Schadenersatz wegen Google Fonts? Jetzt muss der EuGH entscheiden

Erinnern Sie sich? Vor einiger Zeit schwappte eine Welle von Abmahnungen über Deutschland, weil Betreiber von Webseiten Google Fonts einsetzten. Gezahlt werden sollten niedrige Beträge. Einer, der gezahlt hat, klagte jetzt auf Rückzahlung. Eine der zentralen Fragen: Gibt es Schadenersatz auch bei missbräuchlichem Verhalten?

Hintergrund des Verfahrens

Ausgangspunkt des Rechtsstreits ist der massenhafte Versand von Abmahnungen wegen der dynamischen Einbindung von Google Fonts. Der Beklagte hatte mithilfe eines Webcrawlers automatisiert Webseiten aufgerufen, die Schriften über Google-Server luden. Durch diese Art der Einbindung der Google-Fonts wurde die jeweilige IP-Adresse an Google in die USA übermittelt wurde.

Anschließend verschickte der Beklagte über seinen Rechtsanwalt standardisierte Schreiben an die Betreiber der betroffenen Seiten, in denen er 170 Euro als „Schmerzensgeld“ forderte.

Ein Webseiten-Betreiber zahlte den Betrag, verlangte jedoch nach Bekanntwerden der Massenabmahnung (es wurden über 100.000 (!) solcher Abmahnungen verschickt) die Rückerstattung.

Die Vorinstanzen entschieden unterschiedlich: Das AG Hannover sprach dem Kläger 70 Euro zu, das LG Hannover schließlich den vollen Betrag. Das LG sah in dem Vorgehen eine vorsätzliche sittenwidrige Entschädigung. Interessant: Beklagter war nicht nur der, der den Webcrawler einsetzte, sondern auch sein Rechtsanwalt, der letztlich die Abmahnungen verschickte.

Dabei entschied das Landgericht, dass ein Anspruch auf Schadenersatzersatzanspruch bestand, denn

1. mit der Weitergabe der dynamischen IP-Adresse des Beklagten an Google USA war kein personenbezogenes Datum betroffen;
2. es war kein Schaden kein entstanden und
3. – selbst wenn es einen Schaden gegeben hätte -, wäre der Ersatzanspruch wegen Rechtsmissbrauchs ausgeschlossen.

Gegen die Entscheidung des Landgerichts legten die Beklagten Revision ein, sodass die Sache beim BGH (Beschl. vom 28.08.2025 – VI ZR 258/24) landete.

Dieser stellte fest, dass der Fall über das nationale Recht hinaus Fragen der unionsrechtlichen Auslegung der DSGVO aufwirft. Daher legte er dem EuGH drei komplexe Fragen zur Vorabentscheidung vor.

Ist die IP-Adresse ein personenbezogenes Datum?

In der ersten Frage geht es um die Frage, ob dynamische IP-Adressen personenbezogene Daten sind.

Konkret möchte der BGH wissen, ob bereits dann ein personenbezogenes Datum vorliegt, wenn irgendein Dritter – etwa der Internetzugangsanbieter – über Zusatzwissen verfügt, das eine Identifizierung erlaubt.

Oder ob es darauf ankommt, ob der übermittelnde Verantwortliche (hier der Webseitenbetreiber) oder der Empfänger (hier Google) selbst über rechtliche und tatsächliche Mittel verfügt, die Identität desjenigen zu bestimmen, dessen IP-Adresse übermittelt wurde.

Der BGH stellt damit die bislang herrschende relative Betrachtungsweise in Frage und deutet eine mögliche objektive Auslegung an.

Schaden trotz bewusster Provokation?

Die zweite Vorlagefrage betrifft die Auslegung des Art. 82 Abs. 1 DSGVO, wonach jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz hat. Der EuGH soll klären, ob ein immaterieller Schaden auch dann vorliegen kann, wenn die betroffene Person den Verstoß bewusst und ausschließlich provoziert, um Schadensersatz geltend machen zu können.

Der BGH verweist auf die jüngere EuGH-Rechtsprechung, wonach bereits die begründete Befürchtung einer missbräuchlichen Verwendung personenbezogener Daten einen immateriellen Schaden darstellen kann. Unklar bleibt aber, ob dieser Ansatz auch gilt, wenn der Betroffene die Datenübermittlung absichtlich herbeiführt – wie im vorliegenden Fall, in dem über 100.000 Webseiten automatisiert besucht wurden.

Das LG Hannover hatte einen Schaden verneint, da der Beklagte seine IP-Adresse freiwillig preisgegeben habe und keine tatsächliche Beeinträchtigung vorliege.

Schaden ist nicht gleich Schaden

Allerdings muss aus Sicht des BGH geklärt werden, was ein Schaden ist. Im deutschen Recht verstehen Juristen darunter „jede unfreiwillige Einbuße an materiellen und immateriellen Gütern in Folge eines bestimmten Ereignisses“. Dieses Verständnis schließt einen Schadensersatz aus, wenn es sich um eine freiwillige Einbuße handelt.

Aber: Die DSGVO verweist für den Begriff des immateriellen Schadens nicht auf das jeweilige nationale Recht, sodass eine sog. autonome unionsrechtliche Auslegung vorzunehmen ist. Und dies darf nur der EuGH.

In der Vergangenheit hat der EuGH schon häufiger die Gelegenheit bekommen, sich zum Schadensbegriff zu äußern. So reicht beispielsweise der bloße Verstoß gegen die DSGVO nicht aus, vielmehr ist der Eintritt eines Schadens aufgrund dieses Verstoßes erforderlich. Dabei kann aber ein Kontrollverlust ausreichend sein. Und – sehr wichtig – die betroffene Person trägt die Beweislast für den Eintritt des Schadens.

Grundsätzlich, so der BGH, könnte man also durch die (unzulässige) Datenübertragung an Google ein solcher Kontrollverlust eingetreten sein – und damit ein ersatzfähiger Schaden.

Dieser Überlegung kann aber entgegenstehen, dass der Beklagte es ganz gezielt auf die Übertragung der Daten in die USA angelegt hat.

Eine solche Provokation zum Gesetzesverstoß war bisher noch nicht Gegenstand der Rechtsprechung des EuGH, weswegen der BGH diese Frage vorlegt.

Rechtsmissbrauch und unionsrechtliche Grenzen

Schließlich möchte der BGH vom EuGH wissen, ob in Fällen dieser Art ein Anspruch auf Ersatz immaterieller Schäden wegen Rechtsmissbrauchs ausgeschlossen werden kann. Nach ständiger Rechtsprechung des EuGH ist eine missbräuchliche Berufung auf Unionsrecht unzulässig, auch im Verhältnis zwischen Privaten.

Der BGH bittet um Klärung, ob bereits die bewusste Schaffung der Voraussetzungen für einen Datenschutzverstoß – verbunden mit dem Ziel, sich daraus finanzielle Vorteile zu verschaffen – als missbräuchliches Verhalten im Sinne des Unionsrechts zu qualifizieren ist. Offen ist zudem, ob ein solches Verhalten nur dann als rechtsmissbräuchlich gilt, wenn die finanzielle Motivation allein ausschlaggebend war, oder ob auch „gemischte“ Beweggründe – etwa ein behauptetes Datenschutzinteresse – ausreichen.

Bedeutung für Praxis und Datenschutzrecht – nicht nur beim Einsatz von Google Fonts

Die Vorlageentscheidung ist für die Praxis von erheblicher Relevanz. Zum einen berührt sie die grundlegende Frage, wann technische Identifikatoren wie dynamische IP-Adressen personenbezogene Daten darstellen.

Diese Frage ist insbesondere für Webseiten-Betreiber relevant, z.B. auch für den Einsatz des Google Tag Managers und der Notwendigkeit des Einholens einer Einwilligung.

Zum anderen betrifft das Verfahren den zunehmenden Trend zu „Abmahn- und Schadensersatzaktionen“ im Datenschutzrecht. Sollte der EuGH auch bei provozierten Datenschutzverstößen einen Schadensersatzanspruch bejahen, könnte dies zu einer neuen Welle von Abmahnung als Einnahmequelle für Betroffene führen.

Verneint der EuGH hingegen die Ersatzfähigkeit oder erkennt einen Missbrauch an, würde dies den Versuch unterbinden, aus gezielten DSGVO-Verletzungen finanzielle Vorteile zu ziehen.

Ausblick

Bis zur Entscheidung des EuGH bleibt offen, ob die Übermittlung einer dynamischen IP-Adresse bereits an sich ein personenbezogenes Datum ist und ob bewusst provozierte Datenschutzverstöße einen ersatzfähigen immateriellen Schaden begründen können. Die Entscheidung des BGH verdeutlicht, dass das Verhältnis von Datenschutz und Rechtsmissbrauch im Rahmen der DSGVO bisher weiterhin ungeklärt ist. Der EuGH erhält erneut die Gelegenheit, Grundsatzfragen des europäischen Datenschutzrechts zu beantworten.

Bei Fragen zum Datenschutz unterstützen wir Sie gerne.