Münchens regionala domstol Landgericht München (LG München) har beviljat en registrerad 100 euro i skadestånd efter att en personuppgiftsansvarig olagligt överfört den registrerades IP-adress till Google LLC genom användning av Google Fonts.
Av domen framgår bland annat att den registrerade är en privatperson som besökt den personuppgiftsansvariges webbplats. Den personuppgiftsansvarige använde Google Fonts på ett sådant sätt att den registrerades dynamiska IP-adress automatiskt överfördes till Googles server i USA. Google Fonts är ett bibliotek som innehåller över 1 300 olika typsnitt och som kan bäddas in på en webbplats av dess operatör.
LG München ansåg att överföringen till Google via Google Fonts skett i strid med dataskyddsförordningen (GDPR) och därmed mot den registrerades konstitutionella rätt till informativt självbestämmande. Följaktligen beviljade domstolen ett föreläggande enligt § 823.1 BGB i förening med § 1004 BGB (analogt) och utdömde ett skadestånd på 100 euro.
LG München konstaterade först att ett föreläggande kräver en rättighetskränkning och en risk för att denna kränkning i framtiden kan upprepas igen (risk för upprepning). Domstolen konstaterade att överföringen av IP-adressen till Google utan den registrerades samtycke enligt artikel 6.1 (a) GDPR är en kränkning av den registrerades konstitutionella rätt till informativt självbestämmande. Enligt LG München är en dynamisk IP-adress att betrakta som en personuppgift enligt artikel 4.1 GDPR eftersom den personuppgiftsansvarige har en abstrakt möjlighet att identifiera den registrerade.
LG München ansåg också att överträdelsen inte är motiverad enligt artikel 6.1 (f) GDPR eftersom Google Fonts kan användas utan att ha en anslutning till Googles servrar. Domstolen avvisade därmed den personuppgiftsansvariges argument att den registrerade borde ha maskerat sin IP-adress, eftersom detta skulle strida mot syftet med dataskyddslagstiftningen att skydda de registrerade genom att göra de registrerade ansvariga för sitt eget skydd.
När det gäller skadestånd fastställde domstolen att begreppet skadestånd i artikel 82.1 GDPR ska tolkas brett i enlighet med mening 3 i skäl 146 i GDPR. Tolkningen av begreppet måste uppfylla GDPR:s mål, inklusive målet att sanktionera brott mot dataskyddet och förhindra framtida brott. Domstolen lämnade dock frågan obesvarad om överträdelsen måste överskrida en viss tröskel för att skadestånd ska kunna utdömas. Enligt LG München har en sådan tröskel klart överskridits i det aktuella fallet, eftersom IP-adressen överfördes mer än en gång till Google, som är ett företag som är känt för att samla in uppgifter, och eftersom IP-adressen överfördes till USA, ett land som saknar en adekvat skyddsnivå.