Einbindung von Google Fronts über externen Server
Das Landgericht München befand am 20.01.2022, dass dynamische IP-Adressen für einen Webseitenbetreiber ein personenbezogenes Datum darstellen. Denn er verfüge abstrakt über die rechtlichen Mittel, um mithilfe der zuständigen Behörde und des Internetzugangsanbieters die betreffende Person bestimmen zu lassen.
Laden von Google Fronts datenschutzwidrig?
Die Beklagte betrieb eine Webseite, auf der sie Google Fronts einband. Bei Aufruf der Webseite durch den Kläger wurde dessen dynamische IP-Adresse an Google weitergegeben. Eine Einwilligung des Klägers dazu lag nicht vor. Der Kläger forderte daher Unterlassung, Auskunft und Schadenersatz.
Dynamische IP-Adresse ist ein personenbezogenes Datum
Das LG München entschied, bei der dynamischen IP-Adresse handele es sich um ein personenbezogenes Datum. Denn die Beklagte verfüge abstrakt über rechtliche Mittel, um mithilfe der zuständigen Behörde und des Internetzugangsanbieters die betreffende Person dahinter zu bestimmen. Die abstrakte Möglichkeit sei ausreichend; auf eine konkrete Möglichkeit komme es nicht an.
Verletzung des informationellen Selbstbestimmungsrechts
Die Beklagte verletze durch die automatische Weitergabe der IP-Adresse an Google das informationelle Selbstbestimmungsrecht des Klägers, so das Gericht. Denn er habe unstreitig nicht in diesen Eingriff eingewilligt. Damit stelle dies einen unzulässige Eingriff in dessen allgemeines Persönlichkeitsrecht dar.
Kein berechtigtes Interesse
Das LG sah auch keine Rechtfertigung für den Eingriff. Ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 f) DSGVO liege nicht vor. Denn Google Fonts könne auch lokal hinterlegt werden. Beim Aufruf der Webseite werde in dem Fall keine Verbindung zu einem Google-Server hergestellt und damit die IP-Adresse auch nicht an Google übertragen.
Nutzer muss IP-Adresse nicht verschlüsseln
Der Kläger selbst sei auch nicht verpflichtet, vor Webseitenaufruf seine eigene IP-Adresse zu verschlüsseln, so das Gericht weiter. Denn dies laufe dem Zweck des Datenschutzrechtes zuwider und kehre diesen sogar um. Das Datenschutzrecht schütze in erster Linie natürliche Personen vor Beeinträchtigungen bei der Verarbeitung ihrer personenbezogenen Daten. Müsse der Kläger selbst seine IP-Adresse verschlüsseln, werde er bei Ausübung seiner schützenswerten Rechte sogar eingeschränkt.
Datenweitergabe löst Schadenersatzanspruch aus
Das Landgericht war der Ansicht, dass dem Kläger auch Schadensersatz in Höhe von 100 EUR zustehe. Zwar sei umstritten, ob eine Erheblichkeitsschwelle erreicht sein müsse, um Bagatellschäden auszuschließen. Dies spiele vorliegend aber keine Rolle. Die Beklagte habe selbst eingeräumt, dass sie die IP-Adresse des Klägers regelmäßig bei dessen Besuchen an Google übermittelt. Dies sei also nicht nur einmalig erfolgt. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht sei damit so erheblich, dass dies einen Schadensersatzanspruch rechtfertige. Denn Google sei ein Unternehmen, das bekanntermaßen Nutzerdaten sammele. Zu berücksichtigen sei auch, dass die IP-Adresse unstreitig an einen Server von Google in den USA übermittelt wurde. Dort sei aber kein angemessenes Datenschutzniveau gewährleistet.
Landgericht München, Urteil vom 20.01.2022, Az. 3 O 17493/20