zwangsläufig die Frage der möglichen Rechtsfolgen. Aus dem Deliktsrecht kann zunächst ein Unterlassungsanspruch hergeleitet werden, wenn von einen Eingriff in das allgemeine Persönlichkeitsrecht auszugehen ist, wozu grundsätzlich auch das Recht auf informationelle Selbstbestimmung gehört.[8] Eigenständige Unterlassungsansprüche werden unmittelbar durch die datenschutzrechtlichen Bestimmungen nicht gewährt.[9] Für einen zusätzlichen Anspruch auf Schadensersatz ergibt sich allerdings eine Anspruchskonkurrenz zwischen § 823 BGB und Art. 82 DSGVO.[10] Nach dem nationalen Schadensersatzrecht kommt es immer auf ein Verschulden an, außerdem ist ein Ersatz für immaterielle Schäden unter dem Gesichtspunkt des Schmerzensgeldes nur in sehr engen Grenzen denkbar.[11] Der datenschutzrechtliche Schadensersatzanspruch ist dagegen bewusst an geringere Voraussetzungen geknüpft und sieht ausdrücklich auch den Ersatz von immateriellen Schäden vor.[12] Das datenschutzrechtliche Konzept folgt danach dem politischen Willen, die Rechte der Betroffenen zu stärken und vermeintliche Defizite bei der Rechtsdurchsetzung zu beseitigen. Vor diesem Hintergrund ist die Bestimmung zum Schadensersatz im Datenschutzrecht bewusst so ausgestaltet, dass alleine die Feststellung eines Datenschutzverstoßes genügt, um gestützt hierauf einen immateriellen Schadensersatz verlangen zu können.[13] Das Verschulden der verantwortlichen Stelle wird insoweit vermutet und es besteht über Art. 82 Abs. 3 DS-GVO lediglich eine Exkulpationsmöglichkeit für die verantwortliche Stelle.[14] Bisher noch nicht geklärt ist allerdings die Frage, ob besondere Anforderungen an die Beeinträchtigung des Betroffenen zu stellen sind, bevor ein immaterieller Schadensersatz verlangt werden kann.[15] Der Umgang mit Ansprüchen auf immateriellen Schadensersatz liegt im Rahmen mehrerer Vorlageverfahren beim EuGH, mit einer kurzfristigen Entscheidung und Klärung ist aber nicht zu rechnen.[16]
In dieser Situation hat das LG München entschieden, der Datenschutzverstoß und das von dem Betroffene empfundene individuelle Unwohlsein sei so erheblich, dass ein Schadensersatzanspruch gerechtfertigt sei.[17]Zur Begründung wird unter anderem angeführt, dass die Daten ausgerechnet an Google übermittelt werden, also an einen US-Anbieter, der „bekanntermaßen Daten über seine Nutzer sammelt“ und seinen Hauptsitz in einem potentiell unsicheren Drittland hat.
II. Anspruchsschreiben von Trittbrettfahrern
Es ist natürlich wenig überraschend, dass nach Veröffentlichung der Entscheidung die Argumentation des Gerichts zur Herleitung des Schadensersatzanspruchs von interessierten Kreisen als Anleitung aufgefasst wurde, wie im eigenen Namen Schadensersatzzahlungen verlangt werden können. Auf diese Gefahr wurde früh hingewiesen, und sie hat sich schnell in Form von entsprechenden Aufforderungs- bzw. Abmahnschreiben realisiert.[18] Es wurden dazu gezielt andere Unternehmen gesucht, die ebenfalls für ihre Homepages Google Fonts einsetzen, ohne diese auf den eigenen Servern vorzuhalten. Die Entscheidung des LG München wurde dabei verkürzt so interpretiert, dass ein „allgemeines Unwohlsein“ ausreichend wäre, um als eine Art Entschädigung eine Zahlung von 100,00 EUR zu verlangen. In einer ersten Welle haben sich Einzelpersonen mit vorformulierten Schreiben an eine Vielzahl von Unternehmen gewandt und darauf verwiesen, sie hätten bei Aufruf der jeweiligen Homepage „mit Erschrecken“ feststellen müssen, dass ohne erforderliche Zustimmung Webfonts direkt über Google geladen und hierdurch personenbezogene Daten an Google übermittelt würden, was bei dem Anspruchsteller ein allgemeines Unwohlsein ausgelöst hätte. Dieser Verstoß könnte jetzt nachträglich nur noch durch Zahlung einer Entschädigung kompensiert werden. In den meisten Schreiben dieser Art wurde relativ unverhohlen mit einer „offiziellen Beschwerde“ bei der Aufsichtsbehörde gedroht, wenn die Entschädigung nicht freiwillig gezahlt würde. In Einzelfällen wurde auch versucht, die Entscheidung des LG München in der Weise zu verallgemeinern, dass entweder generell das Nachladen von Schriften von externen Servern oder sogar jegliche Einbindung von Drittanbieterinhalten ohne Zustimmung als Datenschutzverstoß anzusehen sei und Schadensersatzansprüche auslösen würde.
In einer zweiten Welle haben sich dann fast erwartungsgemäß Rechtsanwälte gefunden, die auf den Zug aufgesprungen sind und angeblich im Auftrag der jeweiligen Mandanten Datenschutzverstöße verfolgen sollen.[19] In klassischer Abmahnmanier wurde dargestellt, dass die dynamische Einbindung der Webfonts einen Datenschutzverstoß darstelle und damit Unterlassungsansprüche auslösen würde, die nur durch Abgabe einer vorbereiteten Unterlassungsverpflichtungserklärung ausgeräumt werden könnten. Neben der Unterlassungserklärung wurde dann die Zahlung eines Schadensersatzbetrages und die Übernahme der angefallenen Rechtsanwaltskosten unter dem Gesichtspunkt der Geschäftsführung ohne Auftrag (GoA) verlangt.
III. Rechtliche Einordnung und Übertragbarkeit der Argumentation
Für die rechtliche Bewertung der von den Anspruchstellern selbst oder über Rechtsanwälte geltend gemachten Ansprüche ist zunächst als Ausgangspunkt festzuhalten, dass der eigentliche Datenschutzverstoß bei der dynamischen Einbindung der Schriftarten von Google nicht mit Aussicht auf Erfolg in Abrede gestellt werden kann. Für die Bewertung kommt es maßgeblich darauf an, dass – wie dargestellt – eine alternative Möglichkeit bestanden hätte, die identischen Schriften ohne das Nachladen über die Server von Google zu realisieren, wodurch dann die IP-Adresse nicht an Google übermittelt worden wäre. Soweit es also in der jeweiligen Auseinandersetzung um die dynamische Einbindung von Webfonts geht, sollte dieses Vorgehen nicht explizit gerechtfertigt werden.
Diese Wertung des konkreten Falls lässt sich aber nicht bzw. nur sehr eingeschränkt auf andere Konstellationen übertragen.[20]Selbst im Hinblick auf die Einbindung von Schriftarten anderer Anbieter wäre erst einmal zu prüfen, ob bezogen auf die zur Nutzung vorgesehenen Schriftarten überhaupt eine gleichwertige Möglichkeit zur Bereitstellung auf den eigenen Servern besteht. Die datenschutzrechtliche Unzulässigkeit der dynamischen Einbindung der Webfonts von Google beruht schließlich maßgeblich darauf, dass sie von Google kostenfrei auch zur Installation auf den eigenen Servern freigegeben sind. Besteht diese Option bei anderen Anbietern nicht, kann nicht pauschal darauf verwiesen werden, dass diese Schriftarten dann nicht für die eigene Internetseite eingebunden werden dürfen. Der Seitenbetreiber ist in diesem Fall aber verpflichtet, für eine adäquate Absicherung der personenbezogenen Daten der Seitenbesucher zu sorgen. Ein „anonymes“ Nachladen von Inhalten kommt dabei nicht in Betracht, weil die IP-Adresse zumindest kurzzeitig für die korrekte Auslieferung der Inhalte an den Betroffenen technisch erforderlich ist.[21]Aufgrund der Qualifikation von IP-Adressen als personenbezogene Daten führt damit die Einbindung von Drittanbieterinhalten immer zu einer Offenlegung der IP-Adresse der jeweiligen Seitenbesucher und damit zu einer Verarbeitung personenbezogener Daten.[22] Der Seitenbetreiber kann sich aber absichern, indem er vorab den Seitenbesucher um eine Einwilligung bittet, wozu beispielsweise der ohnehin umfassend genutzte Cookie-Banner so gestaltet wird, dass er sich nicht nur auf den Einsatz von Cookies bezieht, sondern generell auf eingebundene Drittanbieterinhalte.[23]Ein solches Vorgehen ist datenschutzrechtlich durchaus denkbar, kann aber zu technischen Hürden führen. Es muss dann insbesondere sichergestellt werden, dass wirklich nur für solche Seitenbesucher Drittanbieterinhalte nachgeladen werden, die die vorgesehene Einwilligung erteilt haben. Für optionale Inhalte wie das Kartenmaterial von Google Maps oder Inhalte von Social Media-Anbietern wie Twitter mag dies ein gangbarer Weg sein.[24] In diesen Bereichen bestünde außerdem die Möglichkeit, direkt vor Aufruf der entsprechenden Inhalte den Seitenbesucher zu bitten, zuvor die Einbindung externer Inhalte zu aktivieren. Wenn es dagegen um Standardfunktionalitäten geht, sprechen die besseren Gründe dafür, dass hier keine ausdrückliche Einwilligung erforderlich ist, sondern der Seitenbetreiber sich auf berechtigte Interessen berufen kann. Der Seitenbetreiber hat etwa ein Interesse daran, dass im Rahmen eines einheitlichen Corporate Designs seine Informationsangebote immer ähnlich aussehen und sich so ein Wiedererkennungseffekt einstellt, auch bezogen auf die genutzten Schriftarten. Für die datenschutzrechtliche Abwägung kommt es schließlich darauf an, ob schutzwürdige Interessen der Betroffenen überwiegen. Dass aber die Preisgabe der eigenen IP-Adresse so gravierend in geschützte Interessen des Betroffenen eingreift, erscheint sehr fragwürdig, da die Verwendung der IP-Adresse ohnehin zwingend zur Nutzung sämtlicher Internetinhalte erforderlich ist.
Es gibt auch keine allgemeine Wertung in der Form, dass Dienste von Google generell nicht eingesetzt werden dürfen, soweit hierdurch Inhalte von Google nachgeladen werden. Ein Großteil der Kritik gegenüber Google bezieht sich darauf, dass Google bzw. Alphabet als amerikanisches Unternehmen aufgrund der Gesetzeslege in den USA gar nicht effektiv den Schutz von personenbezogenen Daten sicherstellen kann, insbesondere nicht bezogen auf Informationsund Offenlegungspflichten gegenüber staatlichen Stellen. Dieses Risiko besteht tatsächlich, allerdings bezogen auf jedes amerikanische Unternehmen und kann von keinem entsprechenden Unternehmen in letzter Konsequenz ausgeräumt werden.[25] Würde diese Argumentation, die teilweise auch von Aufsichtsbehörden geäußert wird, ernst genommen, dann müssten letztlich alle amerikanischen Anbieter ausgeschlossen werden.[26]Das Internet und die IT-Landschaft würde sich deutlich verändern, für die Betroffenen aber nicht unbedingt zum Guten. Die Marktmacht von Google und anderen IT-Unternehmen lässt sich sicherlich unter kartellrechtlichen Gesichtspunkten kritisch bewerten.[27] Zur Wahrheit gehört es aber auch, dass die Dienste von Google sich deshalb so großer Beliebtheit erfreuen, weil es regelmäßig kaum Alternativen gibt, die ähnlich einfach eingebunden werden können und ohne größere Kosten umsetzbar sind. Ein Dienst wie Google reCaptcha, der nach komplexen Algorithmen bei Anfragen zwischen menschlichen Seitenbesuchern und automatisierten Aufrufen durch Bots differenziert, lässt sich vermutlich kaum ohne Rückgriff auf die Server von Google realisieren.[28] Dennoch kann in solchen Fällen die Einbindung von Google angemessen sein, weil trotz Übermittlung der IP-Adresse das Schutzinteresse des Seitenbetreibers überwiegt.[29] Wie bei der Einbindung der Webfonts ist letztlich immer zu fragen, ob es eine gleichwertige Alternative gibt, die ohne die entsprechende Datenübermittlung auskommt.
IV. Fehlende Ansprüche Betroffener trotz eines Datenschutzverstoßes
Die Einordnung eines Verhaltens als Datenschutzverstoß führt zunächst nur dazu, dass die verantwortliche Stelle den Verstoß abstellen muss, um sich wenigstens zukünftig rechtskonform und damit compliant zu verhalten. Diese Pflicht besteht natürlich unabhängig davon, ob die Aufsichtsbehörde oder ein Dritter das Thema aufgegriffen haben. Die Aufsichtsbehörden sollen im Rahmen ihrer jeweiligen Zuständigkeiten für eine Einhaltung der datenschutzrechtlichen Vorgaben sorgen, dürfen dabei aber im eigenen Ermessen entscheiden, ob und wie sie im Hinblick auf bestimmte Themen vorgehen.[30] Entgegen einer vereinzelt vertretenen Auffassung besteht keine ausschließliche Zuständigkeit der Aufsichtsbehörden zur Verfolgung von Datenschutzverstößen.[31] Es dürfen demnach auch andere Organisationen und Einrichtungen Datenschutzverstöße aufgreifen und gegen sie vorgehen, insbesondere die Verbraucherverbände im Rahmen ihrer Befugnisse nach dem UKlaG.[32] Für die Betroffenen sind sogar ausdrücklich umfassende Betroffenenrechte und der Anspruch auf Schadensersatz vorgesehen. Die verantwortliche Stelle muss also grundsätzlich damit leben, dass von interessierte Seite direkt vorgegangen werden kann, selbst wenn die Aufsichtsbehörde untätig bleibt. Bezogen auf die Verbraucherverbände ergibt sich ein Korrektiv durch die Notwendigkeit zur Berücksichtigung als klagebefugte Organisation und Einrichtung; für Betroffene und Wettbewerber gibt es kein vergleichbares Korrektiv.[33] Hieraus ergibt sich das Risiko, dass der Versuch unternommen werden kann, mit vorgeschobenen datenschutzrechtlichen Ansprüchen primär andere Ziele zu verfolgen und damit letztlich die datenschutzrechtlichen Möglichkeiten zu missbrauchen.[34] Für Betroffene kann es dabei darum gehen, ihre Verärgerung über das Unternehmen zum Ausdruck zu bringen. Ein typisches Szenario war es insoweit schon in der Vergangenheit, dass ohne echtes Interesse an den gespeicherten Daten Auskunftsansprüche geltend gemacht werden. Bezogen auf den datenschutzrechtlichen Schadensersatzanspruch kommt natürlich vor allem der Versuch in Betracht, Zahlungen von der verantwortlichen Stelle zu erhalten, um hierdurch letztlich sogar von einem Verstoß noch zu profitieren. Selbst ohne ausdrückliche Regelung im datenschutzrechtlichen Kontext können und müssen derartige Aspekte unter dem Gesichtspunkt des Rechtsmissbrauchs berücksichtigt werden.[35]
V. Unterlassung
Hinsichtlich möglicher Unterlassungsansprüche einzelner Betroffener kann zunächst der Versuch unternommen werden, von einem abschließenden Charakter des datenschutzrechtlichen Sanktionssystems auszugehen, der einem Rückgriff auf § 1004 BGB entgegenstehen könnte.[36] Argumentativer Ansatz hierfür ist die Regelung in Art. 79 Abs. 1 DS-GVO, die nicht generell Rechtsschutzmöglichkeiten außerhalb der DSGVO zulassen soll. Diese Sichtweise ist allerdings umstritten und dürfte sich nur schwer mit dem generellen Grundsatz vereinbaren lassen, dass die DS-GVO für einen effektiven Schutz der Betroffenen sorgen und diesen nicht verhindern soll.[37] Selbst wenn aber generell Unterlassungsansprüche bestehen können, gilt im Hinblick auf solche Ansprüche der „das gesamte Rechtsleben durchziehende Grundsatz“, dass die Ausübung eines Rechts nicht erlaubt ist, wenn eine formale Rechtsstellung ausgenutzt wird, ohne dass ein schützenswertes Eigeninteresse besteht.[38]
Indizien für ein rechtsmissbräuchliches Verhalten ist es etwa, wenn zwischen dem Betroffenen und dem Verantwortlichen keinerlei vorangehende Beziehung besteht.[39] Die Geltendmachung gleichartiger Unterlassungsansprüche gegen eine Vielzahl von Anspruchsgegnern deutet ebenfalls auf ein missbräuchliches Verhalten hin.[40] Einher geht damit häufig eine Gestaltung, wonach bei anwaltlicher Vertretung nicht einmal eine Vollmacht für den konkreten Einzelfall besteht, sondern mit einer Blankovollmacht gearbeitet wird. Für den Rechtsmissbrauch spricht ferner die Tatsache, dass eine umfangreiche Ausarbeitung zu der vermeintlichen Rechtsverletzung erfolgt, die in keinem Verhältnis zu dem gerügten Verstoß besteht.
Bezogen auf die Einbindung der Webfonts von Google treffen alle Indizien für die Aufforderungsschreiben der Betroffenen zu. Die Schreiben enthalten umfangreiche Ausführungen zur Rechtslage, warum das Nachladen von Webfonts direkt bei Google unzulässig ist und was das LG München hierzu ausgeführt hat. Zum Nachweis des Rechtsverstoßes werden zumeist noch Screenshots beigefügt, durch die der Sachverhalt gerichtsverwertbar dokumentiert würde. Angesichts dieses Vorgehens drängt sich die Frage auf, wer sich unter normalen Umständen diese Mühe macht. Erschwerend kommt die Tatsache hinzu, dass die Einbindung von Drittinhalten wie Webfonts nicht im Rahmen der typischen Nutzung einer Internetseite auffällt. Der Seitenbesucher muss sich also entweder den Quelltext der Seite ansehen oder hierfür entsprechende Tools verwenden. Es kann daher ausgeschlossen werden, dass – wie durch viele Aufforderungsschreiben suggeriert wird – die angegriffene Gestaltung zufällig bemerkt wurde.
Es liegt daher auf der Hand, dass sich einzelne Betroffene ganz gezielt auf die Suche nach Datenschutzverstößen begeben haben. Grundsätzlich ist es dabei nicht zu kritisieren, wenn Betroffene sich nicht mit ihrem Anliegen an den Datenschutzbeauftragten der verantwortlichen Stelle wenden oder die Aufsichtsbehörde selbst informieren, sondern die Angelegenheit selbst in die Hand nehmen. Es stellt sich nur die Frage, was der Betroffene mit seinem Vorgehen erreichen will und überhaupt erreichen kann. Die bei dem erstmaligen Seitenaufruf erfolgte Übermittlung von Daten kann nachträglich ohnehin nicht mehr beseitigt werden. Es ist insbesondere nicht möglich, die Daten von Google „zurückzuholen“. Für die Zukunft hat es der Betroffene aber selbst in der Hand, eine weitere vermeintliche Beeinträchtigung seiner Rechtsposition zu vermeiden, indem die Internetseite nicht mehr aufgerufen wird.
Wird der Betroffene dagegen in der Form tätig, dass er in einem großen Umfang gleichgelagerte Verstöße geltend macht, die einfach zu finden sind, spricht dies für sich genommen schon für ein rechtsmissbräuchliches Verhalten.[41] Es liegt dabei in der Natur der Sache, dass die in Anspruch genommene Stelle nur Indizien für einen Rechtsmissbrauch vortragen kann. Bei einer hinreichend substantiierten Darlegung der Indizien muss dann aber der Anspruchsteller diese Vorwürfe entkräften.
VI. Schadensersatz
Trotz der fehlenden Klärung diverser Vorlagefragen durch den EuGH ist auch jetzt schon bezogen auf die Schadensersatzansprüche klar, dass ein Anspruch auf immateriellen Schadensersatz zwingend immer einen Schaden voraussetzt. Der Schadensersatzbegriff mag weit auszulegen sein und explizit immaterielle Schäden umfassen, es muss aber immer ein konkreter Schaden festgestellt werden, der durch die Datenschutzverletzung verursacht wurde.[42] Für die Geltendmachung eines Anspruchs kann also bei richtiger Interpretation alleine der Verweis auf den Datenschutzverstoß nicht genügen.[43]
Wenn es aber dem Betroffenen darum geht, die Datenschutzverletzung dafür zu nutzen, um einen Schadensersatzanspruch geltend zu machen, dann darf hierin kein ersatzfähiger Schaden gesehen werden. Es liegt praktisch ein Fall bewusster Selbstschädigung vor, weil es der Betroffene gerade darauf anlegt, einen Schaden zu erleiden, um diesen dann zum Anlass zu nehmen, immateriellen Schadensersatz zu fordern.
Ein kausal verursachter Schaden dürfte übrigens auch dann nicht vorliegen, wenn durch das Nachladen der Schriftarten überhaupt keine zusätzlichen Informationen des Betroffenen preisgegeben werden. Hat der Betroffene beispielsweise zuvor selbst die Suchmaschine von Google benutzt, wäre die IP-Adresse aufgrund der Suchanfrage bei Google ohnehin schon bekannt. Das Nachladen der Schriftarten würde in diesem Fall überhaupt keinen (weiteren) Schaden anrichten. Wenn der Betroffene die Seiten der verantwortlichen Stelle direkt über einen Link in den Suchergebnissen aufruft, wüsste Google sogar schon, dass sich der Betroffene für das Angebot der verantwortlichen Stelle interessiert. Die Bewertung muss auch gelten, wenn die verantwortliche Stelle für ihr Online-Angebot auch weitere Dienste von Google nutzt, die einen Abruf von Daten über die Server von Google erfordern. In diesen Fällen führt die zusätzliche Einbindung von Webfonts ebenfalls nicht zu einem Schaden, da die Daten dort ohnehin schon vorliegen. Es bliebe zwar der formale Datenschutzverstoß bezogen auf Webfonts bestehen, ein hierdurch kausal verursachter Schaden ist aber ausgeschlossen.
VII. Übernahme von Abmahnkosten
Soweit von dem Betroffenen ein Rechtsanwalt mit der Vertretung seiner Interessen beauftragt wurde, verlangt dieser typischerweise die Übernahme der Kosten der anwaltlichen Mandatierung von dem Anspruchsgegner.[44] Diese Kosten sind nicht unmittelbar durch die Datenschutzverletzung entstanden, sondern beruhen auf einem eigenständigen Verhalten des Betroffenen. Es hätte ihm freigestanden, die Ansprüche auch selbst geltend zu machen. Gleichwohl wären die Kosten natürlich nicht entstanden, wenn die verantwortliche Stelle nicht die Ursache für die Mandatierung durch den Datenschutzverstoß gesetzt hätte. In der Konsequenz sind diese Kosten als Schadensposition an sich erstattungsfähig, wenn sie erforderlich waren oder für erforderlich gehalten werden durften.[45]Vor diesem Hintergrund ist es nicht prinzipiell zu beanstanden, dass die Geltendmachung eines Schadensersatzanspruchs in Höhe von 100,00 EUR Gebühren für die anwaltliche Vertretung in ungefähr gleicher Höhe verursacht.
Es erscheint aber wenig überzeugend, dass ein Betroffener ohne materiellen Schaden zunächst auf eigene Kosten einen Rechtsanwalt beauftragt, damit dieser für ihn einen immateriellen Schadensersatz in Höhe von 100,00 EUR geltend macht. Wenn aber der mandatierte Rechtsanwalt direkt mit seinem Aufforderungsschreiben die Freistellung des Mandanten von den Kosten verlangt, dann beinhaltet dies implizit die Erklärung, dass diese Kosten auch wirklich angefallen sind. Es ist natürlich unzulässig, die Zahlung von Kosten durch den Anspruchsgegner zu verlangen, die so gar nicht angefallen sind. Dies gilt auch für berufsrechtlich fragwürdige Absprachen, wonach der Rechtsanwalt keine Gebühren abrechnet, wenn diese nicht von der Gegenseite übernommen werden. Selbst nach den letzten berufsrechtlichen Lockerungen sind Erfolgshonorare vom Grundsatz gem. § 49b Abs. 2 BRAO weiterhin unzulässig.[46] Über § 4a RVG gibt es zwar eine Öffnungsklausel, die in der Vergangenheit darauf abstellte, ob der Mandant ohne die Vereinbarung eines Erfolgshonorars ansonsten aufgrund seiner wirtschaftlichen Verhältnisse von der Rechtsverfolgung abgehalten worden wäre.[47] Selbst nach der Neuregelung mit einer Öffnung für Geldforderungen bis 2.000 Euro fällt die Geltendmachung des immateriellen Schadensersatzes nicht hierunter, wenn zugleich auch Unterlassungsansprüche geltend gemacht werden.[48] Formal dürften aber üblicherweise die Unterlassungsansprüche ebenfalls verfolgt werden, weil ansonsten die alleinige Verfolgung der Zahlungsansprüche wiederum ein Indiz für den Rechtsmissbrauch wäre.[49]
In strafrechtlicher Hinsicht kann ein versuchter Betrug vorliegen, wenn der Anspruchsgegner unter Vortäuschung des Anfalls entsprechender Kosten zu einer Zahlung bewegt werden sollte, soweit solche tatsächlich angefallen sind.[50]
Für den Rechtsanwalt stellt sich nicht nur die Frage der Beteiligung an der Straftat des Mandanten, sondern es ergibt sich auch ein Konflikt mit der Wahrheitspflicht gem. § 43a Abs. 3 BRAO.[51] Der Rechtsanwalt ist an den Gebührenabsprachen im Innenverhältnis mit seinem Mandanten unmittelbar beteiligt und muss daher die Unrichtigkeit und die sich daraus abgeleiteten Konsequenzen erkennen. Tritt ein Rechtsanwalt in größerem Umfang für einen Betroffenen auf, so erscheint es erst recht unwahrscheinlich, dass der Betroffene wirklich bereit ist, in erheblichem Umfang die Kosten seines Rechtsanwaltes für jeden einzelnen Fall zu übernehmen, wenn allenfalls gelegentlich eine Zahlung einer verantwortlichen Stelle erreicht werden kann. Indizien für ein entsprechendes Vorgehen sind pauschale Vollmachten ohne Nennung des Anspruchsgegners und die eigenständige Dokumentation der vermeintlichen Rechtsverletzungen direkt durch den Rechtsanwalt.
Es stellt sich alleine die Frage der Beweisbarkeit entsprechender Absprachen, da die verantwortliche Stelle sich keine sichere Kenntnis darüber verschaffen kann, was der Betroffene und sein Rechtsanwalt vereinbart haben.[52]In seltenen Fällen ergeben sich bereits Anhaltspunkte durch eine ungeschickte Einlassung des Anspruchstellers, in anderen Fällen muss, wie allgemein beim Rechtsmissbrauch, mit Indizien gearbeitet werden.[53]
Fazit
Die Nutzung der Schriftarten von Google ist datenschutzkonform nur in der Weise möglich, dass eine Installation auf den eigenen Servern erfolgt, wodurch bei Seitenaufruf keine Offenlegung der IP-Adresse gegenüber Google erfolgt. Soweit die Schriften dagegen dynamisch nachgeladen werden, ergeben sich aus dem Datenschutzverstoß der verantwortlichen Stelle nicht zwangsläufig rechtliche Ansprüche des Betroffenen. Ein eigenständiger Unterlassungsanspruch ist jedenfalls in der DS-GVO nicht vorgesehen; ein immaterieller Schadensersatzanspruch käme zwar grundsätzlich in Betracht, scheitert im konkreten Fall aber an einem kausal verursachten Schaden. Das gezielte Suchen nach derartigen Rechtsverletzungen kann nämlich nicht zugleich zu einer solchen Beeinträchtigung eigener Rechtspositionen führen, die wiederum einen Schadensersatzanspruch nach sich zieht. Dem Anspruchsteller kann außerdem der Einwand des Rechtsmissbrauchs entgegengehalten werden, wenn die datenschutzrechtlichen Betroffenenrechte als Möglichkeit für einen Nebenverdienst missbraucht werden.
Dr. Sebastian Meyer ist Rechtsanwalt im Bielefelder Büro der Kanzlei Brandi Rechtsanwälte; er ist zugleich Fachanwalt für IT-Recht, Notar sowie Lehrbeauftragter an der Universität Bielefeld, Fachhochschule Bielefeld und Fernuni Hagen.
[1] LG München, Urt. v. 20.01.2022 – 3 O 17493/20, GRUR-RS 2022, 612, Google Fonts.
[2] Vgl. die Erläuterungen von Google unter https://developers.google. com/fonts
[3] Baumgartner/Gausling, ZD 2017, 308 (309).
[4] Roßnagel, in: Simitis/Hornung/Spiecker, Art. 5 Rn. 121.
[5] LG München, Urt. v. 20.01.2022 – 3 O 17493/20, GRUR-RS 2022, 612, Rn. 7.
[6] Veil, NJW 2018, 3337 zur Abgrenzung zwischen Einwilligung und berechtigten Interesse; vgl. auch Frenzel, in: Paal/Pauly, Art. 6 Rn. 8.
[7] Der Aufwand für die alternative Gestaltung von Datenverarbeitungsvorgängen kann dabei durchaus ein relevanter Faktor sein, wie sich auch aus Art. 32 DS-GVO ergibt, vgl. etwa Martini, in: Paal/Pauly, Art. 32 Rn. 60.
[8] Rixecker, in: MüKo-BGB, Anhang zu § 12 Rn. 12 zur Abgrenzung zwischen dem Persönlichkeitsrecht und dem Datenschutzrecht.
[9] Leibold/Laoutoumai, ZD-Aktuell 2021, 05583.
[10] Frenzel, in: Paal/Pauly, Art. 82 Rn. 20
[11] Quaas, in: BeckOK Datenschutzrecht, Art. 82 Rn. Zur Ersatzfähigkeit immaterieller Schäden.
[12] Buchner/Wessels, ZD 2022, 251 (253); Bergt, in: Kühling/Buchner, Art. 82 Rn. 2.
[13] Boehm, in: Simitis/Hornung/Spiecker, Art. 82 Rn. 10.
[14] Moos/Schefzig, in: Taeger/Gabel, DS-GVO, 3. Aufl. 2019, Art. 82 Rn. 70.
[15] BVerfG, Beschl. v. 14.01.2021 – 1 BvR 2853/19, ZD 2021, 266 zur Vorlagepflicht an den EuGH.
[16] OGH Österreich, Beschl. v. 15.04.2021 – 6 Ob 35/21x, ZD 2021, 631; BAG, Beschl. v. 26.08.2021 – 8 AZR 253/20, ZD 2022, 56; LG Saarbrücken, Beschl. v. 22.11.2021 – 5 O 151/19, RDV 2022, 107.
[17] LG München, Urt. v. 20.01.2022 – 3 O 17493/20, GRUR-RS 2022, 612 Rn. 12.
[18] Skupin, GRUR-Prax 2022, 264.
[19] Buchner/Wessels, ZD 2022, 251 (255) zu den Fehlanreizen zur Geltendmachung von Datenschutzverstößen.
[20] Fischer, ZD 2022, 291 (292) spricht allerdings davon, dass Urteil sei „exemplarisch“.
[21] EuGH, Urt. v. 19.10.2016 – C-582/14, MMR 2016, 842, Breyer
[22] EuGH, Urt. v. 19.10.2016 – C-582/14, MMR 2016, 842, Breyer; vgl. dazu auch Ernst, in: Paal/Pauly, Art. 4 Rn. 11; Schmitz, in: Hoeren/ Sieber, Teil 16.2 Rn. 64.
[23] Haberer, MMR 2020, 810 (815) spricht insoweit von einem „Datenschutz-Banner“.
[24] Engeler, ZD 2018, 55 (61).
[25] VG Wiesbaden, Beschl. v. 01.12.2021 – 6 L 738/21, ZD 2022, 177.
[26] DSB Österreich, Bescheid v. 22.12.2021 – D155.027, 2021-0.586.257, ZD 2022, 215.
[27] Meye/Rempe, K&R 2022, 247 (248).
[28] Conrad/Hausen, in: Auer-Reinsdorff/Conrad, § 36 Rn 232; vgl. auch AG Nürnberg, Urt. v. 30.06.2017 – 22 C 237/17, BeckRS 2017, 140318 Rn. 28.
[29] Conrad/Hausen; in: Auer-Reinsdorff/Conrad, § 36 Rn 233 gehen ebenfalls von einem berechtigten Interesse aus.
[30] VG Wiesbaden, Beschl. v. 31.08.2021 – 6 K 226/21, NZI 2022, 527 zum Ermessensspielraum der Aufsichtsbehörden; das Verfahren ist beim EuGH anhängig unter dem Aktenzeichen C-552/21; vgl. ebenfalls dazu VG Wiesbaden, Beschl. v. 10.12.2021 – 1107/21, ZD 2022, 352.
[31] Werkmeister, in: Gola, Art. 80 Rn. 17.
[32] EuGH, Urt. v. 29.07.2019 – C-40/17 – Fashion ID; EuGH, Urt. v. 28.04.2022 – C-319/20, ZD 2022, 384.
[33] Ohly, GRUR 2022, 924 (924) weist zutreffend darauf hin, dass es sich für den EuGH angeboten hätte, auch die Frage der Klagebefugnis von Wettbewerbern ebenfalls zu beantworten.
[34] OLG Hamm, Beschl. v. 15.11.2021 – 20 U 269/21, ZD 2022, 237 und LG Wuppertal, Urt. v. 29.07.2021 – 4 O 409/20, ZD 2022, 53 für Beispiele aus der Rechtsprechung.
[35] Lembke, NJW 2020, 1841 (1845).
[36] LG Wiesbaden, Urt. 20.01.2022 – 10 O 14/21, ZD 2022, 238; VG Regensburg, Bescheid v. 06.08.2020 – RN 9 K 19.1061, ZD 2020, 601.
[37] VG Wiesbaden, Beschl. v. 01.12.2021 – 6 L 738/21, ZD 2022, 177; ebenso Martini, in: Paal/Pauly, Art. 79 Rn. 20.
[38] LG Wuppertal, Urt. v. 29.07.2021 – 4 O 409/20, ZD 2022, 53.
[39] Knippenkötter, GRUR-Prax 2011, 483, listet insgesamt zahlreiche Indizien für eine Bewertung im Wettbewerbsrecht auf; vgl. zur Darlegung im Verfahren auch Barbasch, GRUR-Prax 2011, 486.
[40] LG Dessau-Roßlau, Urt. v. 01.12.2012 – 3 O 87/11, wonach hierfür 37 Abmahnungen in drei Monaten ausreichend sind; ähnlich LG Hamburg, Urt. v. 07.02.2017 – 312 O 144/16 für 42 Abmahnungen in einem Jahr.
[41] OLG Hamburg, Urt. v. 11.08.2016 – 3 U 56/15 zum Rechtsmissbrauch bei Massenabmahnungen.
[42] Boehm, in: Simitis/Hornung/Spiecker, Art. 82 Rn. 11 zum Schadensbegriff unter Verweis auf ErwG 146; vgl. auch Buchner/Wessels, ZD 2022, 251 zur bisherigen Handhabung.
[43] Wybitul/Leibold, ZD 2022, 207 (211)
[44] OLG Frankfurt, Urt. v. 14.04.2022 – 3 U 21/20, BKR 2022, 534
[45] Domisch/Scharnetzki, VersR 2022, 411 (414) zur generellen Erstattungsfähigkeit von Anwaltskosten im Schadenserecht.
[46] Brüggemann, in: Weyland, BRAO, § 49b Rn. 18.
[47] Winkler/Teubel, in: Mayer/Kroiß, RVG, § 4a Rn. 27.
[48] Rücker/Bell, NJOZ 2022, 545 zur Neuregelung seit dem 01.10.2021.
[49] OLG Hamm, Urt. v. 01.04.2008 – 4 U 10/08; dazu Knippenkötter, GRURPrax 2011, 483 (484).
[50] Perron, in: Schönke/Schröder, StGB, § 263 Rn. 51 zum Prozessbetrug bei gerichtlicher Geltendmachung.
[51] Träger, in: Weyland, BRAO, § 43a Rn. 38.
[52] LG München I, Urt. v. 22.12.2014 – 4 HKO 8107/14 zur Frage der Beweispflicht hinsichtlich der im Innenverhältnis getroffenen Absprachen.
[53] Knippenkötter, GRUR-Prax 2011, 483 (484).