LG München: 3 O 17493/20 vom 20.01.2022

3. Zivilkammer

SCHADENSERSATZ GOOGLE DSGVO AUSKUNFTSANSPRUCH GOOGLEFONTS

Tags hinzufügen

Sie können dem Inhalt selbst Schlagworten zuordnen. Geben Sie hierfür jeweils ein Schlagwort ein und drücken danach auf sichern, bevor Sie ggf. ein neues Schlagwort eingeben.

Beispiele: "Befangenheit", "Revision", "Ablehnung eines Richters"

Redaktioneller Leitsatz

Dynamische IP-Adressen stellen für den Betreiber einer Webseite ein personenbezogenes Datum dar, denn er verfügt abstrakt über die rechtlichen Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (im Anschluss an BGH VI ZR 135/13). RN 5

Der Einsatz von Schriftartendiensten wie Google Fonts kann nicht auf Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden, da der Einsatz der Schriftarten auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss. RN 8

Es besteht keine Pflicht des Besuchers, seine IP-Adresse zu „verschlüsseln“ (meint vermutlich verschleiern, etwa durch Nutzung eines VPN). RN 9

Die Weitergabe der IP-Adresse des Nutzers in der o.g. Art und der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Nutzer empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. RN 12


English Version

Dynamic IP addresses constitute personal data for the operator of a website, because he has the abstract legal means that could reasonably be used to have the person in question determined from the stored IP addresses with the help of third parties, namely the competent authority and the Internet access provider (following BGH VI ZR 135/13).

The use of font services such as Google Fonts cannot be based on Art. 6 (1) p.1 lit. f GDPR, since the use of the fonts is also possible without a connection from visitors to Google servers.

There is no obligation on the part of the visitor to "encrypt" his IP address (presumably means disguise it, for example by using a VPN).

The disclosure of the user's IP address in the above-mentioned manner and the associated encroachment on the general right of personality is so significant with regard to the loss of control over a personal data to Google, a company that is known to collect data about its users, and the individual discomfort felt by the user as a result, that a claim for damages is justified.

QR-Code

Gegenstand

Unterlassungsanspruch und Schadensersatz (hier 100 €) wg. Weitergabe von IP-Adresse an Google durch Nutzung von Google Fonts


Tenor

1. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise Ordnungshaft oder Ordnungshaft bis zu sechs Monaten zu unterlassen, bei einem Aufruf einer von der Beklagten betriebenen Internetseite durch den Kläger dessen IP-Adresse durch Bereitstellung einer Schriftart des Anbieters Google (Google Fonts) dem Anbieter dieser Schriftart offenzulegen.

2. Die Beklagte wird verurteilt, dem Kläger Auskunft zu erteilen, ob den Kläger betreffende personenbezogene Daten verarbeitet werden, sowie gegebenenfalls Auskunft zu erteilen, welche personenbezogenen Daten über den Kläger gespeichert werden.

3. Die Beklagte wird verurteilt, an den Kläger 100,00 € zuzüglich Zinsen hieraus in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 28.01.2021 zu bezahlen.

Entscheidungsgründe

1

Die zulässige Klage ist ganz überwiegend begründet.

I.

2

Der Kläger hat gegen die Beklagte einen Anspruch auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog.

3

Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.

4

1. Bei der von der Beklagten an Google weitergegebenen dynamischen IP-Adresse handelt es sich um ein personenbezogenes Datum im Sinne von § 12 Abs. 1 und 2 TMG (in der zum Übermittlungszeitraum geltenden Fassung, im weiteren alte Fassung), § 3 Abs. 1 BDSG, Art. 4 Nr. 1 DS-GVO.

5

Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 - VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an.

6

2. Die Beklagte verletzte das Recht des Klägers auf informationelle Selbstbestimmung, indem die Beklagte die dynamische IP-Adresse an Google weiterleitete, als der Kläger die Webseite der Beklagten aufrief.

7

Die automatische Weitergabe der IP-Adresse durch die Beklagte an Google war ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, da der Kläger unstreitig in diesem Eingriff nicht gemäß § 13 Abs. 2 TMG a.F., Art. 6 Abs. 1 a) DSGVO eingewilligt hat.

8

3. Es liegt auch kein Rechtfertigungsgrund für den Eingriff in das allgemeine Persönlichkeitsrecht vor. Ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 f) DS-GVO, wie von ihr behauptet, liegt nicht vor, denn Google Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet.

9

4. Der Kläger war auch nicht verpflichtet, vor dem Aufrufen der Webseite der Beklagten seine eigene IP-Adresse zu verschlüsseln. Dies vom Kläger zu verlangen, würde dem Zweck des hier betroffenen Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, zuwiderlaufen, sondern diesen vielmehr umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde (LG Dresden, Urteil vom 11.01.2019, Aktenzeichen 1 AO 1582/18).

10

5. Wiederholungsgefahr ist zu bejahen. Unstreitig wurde die IP-Adresse des Klägers bei Besuchen des Klägers auf der Webseite der Beklagten an Google weitergeleitet. Vorangegangene rechtswidrige Beeinträchtigungen begründen eine tatsächliche Vermutung für die Wiederholungsgefahr, die durch die Beklagte nicht widerlegt wurde. Die Wiederholungsgefahr wird nicht dadurch ausgeräumt, dass die Beklagte mittlerweile Google Fonts so benutzt, dass eine Kundgabe der IP-Adresse der Webseitenbesucher an Google nicht mehr stattfindet. Die Wiederholungsgefahr kann lediglich durch eine strafbewehrte Unterlassungserklärung beseitigt werden.

II.

11

Der Auskunftsanspruch des Klägers folgt aus Art. 15, Art. 4 Nr. 2 DS-GVO.

III.

12

Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (BeckOK Datenschutzrecht, Wolff/Bring, 38. Edition, DS-GVO Art. 82, Rn. 24). Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, ist umstritten (vgl. BVerfG NJW 2021, 1005,Rz. 20 m.w.N.; Kohn ZD 2019, 498 (501); Paal MMR 2020, 14 (16)), kann aber im hiesigen Fall dahingestellt bleiben. Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Klägers auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.7.2020 - C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll. Die Höhe des geltend gemachten Schadensersatzes ist im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung angemessen und wird von der Beklagten auch nicht angegriffen.

Zur besseren Lesbarkeit wurden ggf. Tippfehler entfernt oder Formatierungen angepasst.

Meta

3 O 17493/20

20.01.2022

LG München 3. Zivilkammer

Urteil

Sachgebiet: O

Art. 82 DSGVO, Art. 15 DSGVO, §§ 823, 1004 BGB

Papier­fundstellen: GRUR-RS 2022, 612 BeckRS 2022, 612

Auf dem Handy öffnen Auf Mobilgerät öffnen.

Ähnliche Entscheidungen

6 L 738/21.WI (VG Wiesbaden)

Einstweilige Untersagung der Nutzung des Consent-Dienstes "C[xxx]-Bot"


13 O 244/19 (LG Darmstadt)

Anwendbarkeit von §§ 823, 1004 BGB neben den Normen der DSGVO.


13 U 206/20 (OLG Frankfurt)

Unterlassungsanspruch aus Art. 17 DSGVO - keine Notwendigkeit der Anwendung der §§ 823, 1004 BGB …


I ZR 186/17 (Bundesgerichtshof)

(Vorabentscheidungsersuchen: Klagemöglichkeit von Mitbewerbern oder berechtigten Verbänden vor Zivilgerichten wegen Verstoßes gegen Verordnung (EU) 2016/679 …


2 C 381/21 (AG Pforzheim)

1500 Euro Schadensersatz aus Art. 82 DSGVO wegen unberechtigter Weitergabe des Namens und der Adresse.


Referenzen
Wird zitiert von

Keine Referenz gefunden.

Zitiert

VI ZR 135/13

Aktionen
Zitieren mit Quelle:

TextmarkerBETA

x

Schnellsuche

Suchen Sie z.B.: "13 BGB" oder "I ZR 228/19". Die Suche ist auf schnelles Navigieren optimiert. Erstes Ergebnis mit Enter aufrufen.
Für die Volltextsuche in Urteilen klicken Sie bitte hier.