BGH, Beschl. 28.8.2025 - VI ZR 258/24
Schadensprovokation bei Google Fonts
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 12/2025
Aus: IT-Rechtsberater, Heft 12/2025
Ein immaterieller Schaden i.S.v. Art. 82 Abs. 1 DSGVO ist bei Provokation von – ggf. massenhaft automatisierten – Verstößen mit nicht ausschließlich finanziellen Motiven nicht auszuschließen.
VO (EU) 2016/679 Artt. 4 Nr. 1, 82 Abs. 1; BGB §§ 812 Abs. 1 Satz 1 Alt. 1, 826
Maßstab bei IP-Adress-Übermittlung:Identifizierbarkeit i.S.d. Art. 4 Nr. 1 DSGVO anhand der IP-Adresse setze grundsätzlich nach relativem Maßstab voraus, dass der Datenempfänger oder -übermittler über vernünftigerweise einsetzbare rechtliche Mittel einer Identifizierung ggf. mittels Dritten verfüge (vgl. EuGH v. 19.10.2016 – C-582/14 – Breyer Rz. 47 ff., CR 2016, 791 m. Anm. Nink = ITRB 2016, 267). Der Datenübermittler schaffe aber i.R.e. Weiterverbreitungsmöglichkeit das Risiko einer Identifizierung durch beliebige Dritte über den Accessprovider, so dass möglicherweise ein objektiver Maßstab anzulegen sei (Rz. 20–25 m.w.N.; so unkommentiert zu Art. 46 DSVO ≙ Art. 44 Abs. 1 DSGVO EuG v. 8.1.2025 – T-354/22 – Bindl Rz. 122, CR 2025, 107 = ITRB 2025, 32 [Rössel], anhängig EuGH – C-206/25 u.a.).
Konkretisierung der Identifizierungsmöglichkeit:Sowohl für Websitebetreiber als auch für Google USA bestehe bei von Deutschland aus verursachter oder drohender Schädigung die Möglichkeit einer Bestandsdatenauskunft nach § 100j StPO, § 174 TKG (vgl. Offensichtlichkeit i.S.v. § 101 UrhG) per dynamischer IP-Adresse über die Strafverfolgungs- oder Gefahrenabwehrbehörden. Hier werde aber die IP-Adresse von Websitebetreiber oder Google USA für eine Bestandsdatenauskunft nicht ausreichend lange gespeichert und sei die Erfüllung deren rechtlichen Voraussetzungen offen (Rz. 26 ff. m.w.N.).
Unerfüllter deutscher natürlicher Schadensbegriff:Fraglich sei, ob der – mangels Feststellung zu unterstellende – Verstoß i.S.d. Art. 82 DSGVO in Form unzulässiger Drittlandübermittlung (Artt. 6, 7, 44 ff. DSGVO) einen immateriellen Schaden hervorgerufen habe. Der rein technisierte Websitebesuch sei vorliegend nicht funktionsgerecht erfolgt, sondern zur Verstoßprovokation zwecks Dokumentation zur Erhebung des Datenschutzvorwurfs, und eine Missbrauchsbefürchtung angesichts der mehr als 100.000 Fälle nicht glaubhaft (Rz. 30 f.).
Fragliche Missbrauchsbefürchtung:Der Schadensbegriff sei anhand DSGVO-Zielen weit auszulegen und umfasse einen Datenkontrollverlust auch ohne konkreten Missbrauchseintritt (Erwgrd. 85 Satz 1, 146 Satz 3 der DSGVO). Eine solche Missbrauchsbefürchtung müsse hinsichtlich Umständen und Betroffenem begründet sein, bestehe also nicht bei hypothetischem Risiko eines Missbrauchs durch unbefugte Dritte. Ihr könne vorliegend entgegenstehen, dass der Betroffene die Drittlandübermittlung nur zu Dokumentation und massenhafter Geltendmachung beabsichtigt habe (Rz. 32–37 m.w.N.).
Rechtsmissbrauch:Der Nachweis einer missbräuchlichen Praxis setze objektiv die nach Gesamtbetrachtung auch ex post zu beurteilende Ratioverfehlung trotz formaler Tatbestandserfüllung sowie subjektiv eine Vorteilsabsicht durch künstliche Tatbestandserfüllung voraus. Eine Verstoßprovokation i.R.v. Art. 82 DSGVO könne rechtsmissbräuchlich sein (Rz. 40–43 m.w.N.; vgl. Vorlagefrage 7 zu Art. 15 Abs. 1 DSGVO AG Arnsberg v. 31.7.2024 – 42 C 434/23, anhängig EuGH – C-526/24 – Brillen Rottler).
Vorteilsabsicht:Es müsse aus mehreren objektiven Anhaltspunkten ersichtlich sein, dass wesentlicher Handlungszweck die Erlangung eines ungerechtfertigten Vorteils – also hier finanzielle Interessen – u.a. durch einen rein künstlichen Charakter der Handlung sei. Fraglich sei, ob nicht-finanzielle Motive – hier Hinweis auf die Datenschutzproblematik – ausgeschlossen sein müssten (Rz. 45 f.; vgl. zur entgegenstehenden anderen Erklärung EuGH v. 28.7.2016 – C-423/15 – Kratzer Rz. 40 f. m.w.N.).
VO (EU) 2016/679 Artt. 4 Nr. 1, 82 Abs. 1; BGB §§ 812 Abs. 1 Satz 1 Alt. 1, 826
Das Problem
Auf einer Website wurden Google Fonts nicht lokal, sondern dynamisch eingebunden, so dass beim Seitenaufruf die den Besuchern zugewiesenen IP-Adresse an Google in die USA zum Nachladen von Schriftarten übermittelt wird. Ein Betroffener ruft mit einem Webcrawler zahlreiche Websites auf, um mit mehr als 100.000 Abmahnschreiben im Namen einer IG Datenschutz mit anwaltlicher Hilfe wegen der Drittlandübermittlung je 170 € zur vergleichsweisen Erledigung zu fordern. Nach Medienberichten darüber verlangt der Websitebetreiber Rückzahlung seiner am 25.10.2022 geleisteten Zahlung.Die Entscheidung des Gerichts
Eine Vorabentscheidung des EuGH sei erforderlich, weil bei gegebenem Anspruch des Betroffenen nach Art. 82 DSGVO Rückzahlungsansprüche des Websitebetreibers nach §§ 812, 826 BGB ausschieden.Maßstab bei IP-Adress-Übermittlung:Identifizierbarkeit i.S.d. Art. 4 Nr. 1 DSGVO anhand der IP-Adresse setze grundsätzlich nach relativem Maßstab voraus, dass der Datenempfänger oder -übermittler über vernünftigerweise einsetzbare rechtliche Mittel einer Identifizierung ggf. mittels Dritten verfüge (vgl. EuGH v. 19.10.2016 – C-582/14 – Breyer Rz. 47 ff., CR 2016, 791 m. Anm. Nink = ITRB 2016, 267). Der Datenübermittler schaffe aber i.R.e. Weiterverbreitungsmöglichkeit das Risiko einer Identifizierung durch beliebige Dritte über den Accessprovider, so dass möglicherweise ein objektiver Maßstab anzulegen sei (Rz. 20–25 m.w.N.; so unkommentiert zu Art. 46 DSVO ≙ Art. 44 Abs. 1 DSGVO EuG v. 8.1.2025 – T-354/22 – Bindl Rz. 122, CR 2025, 107 = ITRB 2025, 32 [Rössel], anhängig EuGH – C-206/25 u.a.).
Konkretisierung der Identifizierungsmöglichkeit:Sowohl für Websitebetreiber als auch für Google USA bestehe bei von Deutschland aus verursachter oder drohender Schädigung die Möglichkeit einer Bestandsdatenauskunft nach § 100j StPO, § 174 TKG (vgl. Offensichtlichkeit i.S.v. § 101 UrhG) per dynamischer IP-Adresse über die Strafverfolgungs- oder Gefahrenabwehrbehörden. Hier werde aber die IP-Adresse von Websitebetreiber oder Google USA für eine Bestandsdatenauskunft nicht ausreichend lange gespeichert und sei die Erfüllung deren rechtlichen Voraussetzungen offen (Rz. 26 ff. m.w.N.).
Unerfüllter deutscher natürlicher Schadensbegriff:Fraglich sei, ob der – mangels Feststellung zu unterstellende – Verstoß i.S.d. Art. 82 DSGVO in Form unzulässiger Drittlandübermittlung (Artt. 6, 7, 44 ff. DSGVO) einen immateriellen Schaden hervorgerufen habe. Der rein technisierte Websitebesuch sei vorliegend nicht funktionsgerecht erfolgt, sondern zur Verstoßprovokation zwecks Dokumentation zur Erhebung des Datenschutzvorwurfs, und eine Missbrauchsbefürchtung angesichts der mehr als 100.000 Fälle nicht glaubhaft (Rz. 30 f.).
Fragliche Missbrauchsbefürchtung:Der Schadensbegriff sei anhand DSGVO-Zielen weit auszulegen und umfasse einen Datenkontrollverlust auch ohne konkreten Missbrauchseintritt (Erwgrd. 85 Satz 1, 146 Satz 3 der DSGVO). Eine solche Missbrauchsbefürchtung müsse hinsichtlich Umständen und Betroffenem begründet sein, bestehe also nicht bei hypothetischem Risiko eines Missbrauchs durch unbefugte Dritte. Ihr könne vorliegend entgegenstehen, dass der Betroffene die Drittlandübermittlung nur zu Dokumentation und massenhafter Geltendmachung beabsichtigt habe (Rz. 32–37 m.w.N.).
Rechtsmissbrauch:Der Nachweis einer missbräuchlichen Praxis setze objektiv die nach Gesamtbetrachtung auch ex post zu beurteilende Ratioverfehlung trotz formaler Tatbestandserfüllung sowie subjektiv eine Vorteilsabsicht durch künstliche Tatbestandserfüllung voraus. Eine Verstoßprovokation i.R.v. Art. 82 DSGVO könne rechtsmissbräuchlich sein (Rz. 40–43 m.w.N.; vgl. Vorlagefrage 7 zu Art. 15 Abs. 1 DSGVO AG Arnsberg v. 31.7.2024 – 42 C 434/23, anhängig EuGH – C-526/24 – Brillen Rottler).
Vorteilsabsicht:Es müsse aus mehreren objektiven Anhaltspunkten ersichtlich sein, dass wesentlicher Handlungszweck die Erlangung eines ungerechtfertigten Vorteils – also hier finanzielle Interessen – u.a. durch einen rein künstlichen Charakter der Handlung sei. Fraglich sei, ob nicht-finanzielle Motive – hier Hinweis auf die Datenschutzproblematik – ausgeschlossen sein müssten (Rz. 45 f.; vgl. zur entgegenstehenden anderen Erklärung EuGH v. 28.7.2016 – C-423/15 – Kratzer Rz. 40 f. m.w.N.).