Es hat sich in den vergangenen Wochen auch jenseits der Datenschutz-Community herumgesprochen: Viele Websites betten Schriftarten von Google direkt über die Server dieses US-amerikanischen Suchmaschinenbetreibers ein und übermitteln dabei die IP-Adresse des Nutzers dorthin, ohne dass der Nutzer davon erfährt. Grund für den vergleichsweise abrupten Erkenntnisgewinn einer breiten Öffentlichkeit sind, Medienberichten zufolge, tausende Abmahnbriefe, die ein Marchfelder Anwalt für seine Wiener Mandantin an Websitebetreiber in ganz Österreich versandte.

Und warum all das? Weil der Mandantin der "Kontrollverlust" infolge der Weitergabe der (angeblich) eigenen IP-Adresse ein "erhebliches Unwohlsein" verursacht habe. Und wohl auch wegen des Schadenersatzes von 100 Euro, zuzüglich 90 Euro Kosten, den der Rechtsanwalt – gestützt auf die Datenschutz-Grundverordnung (DSGVO) und eine Entscheidung des Landgerichtes München – als Abgeltung für dieses Ungemach forderte. Bei Nichtzahlung drohte er mit Zivilklage und Beschwerde an die Datenschutzbehörde.

Aber wird das Datenschutzrecht hier nicht überstrapaziert?

Seit Einführung der Datenschutz-Grundverordnung ist bei vielen der Eindruck entstanden, jeder "falsche" Umgang mit Daten könnte bereits ein Zuwiderhandeln gegen datenschutzrechtliche Bestimmungen darstellen. Zum Glück ist dem allerdings nicht so.

"Datenschutz" gilt nämlich keineswegs für alle, sondern nur für "personenbezogene" Daten. Das sind nach Art. 4 Z 1 DSGVO Informationen, mit denen man eine natürliche Person zumindest identifizieren kann (sei es auch nur mithilfe eines Dritten, etwa eines Internetproviders für eine IP-Adresse).

IP-Adressen nicht immer personenbezogen

Bei Internet-Protokoll-Adressen (abgekürzt: IP-Adressen) handelt es sich um Nummernfolgen, welche Geräte nutzen, um sich zum Beispiel im Internet eindeutig zu identifizieren. Doch im Gegensatz zu Straßenadressen können sich IP-Adressen (teils sogar regelmäßig) ändern. Wer eine IP-Adresse kennt, verfügt also lediglich über einen Verweis auf ein Gerät, welches ebenso einer natürlichen wie einer (von der DSGVO nicht geschützten) juristischen Person, zum Beispiel einer GmbH, zugeordnet sein könnte. Und mit welchem Gerät bzw. welcher dahinterstehenden Person eine bestimmte IP-Adresse konkret verbunden ist, hängt wiederum von Datum und Uhrzeit der Zuordnung ab. Nur weil der Europäische Gerichtshof (EuGH) IP-Adressen die mögliche Personenbezogenheit zugebilligt hat, folgt daraus noch lange nicht, dass IP-Adressen dies auch zwangläufig sind.

Unterbleibt also – wie vorliegend – in einer Abmahnung die Angabe des genauen Aufrufzeitpunktes, ist keine gesicherte Verknüpfung einer Person mit der IP-Adresse und dem Serverzugriff (falls ein solcher in den Logfiles aufscheint) möglich.

Zweifelhaft ist ein Personenbezug zudem, wenn ein Serveraufruf durch einen "Crawler" oder eine andere automatisierte Software erfolgte (dies lässt sich anhand der Logfiles erkennen). Denn derlei Software läuft in der Regel auf Firmenservern, womit die verwendete IP-Adresse nicht dem Schutz der DSGVO unterliegt. Auch daher empfiehlt sich die Überprüfung der IP-Adresse selbst, um zu ermitteln, ob diese überhaupt der anspruchstellenden Person (z. B. geografisch) zugeordnet werden könnte.

Schadenersatz fraglich

Doch selbst wenn man den Personenbezug bejahen kann, ist fraglich, ob überhaupt eine "Verarbeitung" im Sinne der DSGVO vorliegt. Fehlt eine solche, gelangen keine Datenschutzvorschriften zur Anwendung. Zwar definiert Art. 4 Z 2 DSGVO eine "Offenlegung durch Übermittlung" auch als "Verarbeitung". Doch ist wirklich jede Übermittlung datenschutzrechtlich relevant, selbst wenn, wie im Fall von Google-Schriftarten, die empfangenen IP-Adressen gar nicht gespeichert werden und damit ein Risiko für personenbezogene Daten nicht realistisch ist? Es bestehen zumindest begründete Zweifel daran.

Von alldem zu trennen ist schließlich die Frage nach einem Schadenersatzanspruch. Für einen solchen ist nämlich zusätzlich zum Verstoß auch ein konkreter, daraus erwachsener Schaden erforderlich. Zwar erkannte das Landgericht München in seiner – aus rechtlicher und technischer Sicht zu Recht kritisierten – Entscheidung zu Google-Schriftarten vom 20.1.2022 (3 O 17493/20) bereits in dem durch die Übermittelung verursachten "Kontrollverlust" einen immateriellen Schaden. Das Landgericht Ravensburg hingegen meinte, dass für einen Schadenersatzanspruch eine derartige "Bagatellgrenze" überschritten werden müsse, und legte diese Frage erst vor wenigen Wochen dem EuGH zur Vorabentscheidung vor (1 S 27/22). Wir werden hierzu also in absehbarer Zeit Klarheit haben. Auch ohne die Abmahnbriefe des "Datenschutzanwaltes" und seiner Mandantin. (Árpád Geréd, 3.9.2022)