Vorsicht bei der Einbindung dynamischer Inhalte auf Ihrer Webseite!
Ein aktueller Fall des Landgerichts München zeigt auf, wie aus (scheinbar) unbedeutenden Webseiten-Einstellungen, große Probleme bzw. Datenschutz-Stolpersteine für Ihr Unternehmen entstehen können.
In einem Verfahren des LG München hatte die Betreiberin einer Webseite, Google-Schriftarten dynamisch auf Ihrer Webseite eingebunden ohne ihre Webseitenbesucher darauf hinzuweisen.
Dies stellt bereits einen DSGVO-Verstoß dar, denn dadurch wurden unerlaubt die IP-Adressen ihrer Webseitenbesucher an Google-Server in den USA weitergeleitet.
Was genau ist passiert?
Google stellt auf https://fonts.google.com seit längerer Zeit eine große Auswahl von Schriftarten (Google-Fonts) kostenlos zur Verfügung.
Diese Google-Fonts können auf zwei Möglichkeiten in eine Webseite eingebunden werden:
1. Statische Variante:
Hierbei wird die gewünschte Schriftart durch den Betreiber der Webseite vom Google-Server heruntergeladen und anschließend lokal in die Webseite eingebunden. Datenschutztechnisch ist diese Variante unkritisch da bei einem Webseiten Aufruf keine Verbindung zu den Google-Servern aufgebaut wird.
2. Dynamische Variante:
Bei dieser Variante wird bei jedem Aufruf der Webseite die benötigte Schriftart von den Google-Servern abgerufen. Die Problematik bei dieser Variante besteht darin, das bei dem Verbindungsaufbau zum Google-Server die IP-Adressen der Webseitenbesucher an Google weitergeleitet werden.
Das LG München entschied nun in einem aktuellen Urteil, dass diese dynamische Einbindung und Weiterleitung der IP-Adressen ohne aktive Einwilligung der Webseitenbesucher gegen die DSGVO verstoße. Auf der Webseite muss eine Consent-Management Platform ( CMP ) mit einem entsprechenden Banner bei Aufruf der Webseite eingerichtet werden um der DSGVO zu entsprechen.
Das Gericht stellte fest, dass die unerlaubte Weitergabe der IP-Adresse an Google die Besucher in Ihrem allgemeinen Persönlichkeitsrecht verletze. Denn auch bei dynamischen IP-Adressen handelt es sich nach Auffassung der DSGVO um ein personenbezogenes Datum.
Zitat aus der Urteilsbegründung:
Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.
Bei der von der Beklagten an Google weitergegebenen dynamischen IP-Adresse handelt es sich um ein personenbezogenes Datum im Sinne von § 12 Abs. 1 und 2 TMG (in der zum Übermittlungszeitraum geltenden Fassung, im weiteren alte Fassung), § 3 Abs. 1 BDSG, Art. 4 Nr. 1 DS-GVO.
Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 – VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an.
Das komplette Urteil finden Sie hier.
Das Gericht sprach dem Kläger, der die Webseite besuchte, 100 € Schadensersatz zu. Auch wenn wie in diesem Fall der Schadensersatzanspruch milde ausfiel und anfallende Gerichtskosten sowie Zeitaufwendungen außer Acht gelassen werden, macht das Urteil erneut deutlich, wie wichtig eine umfassende Beratung sowie professionelle Erstellung Ihrer Unternehmenswebseite ist.
Denn auch kleine Unternehmen können (wenn auch unwissentlich) gegen Auflagen der DSGVO verstoßen. Schließlich ging es bei diesem Verfahren lediglich um die dynamische Einbindung von Google-Fonts was jahrelang auf einem Großteil aller Webseiten praktiziert wurde.
Die dynamische Einbindung von Webseiteninhalten geht jedoch weit über das Bereitstellen von Schriftarten hinaus, etliche Webseiten setzen mittlerweile auch bei Bildern, Videos, CSS sowie Javascript-Dateien auf dynamische Einbindungen und nutzen dafür das weit verbreitete CDN ( Content Delivery Network ).
CDN ist ein Verbund aus Servern, auf denen statische Webseiteninhalte ausgelagert werden, um diese dem Webseitenbesucher vom nächstgelegenen Server bereitstellen zu können.
Ein prinzipiell nachvollziehbarer Ansatz, da das Ziel dieser Technik ist, die Aufrufgeschwindigkeit der Webseite zu erhöhen und die Anfragelast zu reduzieren.
Je nach Art der geladenen Ressourcen fällt es jedoch schwer, Besuchern zu erklären, warum sie für den Einsatz einer Schriftart Ihre IP-Adresse an Google oder andere Dienstleister außerhalb der EU übermitteln müssen, ohne vorher gefragt zu werden. Zumal der Kunde keinen unmittelbar erkennbaren Vorteil davon hat, dass die Dateien von einem fremden Server kommen. Die Pflicht, die Zustimmung des Kunden einzuholen, liegt daher bei den Betreibern der Webseite und wird bis heute in vielen Fällen rechtswidrig nicht erfüllt.
Eine Schwierigkeit dabei ist dem Kunden bereits die Startseite mit der Einwilligung zu präsentieren, ohne die benutzte Schriftart vorher von einem CDN abzurufen.
Die Einhaltung des umfangreichen DSGVO Regelwerks ist bei weitem keine leichte Gesetzgebungsaufgabe und gerade in Verbindung mit der immer komplexer werdenden digitalen Vernetzung eine rasend wachsende und kaum mehr überschaubare Herausforderung, insbesondere für kleine und mittelständische Unternehmen.
Eine zu befürchtende Abmahnwelle hat noch nicht begonnen, doch es bleibt abzuwarten welche weiteren Entwicklungen sich aus diesem Präzedenzfall des LG in München für viele Webseiten-Betreiber noch ergeben werden.
Gerne unterstützen wir sie bei der Umsetzung der DSGVO auf Ihrer Webseite, damit sie auch Weiterhin kein Problem mit Abmahnungen bekommen. Nehmen Sie direkt Kontakt zu uns auf!