Die juristische Auseinandersetzung über die dynamische Einbindung von Google Fonts geht in die nächste und entscheidende Runde. Der Bundesgerichtshof (BGH) hat mit einem unlängst gefassten Beschluss ein Verfahren ausgesetzt, um dem Europäischen Gerichtshof (EuGH) drei zentrale Fragen zur Vorabentscheidung vorzulegen. Der Fall mit dem Aktenzeichen VI ZR 258/24 könnte das Ende für ein Geschäftsmodell bedeuten, das in den vergangenen Jahren tausende Webseite-Betreiber in Atem hielt: die systematische Provokation von Datenschutzverstößen zum Zweck massenhafter Abmahnungen.

Der BGH erläutert dazu: Der Beklagte habe einen Webcrawler benutzt, „um automatisiert eine Vielzahl von Webseiten auf die dynamische Einbindung von Google Fonts zu überprüfen“. Unter anderem beim Webauftritt des Klägers habe er so einen „Treffer“ erzielt. Unter Zuhilfenahme einer weiteren extra dafür entwickelten Software sei ein Besuch des Beklagten auf der Homepage des Klägers automatisiert vorgenommen worden. Die dabei an den Beklagten zu vergebene dynamische IP-Adresse sei an Google in den USA weitergeleitet worden.

Die erste Frage, die der EuGH laut der inzwischen veröffentlichten Vorlage vom 28. August nun klären soll, betrifft ein Fundament des Datenschutzes: Wann genau ist eine Information „personenbezogen“ im Sinne von Artikel 4 der Datenschutz-Grundverordnung (DSGVO)? Die Berufungsinstanz in Form des Landgerichts Hannover hatte zuvor argumentiert, dass die dynamisch vergebene IP-Adresse im konkreten Fall kein personenbezogenes Datum sei. Grund: Der US-Konzern Google verfüge nicht über die rechtlichen Mittel, den Besucher mithilfe seines Internetzugangsanbieters zu identifizieren.

„Kontrollverlust“ gezielt herbeigeführt

Der BGH äußert hier indes Zweifel. Er will wissen, ob ein „relativer Maßstab“ gilt. Damit würde es darauf ankommen, ob der Empfänger der Daten die Person grundsätzlich identifizieren kann. Greife dagegen ein „objektiver Maßstab“, würde auch eine dynamische IP-Adresse bereits dann personenbezogen sein, wenn irgendjemand, etwa der Provider, den Bezug zu der Person herstellen kann. Sollte der EuGH diesem „objektiven“ Ansatz folgen, wäre die Hürde für Datenschutzverstöße bei der Übermittlung von IP-Adressen deutlich niedriger als bisher von vielen Gerichten angenommen.

Noch vertrackter ist die zweite Vorlagefrage, die sich mit dem Begriff des immateriellen Schadens nach Artikel 82 der DSGVO befasst. Bisher sahen Gerichte in einem Schaden oft eine „unfreiwillige Einbuße“. Im vorliegenden Casus hat der Beklagte den Verstoß jedoch bewusst und aktiv herbeigeführt, nur um ihn dokumentieren und finanziell geltend machen zu können.

Der BGH will hier wissen, ob ein immaterieller Schaden überhaupt vorliegen kann, wenn eine betroffene Person die Kontrolle über ihre Daten nicht unfreiwillig abtritt, sondern den „Kontrollverlust“ gezielt inszeniert. Dies gilt insbesondere dann, wenn solche Verstöße in großer Zahl automatisiert ausgelöst werden. Der EuGH hat in der Vergangenheit zwar bereits wiederholt betont, dass der Schadensbegriff weit auszulegen ist. Eine Antwort auf die Frage der bewussten Provokation steht aber noch aus.