Schadensersatzanspruch aus der DSGVO als Einnahmequelle?

Mit dem datenschutzrechtlichen Schadensersatzanspruch aus Art. 82 DSGVO haben wir uns in der Vergangenheit bereits mehrmals beschäftigt (hierzu siehe insbesondere unsere Artikel vom 17.09.2020 sowie vom 18.03.2021).

Zuletzt haben wir darüber im Zusammenhang mit einer Entscheidung des LG München (AZ 3 O 17493/20) berichtet, die in Fachkreisen durchaus für Aufsehen gesorgt hat (hierzu vgl. unseren Artikel vom 21.02.2022).

Kurz zusammengefasst ging es dabei darum, dass das Gericht einem Webseitenbesucher ein Schmerzensgeld aufgrund eines immateriellen Schadens in Hohe von 100,- Euro zugesprochen hat. Es sahals gegeben an, dass der Besucher der Webseite die Kontrolle über seine personenbezogenen Daten verloren habe. Dazu sei es gekommen, weil der Betreiber der Webseite Google Fonts nutzte und folglich personenbezogene Daten (um genau zu sein, die IP-Adresse) aller Besucher*innen seiner Webpräsenz an den Dienstanbieter Google in die USA übermittelte, ohne dass eine Rechtsgrundlage für diese Datenübermittlung vorlag. Kurz zum Hintergrund: Bei Google Fonts handelt es sich um Schriftarten, die von Google bereitgestellt werden und auf zahlreichen Webseiten genutzt werden. Diese Schriftarten werden bei Aufruf einer Webseite von Google geladen, wenn Sie nicht lokal auf dem Webserver installiert wurden.

Bereits damals hatten wir darauf hingewiesen, dass für die Verantwortlichen aus dem oben zitierten Urteil des LG München ein hohes Schadensersatzrisiko resultiert. Daher haben wir allen Webseitenbetreiber*innen empfohlen, den Einsatz von Tools und Diensten, die in irgendeiner Weise einen Drittstaatenbezug haben, zu überdenken und möglichst Alternativen einzusetzen, die ohne eine Drittlandübermittlung auskommen. Alternativ könnte eine (wirksame) Einwilligung in die Datenübermittlung gemäß Art. 49 Abs. 1 lit. a DSGVO eingeholt werden. Unsere Befürchtung war nämlich, dass dieser Fall Schule machen könnte und sich die Schadensersatzansprüche und Klagen häufen könnten.

Nun, so wie es aussieht, haben sich unsere Prophezeiungen bewahrheitet, denn aktuell gibt es scheinbar eine Welle an Schadensersatzforderungen gegenüber Verantwortlichen, die eben diesen Dienst Google Fonts einsetzen und regelmäßig keine Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO zur Datenübermittlung in die USA einholen.

Inhalt des Forderungsschreibens

Inhaltlich geht es in dem Forderungsschreiben, welches an die Verantwortlichen seitens einer Privatperson (keiner Anwaltskanzlei) gerichtet wird, darum, dass den Verantwortlichen mitgeteilt wird, es würde ein Datenschutzverstoß wegen des Einsatzes von Google Fonts vorliegen, da die erforderliche Zustimmung zur Datenübertragung an Google nicht eingeholt wurde.

Darüber hinaus wird in dem Forderungsschreiben Folgendes ausgeführt [Formulierungen, Rechtschreibung und Zeichensetzung des Verfassers wurden unsererseits unverändert beibehalten]:

„Da ich anhand meiner IP-Adresse z.B. zurückverfolgt werden kann, oder Google anhand dieser meine Aktivitäten, im Internet verfolgen und Daten über mich sammeln könnte, fällt dies unter die Kategorie personenbezogenes Daten unter die DSGVO.

Weil Sie nun meine IP-Adresse ohne Zustimmung weitergegeben haben und das, obwohl keine Notwendigkeit und berechtigtes Interesse für die Weitergabe bestehen, denn für die Darstellung der Inhalte von Google Fonts auf Ihrer Webseite hatten Sie diese auch einfach lokal auf ihrem Server speichern können, verstoßen Sie gegen die DSGVO. Ebenso verletzen Sie damit mein Recht auf informationelle Selbstbestimmung.

Deshalb möchte ich Sie heute auf dieses Problem hinweisen und Sie dazu anregen die Google Fonts DSGVO-Konform einzubinden. Schließlich bin ich nicht der Einzige, der Ihre Webseite besucht und dessen Daten weitergegeben werden.“

Daraufhin wird der Tenor der oben genannten Entscheidung des LG München zitiert und gesagt, dass der Fall, über den das LG München entschieden hat, exakt den Fall trifft, der vom Verfasser des Forderungsschreibens geschildert wurde. Nach dem Zitat des Urteiltenors folgt [Formulierungen des Verfassers wurden unsererseits unverändert beibehalten]:

„Dies nur als gutgemeinten Ratschlag. Da ich aber auch betroffen bin und mein Ärgernis über die Weitergabe meiner Daten enorm ist, mache auch ich hiermit selbst einen Anspruch nach Art. 82 DSGVO bei Ihnen geltend. Ich beziehe mich auf oben genanntes Urteil.

Die Zahlung in Hohe von 100,- € ist bitte bis zum […] auf folgendes Konto zu entrichten:

[…]

Ich hoffe, dass wir das Thema somit beenden können und mein heutiger Hinweis hilfreich für Sie war, Ihre Webseite in Zukunft DSGVO-Konform zu gestalten.“

Bemerkenswert ist dabei, dass das Schreiben, welches an die Verantwortlichen verschickt wird, nach unseren Informationen ein Massenphänomen und kein Einzelfall ist.

Unsere Vermutung, wie es zu solchen Schreiben kommt

Für uns drängt sich, nachdem wir vom Inhalt dieses Schreibens und der Tatsache, dass es an Verantwortliche scheinbar massenweise verschickt wird, Kenntnis erlangt haben, der Verdacht auf, dass hinter dem behaupteten Schadensersatzanspruch (vereinfacht) folgende Methodik im Sinne eines „Geschäftsmodells“ steckt:

  1. Webseiten suchen, auf denen Google Fonts (nicht lokal eingebunden) eingesetzt wird. Dies dürfte (immer noch) bei sehr vielen Webseiten zutreffen.
  2. Feststellen, inwiefern für die Datenübermittlung in die USA eine (wirksame) Einwilligung gem. Art. 49 Abs. 1 lit. a DSGVO eingeholt wird. Das wiederum wird bei den meisten Seiten nicht der Fall sein, da die aktuellen Consent-Manager hierauf häufig noch gar nicht ausgelegt sind.
  3. Sofern Google Fonts ohne Einwilligung eingesetzt wird, den Zugriff auf die Webseite dokumentieren (eigene IP-Adresse, Zugriffszeitpunkt, besuchte Webseite).
  4. Anhand der Angaben im Impressum oder in den Datenschutzhinweisen den für die Verarbeitung Verantwortlichen feststellen.
  5. Muster des o.g. Forderungsschreibens anpassen und an den jeweiligen Verantwortlichen versenden.
  6. PROFIT (?)

Welche (sinnvollen) Reaktionsmöglichkeiten kommen für die Verantwortlichen in Frage?

Nun stellt sich die Frage, wie Verantwortliche auf solche Schreiben reagieren sollten. Schaut man diesbezüglich in die diversen Veröffentlichungen und Ratschläge im Internet, so lässt sich keine einheitliche Meinung feststellen. Die einen vertreten die Auffassung, dass man, um sich den Ärger vom Hals zu halten, einfach zahlen sollte. Letztlich hatte das LG München in einem ähnlichen Fall diesen Schadensersatz zugesprochen, folglich besteht auch hier ein Risiko. Andere verweisen darauf, dass hier das Vorliegen eines Schadens nicht nur fraglich ist, sondern gar kein Schaden entstanden sei. Letztlich ist es tatsächlich fraglich, ob andere Gerichte dem Urteil des LG München folgen werden.

Kurz zur Erinnerung: Der Schadensbegriff der DSGVO ist nach wie vor sehr umstritten. Es gibt einmal den weiten und den engen Begriff des Schadens. Bei dem ersteren reicht allein eine Verletzung des Schutzes personenbezogener Daten aus, um einen Schaden zu begründen. Bei dem letzteren wird argumentiert, dass Schadensersatz bei bereits jeder (noch so kleinen) individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen nicht zugesprochen werden sollte (hierzu vgl. unseren Artikel vom 17.09.2020).

Unseres Erachtens gibt es einen weiteren Aspekt, den man betrachten sollte. Und zwar ist es fraglich, ob es möglich ist, einen Schadensersatz geltend zu machen, wenn man den Schaden selbst wissentlich mit dem Ziel herbeiführt, um sich (im industriellen Stil im Rahmen der Fließband-Arbeit) zu bereichern. Gemäß § 254 Abs. 1 BGB kann diesbezüglich ein Mitverschulden des angeblichen Beschädigten vorliegen:

Hat bei der Entstehung des Schadens ein Verschulden des Beschädigten mitgewirkt, so hängt die Verpflichtung zum Ersatz sowie der Umfang des zu leistenden Ersatzes von den Umständen, insbesondere davon ab, inwieweit der Schaden vorwiegend von dem einen oder dem anderen Teil verursacht worden ist.

Zudem trifft gemäß § 254 Abs. 2 BGB den Beschädigten eine Schadenminderungspflicht:

Dies gilt auch dann, wenn sich das Verschulden des Beschädigten darauf beschränkt, dass er unterlassen hat, […] den Schaden abzuwenden oder zu mindern.

Denn die §§ 249 ff. BGB dürften zur Haftungsregelung des Art. 82 DSGVO ergänzend Anwendung finden und damit die Möglichkeit der Anspruchskürzung gem. § 254 BGB bestehen (hierzu vgl. Gierschmann/Schlende/Stentzel/Veil/Feldmann, Kommentar Datenschutz-Grundverordnung, Art. 82, Rn. 20).

Wer solche Massenschreiben versendet, kann u.E. einen Schaden auch deshalb nicht geltend machen, weil die im Rahmen der Nutzung von Google Fonts stattgefundene Datenübermittlung in die USA gerade nicht ohne das Wissen und gegen den Willen der (den Fehler geradezu suchenden) Person, sondern gerade mit ihrem Wissen und mit ihrem Willen geschah.

In der Entscheidung des LG München begründet das Gericht den Anspruch der betroffenen Person jedoch gerade mit dem Kontrollverlust über seine Daten. Das Gericht führt es in seiner Entscheidung wie folgt aus:

„Der […] Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist.“

Sofern jemand nach Fehlern sucht und das Übermitteln seiner Daten an Google nicht nur in Kauf nimmt, sondern – um an die erhoffte Schadensersatzzahlung zu kommen – regelrecht beabsichtigt, verliert nicht die Kontrolle über seine Daten. Damit ist sein allgemeines Persönlichkeitsrecht auch nicht verletzt. Folglich kann auch ein Schadensersatzanspruch nicht begründet werden.

Das wäre im Grunde genommen das Gleiche, wie wenn jemand im Winter sich besonders rutschige Schuhe kauft, sich auf einer glatten Straße vor jedem Haus, an dem er vorbei geht, flachlegt, sich dabei filmt (um Beweismaterial zu haben) und die Hausbesitzer wegen des nicht ordnungsgemäßen Winterdiensts auf Schmerzensgeld verklagt. Ähnlich ist es im Straßenverkehr: Um einen Unfall zu vermeiden, muss – auch wenn einem die Vorfahrt genommen wird – trotzdem gebremst werden. Gas zu geben, um einen möglichst hohen Schaden zu verursachen, dürfte wohl nicht im Sinne der Rechtsordnung sein.

Insofern ist es aus unserer Sicht durchaus eine überlegenswerte Option, auf solche Schreiben nicht zu reagieren. Zwar gibt es gute Argumente um Schadensersatzansprüche von solchen Schmerzensgeldjägern möglicherweise abwehren zu können. Dennoch sollte die Datenverarbeitung auf der Webseite (und nicht nur dort) den Vorgaben des Datenschutzes entsprechen. Denn ganz unabhängig davon, ob eine Schadensersastzforderung nun berechtigt ist oder nicht: Eine Datenübermittlung in die USA ohne Rechtsgrundlage stellt einen Datenschutzverstoß dar, was zu Bußgeldern oder eben auch Schadensersatzansprüchen führen kann. Zudem ist es aus technischer Sicht wirklich kein Hexenwerk, die Schriftarten lokal auf dem eigenen Webserver einzubinden. Es gibt aus unserer Sicht daher keinen Grund, dies nicht kurzfristig umzusetzen.

Fazit

Das Thema Schadensersatzanspruch nach der DSGVO bleibt also weiterhin spannend und nun sind in dieser Angelegenheit die Gerichte – die die Büchse der Pandora geöffnet haben – und eventuell die Datenschutzaufsichtsbehörden auf den Plan gerufen. Diese müssen nun entscheiden, inwiefern solche Praktiken wie die oben geschilderte, in unsere Rechtsordnung passen oder nicht. Wir wären jedenfalls sehr verwundert, wenn sie diese Praktiken gutheißen würden und hoffen nun stark, dass diese Pandora-Büchse sich alsbald wieder schließen lässt.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.