In den letzten Wochen und Monaten ist viel über Google Fonts geredet worden. Unternehmen werden von Privatpersonen angeschrieben und auf vermeintliche Verstöße gegen das Datenschutzrecht hingewiesen. Schmerzensgeld in „schwindelerregender“ Höhe wird verlangt. Und oftmals wissen die angeschriebenen Unternehmen gar nicht, worum es überhaupt geht. In den wenigsten Fällen erstellen Unternehmen ihre Webseite selber, sondern beauftragen das bei einer spezialisierten Agentur.

Das ist in einer arbeitsteiligen Welt ein üblicher Vorgang. Wenn jetzt aber das Unternehmen für einen Datenschutzverstoß über die eigene Webseite in Anspruch genommen wird, stellt sich unweigerlich für das Unternehmen die Frage, warum es auf den Kosten sitzen bleiben soll, wenn es diesen Verstoß nicht originär zu verantworten hat. Naheliegend ist dann die Folgefrage, ob nicht eigentlich die Agentur, die die Webseite erstellt hat, für die Folgen des Verstoßes haften müsste. So naheliegend diese Fragestellung ist, umso schwieriger ist die Beantwortung dieser Frage.

LG München öffnet Büchse der Pandora bei Webfonts

Ausgangspunkt der ganzen Unsicherheiten beim Einsatz von Webfonts ist eine Entscheidung des Landgericht München vom 20. Januar 2022 (3 O 17493/20). Die Münchener Richter haben in dieser Entscheidung festgestellt, dass die dynamische Einbindung von Google Fonts ohne die vorherige Einwilligung der Besucher datenschutzwidrig sei. Die Kammer hat dem Kläger zunächst einen Anspruch auf Unterlassung der Weitergabe seiner IP-Adresse an Google (mit Sitz in den USA) aus § 823 Abs. 1 i.V.m. § 1004 BGB analog zugesprochen. Die unerlaubte Weitergabe der dynamischen IP-Adresse an Google verletze das allgemeine Persönlichkeitsrecht (in der Ausprägung des informationellen Selbstbestimmungsrechtes) des Klägers.

Das Landgericht hatte dem Kläger darüber hinaus auch einen Anspruch auf Zahlung eines Schadenersatzes aus Art. 82 Abs. 1 DSGVO in Höhe von 100,00 EUR zugesprochen. Hierzu führte es aus:

„Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (…). Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, ist umstritten (…), kann aber im hiesigen Fall dahingestellt bleiben. Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Klägers auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (…) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll. Die Höhe des geltend gemachten Schadensersatzes ist im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung angemessen und wird von der Beklagten auch nicht angegriffen.“

Abmahnwelle wegen Google Fonts rollt

Diese Entscheidung bliebt nicht lange ohne Konsequenzen für zahlreiche Websitebetreiber. Da viele Internetseite Google Fonts in der vom Landgericht München beanstandeten Form einbinden, wurden zahlreiche Betreiber mit gleichlautenden Schreiben angeschrieben, in denen diese auf den (angeblich) datenschutzwidrigen Einsatz von Google Fonts hingewiesen wurden. Wörtlich heißt es in diesen Schreiben unter anderem

„Weil Sie nun meine IP-Adresse ohne Zustimmung weitergegeben haben und das, obwohl keine Notwendigkeit und berechtigtes Interesse für die Weitergabe besteht, denn für die Darstellung der Inhalte von Google Fonts auf Ihrer Webseite hatten Sie diese auch einfach lokal auf ihrem Server speichern können, verstoßen Sie gegen die DSGVO. Ebenso verletzten Sie damit mein Recht auf informationelle Selbstbestimmung.
Deshalb möchte ich Sie heute auf dieses Problem hinweisen und Sie dazu anregen die Google Fonts DSGVO-Konform einzubinden. Schließlich bin ich nicht der Einzige, der Ihre Webseite besucht und dessen Daten weitergegeben werden. […]

Dies nur als gutgemeinter Rat. Da ich aber auch betroffen bin und mein Ärgernis über die Weitergabe meiner Daten enorm ist, mache auch ich hiermit selbst einen Anspruch nach Art. 82 DSGVO bei Ihnen geltend. Ich beziehe mich auf oben genanntes Urteil. […]
Ich hoffe, dass wir das Thema somit beenden können und mein heutiger Hinweis hilfreich für Sie war, Ihre Webseite in Zukunft DSGVO-Konform zu gestalten.“

Am Ende wird den Websitebetreibern angeboten, die Angelegenheit durch Zahlung eines Pauschalbetrages in Höhe von 100,00 EUR gütlich beizulegen. So könne man – was allerdings so nicht ausdrücklich erwähnt wird – eine Klage oder eine Meldung an die zuständige Datenschutzaufsichtsbehörde schnell und unkompliziert vermeiden und zugleich den entstandenen immateriellen Schaden kompensieren.
Stephan Hansen-Oest hat über dieses Vorgehen ausführlich in seinem Blog und Podcast informiert. Dabei ist die Intention der Absender der Schreiben klar: man macht sich die Angst sowie die Unsicherheit bei Unternehmen in Bezug auf die DSGVO zu Nutze. Gleichzeitig ist der geforderte Betrag so gering, dass sich die Einschaltung eines Rechtsanwaltes wirtschaftlich nicht lohnt. Gehen in dieser Konstellation genug Unternehmen auf dieses günstige „Angebot“ von 100,00 EUR ein, hat sich der geringe Aufwand für die Versendung der Schreiben bereits gelohnt.

Mittlerweile haben sich wohl auch die ersten Rechtsanwälte des Themas angenommen und unterstützen einzelne Websitebesucher bei der Geltendmachung von Ansprüchen auf Unterlassung und Schadenersatz wegen des Einsatzes von Google Fonts. Auf Twitter wird berichtet, dass sogar bereits erste Klagen bei Gericht anhängig sind. In Österreich hat sich auch kürzlich die Aufsichtsbehörde zu Wort gemeldet, weil auch dort zunehmend Unternehmen von Abmahnungen wegen der dynamischen Einbindung von Webfonts berichteten. Auch die österrichische Wirtschaftskammer berichtet über zahlreiche Abmahnungen.

Man kann von diesen Schreiben und dem Vorgehen halten was man will, richtig ist aber auch, dass eine Nutzung von Google Fonts in der beanstandeten Form tatsächlich nicht nötig ist, vor allem, wenn es eine einfache Lösung gibt, die auch datenschutzkonform ist.

 Droht mir Klaviyo nun die nächste Abmahnwelle? Im Blogbeitrag "Drohen neue DSGVO-Abmahnung wegen Klaviyo?" berichte ich über die neuen Abmahnung wegen des Einsatzes von Klaviyo.

Generalstaatsanwaltschaft führt Hausdurchsuchungen nach Abmahnwelle wegen Google Fonts durch

In einer Pressemitteilung vom 21. Dezember 2022 hat die Generalstaatsanwaltschaft Berlin darüber informiert, dass wegen der massenhaften Abmahnungen wegen Google Fonts Hausdurchsuchungen bei einem Berliner Rechtsanwalt und seinem Mandanten durchgeführt wurden.  In der Pressemitteilung heißt es unter anderem:

In einem Verfahren gegen zwei Beschuldigte – einen 53‑jährigen Rechtsanwalt mit Kanzleisitz in Berlin und dessen 41‑jährigen Mandanten, dem angeblichen Repräsentanten einer „IG Datenschutz“ – wurden heute wegen des Verdachts des (teils) versuchten Abmahnbetruges und der (versuchten) Erpressung in mindestens 2.418 Fällen durch die Polizei im Auftrag der Staatsanwaltschaft Berlin Durchsuchungsbeschlüsse in Berlin, Hannover, Ratzeburg und Baden-Baden sowie zwei Arrestbeschlüsse mit einer Gesamtsumme vom 346.000 Euro vollstreckt.

Den Beschuldigten wird vorgeworfen, bundesweit Privatpersonen und Kleingewerbetreibende, die auf Ihren Homepages sog. „Google Fonts“ – ein interaktives Verzeichnis mit über 1.400 Schriftarten, die das Schriftbild einer Webseite bestimmen – eingesetzt haben, per Anwaltsschreiben abgemahnt zu haben. Zugleich wurde diesen angeboten, ein Zivilverfahren gegen Zahlung einer Vergleichssumme in Höhe von jeweils 170 Euro vermeiden zu können. Dass die behaupteten Schmerzensgeldforderungen wegen Verletzung des Rechts auf informationelle Selbstbestimmung nicht bestanden, soll den Beschuldigten dabei bewusst gewesen sein. Entsprechend sollen sie auch gewusst haben, dass für die Angeschriebenen kein Anlass für einen entsprechenden Vergleich bestand, da sie die angeblichen Forderungen gerichtlich nicht hätten durchsetzen können. Die Androhung eines Gerichtsverfahrens soll daher tatsächlich nur mit dem Ziel erfolgt sein, die Vergleichsbereitschaft zu wecken.

Und weiter heißt es zum Vorwurf, der die Durchsuchung rechtfertigt hat:

Die Beschuldigten aber sollen gerade nicht unbedarft gewesen sein: Mittels einer eigens dafür programmierten Software sollen sie zunächst Websites identifiziert haben, die Google Fonts nutzen. In einem zweiten Schritt und wieder unter Nutzung einer dafür entwickelten Software sollen Sie Websitebesuche durch den beschuldigten 41‑jährigen automatisiert vorgenommen, diese letztlich also fingiert haben. Die dann protokollierten Websitebesuche sollen die Grundlage für die Behauptung der datenschutzrechtlichen Verstöße und die Geltendmachung von Schmerzensgeldansprüchen gewesen sein, die durch die Annahme des „Vergleichsangebotes“ angeblich hätten abgewendet werden können.

Die Beschuldigten sollen daher darüber getäuscht haben, dass eine Person die Websites besucht hat (und nicht tatsächlich eine Software). Mangels Person läge dann aber keine Verletzung eines Persönlichkeitsrechts vor.

Da sie diese Besuche außerdem bewusst vorgenommen haben sollen, um die IP‑Adressen‑Weitergabe in die USA auszulösen, hätten sie faktisch auch in die Übermittlung eingewilligt, so dass eben gerade kein datenschutzrechtlicher Verstoß mehr gegeben war, der eine Abmahnung hätte begründen können.

In einigen Fällen soll zudem überhaupt keine Datenübermittlung in die USA erfolgt, ein darauf basierender Anspruch aber trotzdem geltend gemacht worden sein.

Die Staatsanwaltschaft hatte insgesamt 420 Anzeigen von Abgemahnten erhalten. Die bisherigen Auswertungen der Kontounterlagen hatte ergeben, dass ungefähr 2.000 der Abgemahnten auf das Schreiben die geforderte Zahlung vorgenommen hätten. Ob diese Personen die gezahlten 170,00 EUR jemals von den Beschuldigten zurück erhalten, dürfte in den Sternen stehen. Der finanzielle Aufwand, einen möglichen Rückzahlungsanspruch geltend zu machen und im Zweifel auch gerichtlich durchzusetzen, dürfte in keinem vernünftigen Verhältnis stehen. 

Eine andere interessante Frage dürfte sein, ob das Vorgehen der Beschuldigten nicht selbst einen Verstoß gegen die DSGVO darstellt und einen eigenen Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DSGVO begründet. Die Beschuldigten haben massenhaft Kontaktdaten der Abgemahnten Personen gespeichert.  Soweit Unternehmen angeschrieben wurden, wurden zumindest auch die personenbezogenen Daten der jeweiligen Geschäftsführer gespeichert und verarbeitet. Dies erfolgte zunächst um einen vermeintlichen Rechtsanspruch durchzusetzen. Als Rechtsgrundlage für die Verarbeitung konnten sich die Beschuldigten somit auf die Wahrnehmung berechtigter Interessen im Sinne von Art. 6 Abs. 1 f) DSGVO berufen. Geht man allerdings davon aus, dass der behauptete Rechtsanspruch von Anfang an nicht bestand, lag auch nicht ein berechtigtes Interesse vor, auf das die Verarbeitung hätte gestützt werden können.  Dann war aber auch die Verarbeitung der personenbezogenen Daten der Betroffenen von Anfang an unzulässig und löst eigene datenschutzrechtliche Ansprüche gegen die Beschuldigten aus. Ganz zu schweigen von der Tatsache, dass den Abmahnungen keinerlei Informationen im Sinne von Art. 13 DSGVO beigefügt waren. 

Negative Feststellungsklage gegen den Google Fonts Abmahner

Eine Möglichkeit, sich gegen eine unberechtigte Abmahnung zu wehren, ist die Erhebung einer sog. negativen Feststellungsklage.  Mit einer solchen Klage kann von einem Gericht die Feststellung "verlangt" werden, dass der erhobene Anspruch nicht besteht. Man zwingt die Gegenseite somit in ein gerichtliches Verfahren, um klären zu lassen, dass die Forderung zu Unrecht erhoben wurde.

Am 24. Dezember 2022 berichtete der Kollege Christian von der Heyden, dass er für einen Mandanten vor dem Amtsgericht Charlottenburg (Urt. v. 20.12.2022 - 217 C 64/22) eine solche negative Feststellungsklage nicht nur erhoben hat, sondern auch erfolgreich war. Das Amtsgericht hatte in dem Verfahren wie folgt entschieden:

Es wird festgestellt, dass der Beklagte gegen die Kläger keinen Anspruch auf Zahlung von 170 € hat, wie mit Schriftsatz seines jetzigen Prozessbevollmächtigten vom 19.10.2022 (1/1226544/2022) geltend gemacht.

Zur Begründung hatte das Gericht unter anderem festgestellt:

Allerdings mangelt es insoweit an einem nachvollziehbaren Vortrag des Beklagten, sowohl hinsichtlich der Handlung als auch hin sichtlich der Höhe des begehrten Schadensersatzes.

Das Gericht musste sich mangels Vortrag der Beklagten nicht ernsthaft mit der Frage auseinandersetzen, ob das Vorgehen rechtsmissbräuchlich war. Die Beklagten konnten im Verfahren nicht überzeugend zum Verstoß und zu einem etwaigen Schaden vortragen. 

Update vom 31. März 2023

Tatsächlich hatte ein betroffenes Unternehmen gegen den Abmahner vor dem Amtsgericht Ludwigsburg (Urt. v. 28.2.2023 - 8 C 1361/22) eine solchen negative Feststellungsklage erhoben. Daraufhin hatte der Abmahner seine Ansprüche auf Unterlassung und Schadenersatz aus Art. 82 DSGVO im Wege einer Widerklage ebenfalls vor dem Amtsgericht Ludwigsburg geltend gemacht. Jedoch erfolglos! Das Amtsgericht hatte relativ klar und deutlich festgestellt, dass die Google-Fonts-Abmahnungen rechtsmissbräuchlich waren und der Abmahner daher keinerlei Ansprüche gegen das Unternehmen hatte.

Im Rahmen dieses Verfahrens hatte das AG Ludwigsburg (unwidersprochen) festgestellt, dass der Abmahner mindestens 217.540 (!) Anschreiben verschickt hatte, mit denen er jeweils 170,00 EUR verlangte, was einer Gesamtsumme von 36.981.800,00 EUR entsprach. Bereits aus diesem Grund war für das Gericht klar, dass hier nicht die Verfolgung von Datenschutzverstößen im Vordergrund stand, sondern die Erzielung von Einnahmen. Das sei aus Sicht des Amtsgerichts Ludwigsburg rechtsmissbräuchlich.

Der Abmahner handelte allerdings auch noch aus einem anderen Grund rechtsmissbräuchlich. Dies ergab sich für das Gericht aus dem Umstand, dass sich der Abmahner den Unterlassungsanspruch gegen Zahlung von 170,00 EUR abkaufen lassen wollte. Hierzu stellte das Gericht fest:

Weiter ist zu berücksichtigen, dass das Unterlassungsinteresse des Widerklägers durch Zahlung eines Betrages in Höhe von 170,00 Euro besänftigt hätte werden können.

Mit Abgabe der Unterlassungserklärung soll zukünftigen Rechtsverletzungen vorgebeugt werden. Bereits dadurch, dass der Widerkläger im Anschreiben vom 20.10.2022 angeboten hat, bei Zahlung eines Betrages in Höhe von 170,00 Euro die Sache auf sich beruhen zu lassen, kommt zum Ausdruck, dass es dem Widerkläger nicht vorrangig darum ging, dass weitere datenschutzrechtliche Verstöße unterbleiben, sondern um die Erzielung von Einnahmen. Der Widerkläger selbst hat ausgeführt, dass die Abgabe einer Unterlassungserklärung zwar zielführender gewesen wäre, diese aber im Zweifel nicht notwendig sei. Dies begründet der Widerkläger damit, dass wer auf seiner Webseite X. Fonts einmal zulässig eingestellt hat, dies kaum wieder rückgängig machen wird. Dies mag zwar so sein, ändert jedoch nichts daran, dass jedenfalls eine Wiederholungsgefahr besteht, welche der Widerkläger in Kauf nimmt, wenn er dafür 170,00 Euro erhält.

Darüber hinaus hat der Widerklägervertreter in der mündlichen Verhandlung dargelegt, dass der Widerkläger davon ausgegangen wäre, dass mit der Bezahlung des Betrages von 170,00 Euro durch den Angeschriebenen die Webseite datenschutzkonform ausgerichtet wurde. Dem Vorbringen ist jedoch nicht zu entnehmen, dass eine Überprüfung stattgefunden hätte, ob tatsächlich eine datenschutzkonforme Ausrichtung erfolgt ist. Auch dieser Umstand spricht dafür, dass es dem Widerkläger in erster Linie darum ging, von den Angeschriebenen die 170,00 Euro zu erhalten.

Dass es rechtsmissbräuchlich ist, wenn sich der Abmahnende seinen Unterlassungsanspruch vom Abgemahnten abkaufen lässt, ist auch im Wettbewerbsrecht anerkannt (OLG München, Urteil vom 22.12.2011 - 29 U 3463/11-, juris; OLG Hamburg, Urteil vom 07.07.2010 - 5 U 16/10-, juris).
Die Entscheidung des AG Ludwigsburg ist erfreulich, denn sie stärkt die Interessen der betroffenen Unternehmen ungemein. Wer sich einer offensichtlich unberechtigten Forderung ausgesetzt sieht, kann sich hiergegen wehren und den Abmahner proaktiv in seine Schranken weisen. 
 
 

Rechtsberatung vom Anwalt für Datenschutzrecht

Unsere Rechtsanwälte für Datenschutzrecht aus Düsseldorf unterstützen Unternehmen jeder Größenordnung in allen rechtlichen Fragen zum Datenschutzrecht. Wir beraten unsere Mandanten unter anderem bei der Durchsetzung von und der Verteidigung gegen datenschutzrechtliche Ansprüche.  Wir beraten auch Agenturen bei datenschutzrechtlichen Fragestellungen ihrer Kunden.

Unsere Leistungen im Überblick:

  • Datenschutzrechtliche Prüfung des dargestellten Sachverhalts
  • Unterstützung bei der datenschutzkonformen Umsetzung eines Projektes
  • Unterstützung bei der Durchsetzung oder Abwehr von datenschutzrechtlichen Ansprüchen

Sie möchten einen Beitrag im Internet löschen lassen? Ihr Unternehmen wurde auf Unterlassung und Löschung in Anspruch genommen? Gerne bringe ich Ihnen im Rahmen eines unverbindlichen Erstgesprächs die Rechtslage näher und unterstütze Sie dabei, Rechtsklarheit zu gewinnen. Kontaktieren Sie mich jederzeit für ein Kennenlerngespräch.

Was bedeutet das für Webdesign-Agenturen und die Einbindung externer Schriftarten?

Wenn wir also unterstellen, dass die beanstandete Form der Einbindung von Google Fonts in den meisten Fällen tatsächlich einen Datenschutzverstoß begünstigt, stellt sich unweigerlich die Frage, wer für diesen Verstoß verantwortlich ist und hierfür haften muss. Im DSGVO-Universum ist die Beantwortung dieser Frage relativ schnell möglich. Die Haftung aus Art. 82 DSGVO knüpft an den Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO. Für die Verarbeitung personenbezogener Daten, die beim Betrieb und dem Bereitstellen einer Webseite anfallen, ist in aller Regel der Betreiber der Webseite verantwortlich. In den wenigsten Fällen erstellen Unternehmen ihre Webseiten allerdings selbst. Vielmehr werden mehr oder weniger spezialisierte Agenturen damit beauftragt, den eigenen Internetauftritt zu planen, zu konzipieren und umzusetzen.

Hierbei verlassen sich Unternehmen (oftmals blind) darauf, dass die fertiggestellte Webseite allen rechtlichen Anforderungen entspricht, also auch die Einhaltung der DSGVO.

Und hier lauert ein Haftungsrisiko auch für die Agenturen. Haben die Parteien eine vertragliche Abrede getroffen, wonach die Agentur zur Erstellung einer in allen Belangen rechtskonformen Webseite verpflichtet ist, stellt jede Abweichung hiervon eine Pflichtverletzung dar, die zu einem vertraglichen Schadenersatzanspruch des Kunden führen kann. Entsteht dem Kunden also durch eine datenschutzwidrige Einbindung von Google Fonts ein konkreter Schaden (z.B. Abmahnkosten, Zahlung eines Schadenersatzes, eigene Rechtsanwaltskosten etc.), können diese Schäden unter Umständen als Schadenersatz von der Agentur ersetzt verlangt werden.

Aber auch ohne eine ausdrückliche vertragliche Abrede kann im Einzelfall eine Schadenersatzpflicht der Agentur bestehen. So hatte beispielsweise das Kammergericht Berlin in einem Hinweisbeschluss vom 4.2.2011 (19 U 109/10) folgendes festgestellt:

„Zwar ist in der Regel bei Fehlen einer gesonderten Parteiabrede davon auszugehen, dass die von einer Werbeagentur vorgeschlagene oder umgesetzte Werbemaßnahme rechtmäßig zu sein hat (…). Diese Verpflichtung gilt aber nicht uneingeschränkt. Die Pflicht einer Werbeagentur, dem Auftraggeber auch ohne vertragliche Abrede einen nicht mit Rechten Dritter kollidierende Werbung zur Verfügung zu stellen, wird durch die Zumutbarkeit der Prüfung im Einzelfall begrenzt (…). Wesentliche Parameter für die Zumutbarkeit einer (…) Prüfung der rechtlichen Unbedenklichkeit der Werbemaßnahme sind der mit der rechtlichen Prüfung verbundene Aufwand einerseits sowie das Verhältnis des Umfangs der avisierten Werbung zur Höhe der geschuldeten Vergütung andererseits (…).“

Diese Feststellungen lassen sich auch auf die Konstellation übertragen, dass eine DSGVO-konforme Webseite geschuldet ist. In dem vom KG Berlin zu entscheidenden Fall ging es um eine Markenrecherche für eine einmalige Werbekampagne. Die Vergütung der Agentur für diese Kampagne war vergleichsweise gering. Der Aufwand einer umfassenden Markenrecherche wäre demgegenüber deutlich höher gewesen. Vor diesem Hintergrund nahm das KG Berlin an, dass hier die Agentur ausnahmsweise nicht verpflichtet war, die Rechtskonformität der Werbung zu gewährleisten.

Bei der Erstellung einer Webseite ist bereits die Ausgangslage eine andere. Anders als eine einmalige Werbekampagne, ist eine Webseite in der Regel auf einen dauerhaften Betrieb ausgelegt. Betreiber von Webseiten sind darüber hinaus gesetzlich dazu verpflichtet, diese datenschutzkonform bereitzustellen, anderenfalls drohen neben aufsichtsbehördlichen Verfahren auch zivilrechtliche Verfahren von betroffenen Personen. Die Konzeptionierung einer datenschutzkonformen Webseite stellt sich somit für die Auftraggeber nicht nur als eine unmaßgebliche Nebenpflicht dar. Vielmehr handelt es sich um eine vertragswesentliche Pflicht, denn ohne deren Einhaltung kann die fertiggestellte Webseite nicht gesetzeskonform in Betrieb genommen werden. Gleichzeitig ist der Aufwand für eine rechtliche Prüfung auch nicht sonderlich hoch. Anders als bei einzelnen Werbemaßnahmen, muss die Agentur diese Prüfung nicht jedes Mal neu vornehmen – jedenfalls wenn es um gängige Tools, wie Google Fonts oder ähnliches geht – denn die Pflicht zur Bereithaltung einer datenschutzkonformen Webseite trifft jeden potentiellen Kunden.

Diese Feststellung führt sodann auch zu rechtlichen Konsequenzen. Kann die Webseite aufgrund der Leistungen der Agentur nicht datenschutzkonform betrieben werden, ist diese letztlich mangelhaft und dem Auftraggeber stehen innerhalb der Gewährleistungsfrist die werkvertraglichen Mängelgewährleistungsrechte gegen die Agentur zu. Erstellt also eine Agentur eine Webseite und bindet dabei Google Fonts in einer datenschutzwidrigen Art und Weise ein, ist die Webseite mangelhaft. Entstehen dem Auftraggeber hierdurch Schäden, weil er beispielsweise einen Schadenersatz zahlen musste, muss die Agentur nicht nur den Mangel beseitigen, sondern auch die entstandenen Schäden ersetzen.

Peter Hense schreibt hierzu treffend

„Rechtsverstöße lassen sich in aller Regel dadurch verhindern, dass der Leistungsverpflichtete die Rechtslage ausreichend prüft oder aber prüfen lässt. Eine Agentur muss bei Unsicherheiten die Rechtslage sorgfältig prüfen, gegebenenfalls anwaltliche Rat einholen, um gesetzliche Vorgaben zu prüfen.“

Erfolgt eine solche Prüfung und weist die Agentur den Auftraggeber ausdrücklich darauf hin, dass eine bestimmte Maßnahme aller Voraussicht nach nicht datenschutzkonform ist, kann eine Haftung der Agentur im Einzelfall ausgeschlossen sein, wenn der Auftraggeber ausdrücklich diese Variante wünscht und nicht die datenschutzkonforme. Um beim Beispiel Google Fonts zu bleiben, müsste eine Agentur zur eigenen Enthaftung im Vorfeld darauf hingewiesen haben, dass es mindestens zwei Möglichkeiten zur Einbindung gibt, wovon eine datenschutzrechtlich problematisch ist. Entscheidet sich der Auftraggeber dann ganz bewusst für die datenschutzwidrige Variante, kann dieser später nicht von der Agentur Schadenersatz verlangen, ohne sich nicht zugleich in Widerspruch zu seinem eigenen Verhalten zu setzen.

Freilich darf man die Prüfpflichten der Agentur an dieser Stelle nicht überspannen, im Rahmen einer Interessenabwägung ist allerdings auch zu berücksichtigen, dass diese durch ihre fachliche Expertise näher an den relevanten Themen und den damit einhergehenden datenschutzrechtlichen Problemen sind, als es in den allermeisten Fällen die Kunden sind. Allerdings kann von den Agenturen auch nicht erwartet werden, dass diese ihre Kunden rechtlich beraten – was im Übrigen wegen des Rechtsdienstleistungsgesetzes unzulässig wäre.

Was bleibt zu berücksichtigen?

Das Thema Google Fonts und der Datenschutz wird uns sicher noch eine Weile beschäftigen. Wenn in absehbarer Zeit weitere Gerichte angerufen werden und diese dem Landgericht München sogar folgen, wird das Thema tendenziell sogar noch zunehmen. Vor diesem Hintergrund wäre es geradezu fahrlässig von Agenturen, bei neu zu erstellenden Webseiten weiterhin standardmäßig Google Fonts nicht lokal einzubinden. Klären Agenturen zudem über die Risiken nicht hinreichend auf, laufen sie Gefahr selber in die Haftung genommen zu werden. Bei bereits erstellten Webseiten und laufenden Wartungs- und Pflegeverträgen können Agenturen verpflichtet sein, Kunden über die aktuelle Lage zu informieren und darauf hinzuwirken, die Seite entsprechend anzupassen.

Das Beispiel Google Fonts verdeutlicht noch einmal, wie wichtig auch aus Sicht von Agenturen es ist, sich regelmäßig über die aktuellen Entwicklungen im Datenschutzrecht zu informieren. Keine Agentur ist dazu verpflichtet, sich datenschutzrechtliche Sonderexpertise anzueignen. Eine gewisse Sensibilisierung ist ausreichend aber auch nötig, um auf dieser Basis weitergehende Prüfungen im Einzelfall entweder selber vornehmen zu können oder durch Dritte vornehmen zu lassen. Um nicht selber in die Haftung zu geraten, sollten Agenturen lieber einmal mehr den Einsatz bestimmter Technologien datenschutzrechtlich prüfen und im Falle von ernstzunehmenden Bedenken die Kunden entsprechend hierüber aufklären. Das gilt erst recht, wenn bestimmte Technologien durch medienwirksame Verfahren und Gerichtsentscheidungen nunmehr datenschutzrechtlich zweifelhaft erscheinen. Die Dokumentation dieser Aufklärung sollte tunlichst schriftlich erfolgen, um im Streitfall nachweisen zu können, dass sich der Kunde entgegen des ausdrücklichen Risikohinweises für eine bestimmte Technologie entschieden hat.

 

Rechtsberatung vom Anwalt für Datenschutzrecht

Unsere Rechtsanwälte für Datenschutzrecht aus Düsseldorf unterstützen Unternehmen jeder Größenordnung in allen rechtlichen Fragen zum Datenschutzrecht. Wir beraten unsere Mandanten unter anderem bei der Durchsetzung von und der Verteidigung gegen datenschutzrechtliche Ansprüche.  Wir beraten auch Agenturen bei datenschutzrechtlichen Fragestellungen ihrer Kunden.

Unsere Leistungen im Überblick:

  • Datenschutzrechtliche Prüfung des dargestellten Sachverhalts
  • Unterstützung bei der datenschutzkonformen Umsetzung eines Projektes
  • Unterstützung bei der Durchsetzung oder Abwehr von datenschutzrechtlichen Ansprüchen

Sie möchten einen Beitrag im Internet löschen lassen? Ihr Unternehmen wurde auf Unterlassung und Löschung in Anspruch genommen? Gerne bringe ich Ihnen im Rahmen eines unverbindlichen Erstgesprächs die Rechtslage näher und unterstütze Sie dabei, Rechtsklarheit zu gewinnen. Kontaktieren Sie mich jederzeit für ein Kennenlerngespräch.