Google-Fonts-Abmahnwelle vor dem Aus? BGH stellt der Massenabmahn-Industrie unbequeme Fragen

Bild: IB Photography / Shutterstock.com

Ein Geschäftsmodell wackelt – und mit ihm Tausende Abmahnungen

Die bekannte Google-Fonts-Abmahnwelle, die in den letzten Jahren unzählige Website-Betreiber in Panik versetzte, könnte bald ihr Ende finden. Der Bundesgerichtshof (BGH) hat ein Verfahren mit brisanter Signalwirkung gestoppt – und legt dem Europäischen Gerichtshof (EuGH) jetzt drei grundsätzliche Fragen vor. Es geht nicht nur darum, wie personenbezogen eine IP-Adresse ist, sondern auch, ob man Datenschutzverstöße bewusst herbeiführen darf, um damit Geld zu verdienen.

Was hier verhandelt wird, betrifft mehr als nur ein paar schlecht gesicherte Webseiten: Es geht um die Zukunft eines Systems, das viele als perfide Abmahnfalle erleben. Und um die Frage, wie weit Datenschutz wirklich gehen soll – und darf.

Sind IP-Adressen wirklich “persönlich”?

Zentral im Streit: die IP-Adresse. Sie wird beim Besuch vieler Webseiten automatisch an Server übermittelt – auch an Google, wenn Fonts dynamisch eingebunden sind. Genau das war das Einfallstor für tausende Abmahnungen.

Doch ist eine IP-Adresse automatisch ein personenbezogenes Datum? Nicht unbedingt, sagt das Landgericht Hannover: Google könne den Nutzer doch gar nicht identifizieren, weil es keinen Zugriff auf die Daten der Internetanbieter habe. Doch der BGH sieht das anders – und fragt beim EuGH nach: Reicht es nicht schon, wenn überhaupt jemand – etwa der Provider – den Nutzer identifizieren könnte? Dann wäre jede IP-Adresse personenbezogen, auch wenn Google selbst das gar nicht kann.

Würde sich der EuGH dieser strengeren Auslegung anschließen, hätten Website-Betreiber es künftig noch schwerer, sich gegen Datenschutzvorwürfe zu wehren.

Wenn der Datenschutzverstoß extra provoziert wird

Noch heikler wird es bei Frage zwei: Kann jemand Schadensersatz verlangen, wenn er den Verstoß gegen den Datenschutz absichtlich selbst herbeiführt? Im konkreten Fall hatte der Beklagte gezielt Webseiten mit einem Crawler gescannt, eine Software entwickelt und automatisiert Seiten aufgerufen, bei denen er wusste, dass Daten an Google gesendet werden. Alles nur, um dann eine DSGVO-Verletzung zu dokumentieren – und Geld zu fordern.

Der BGH fragt nun ganz direkt: Ist das noch ein „echter“ Schaden? Oder ist das einfach nur kalkulierter Missbrauch? Der EuGH muss entscheiden, ob selbst inszenierte Datenschutzverstöße zum Kassenmodell taugen – oder eben nicht.

Missbrauch oder legitimer Hinweis?

Die dritte Frage bringt die Moral ins Spiel: Was, wenn die ganze Aktion nur auf Geldmacherei ausgelegt war? Kann man dann noch Schadensersatz verlangen? Oder ist das reiner Rechtsmissbrauch?

Der Beklagte behauptet, er wolle nur auf Datenschutzlücken aufmerksam machen. Doch im Raum steht: Ging es wirklich um Aufklärung – oder nur ums schnelle Geld? Der BGH möchte vom EuGH wissen, ob auch dann ein Anspruch ausgeschlossen werden kann, wenn finanzielle Interessen zwar nicht das einzige, aber klar das dominierende Motiv waren.

Kommentar: DSGVO als Goldgrube? Hoffentlich bald Geschichte

Was als Werkzeug für mehr Datenschutz gedacht war, ist in manchen Fällen zum Geschäftsmodell verkommen. Massenhaft Webseiten absurfen, Verstöße gezielt provozieren, dann abmahnen oder gleich klagen – das hat mit dem eigentlichen Zweck der DSGVO nichts mehr zu tun. Wenn der EuGH hier nicht klare Grenzen zieht, wird aus einem sinnvollen Gesetz endgültig ein Selbstbedienungsladen für Abmahnprofis. Datenschutz ja – aber nicht als Vorwand für Abzocke. Wer den Kontrollverlust über seine Daten selbst plant, darf sich am Ende nicht über Kontrollverlust beschweren.

Quelle: heise.de