Landgericht München (LG München) har beviljat en registrerad 100 euro i skadestånd efter att en personuppgiftsansvarig olagligt hade överfört dennes IP-adress till Google LLC genom användning av Google Fonts.
Av domen framgår att den registrerade är en privatperson som besökt den personuppgiftsansvariges webbplats. Den personuppgiftsansvarige använde Google Fonts på ett sådant sätt att den registrerades dynamiska IP-adress automatiskt överfördes till Googles server i USA. Google Fonts är ett bibliotek som innehåller över 1300 olika typsnitt och som kan bäddas in på en webbplats av dess operatör.
LG München ansåg att överföringen till Google via Google Fonts stred mot dataskyddsförordningen (GDPR) och därmed mot den registrerades konstitutionella rätt till informativt självbestämmande. Som en följd av detta beviljade domstolen ett föreläggande enligt § 823.1 BGB i förening med § 1004 BGB (analogt) och beviljade ett skadestånd på 100 euro.
LG München konstaterade först att ett föreläggande kräver en rättighetskränkning och en risk för att denna kränkning i framtiden kan upprepas igen (risk för upprepning). Domstolen konstaterade att överföringen av IP-adressen till Google utan den registrerades samtycke enligt artikel 6.1 (a) GDPR är en kränkning av den registrerades konstitutionella rätt till informativt självbestämmande. Domstolen kom fram till att en dynamisk IP-adress är att betrakta som en personuppgift enligt artikel 4.1 GDPR, eftersom den personuppgiftsansvarige har en abstrakt möjlighet att identifiera den registrerade.
Domstolen ansåg också att överträdelsen inte är motiverad enligt den personuppgiftsansvariges berättigade intresse enligt artikel 6.1 (f) GDPR eftersom Google Fonts kan användas utan att ha en anslutning till Googles servrar. Domstolen avvisade den personuppgiftsansvariges argument att den registrerade borde ha maskerat sin IP-adress, eftersom detta skulle strida mot syftet med dataskyddslagstiftningen att skydda registrerade genom att ålägga de företag som behandlar uppgifter skyldigheter och inte göra de registrerade ansvariga för sitt eget skydd.
Domstolen bekräftade vidare att risken för upprepning faktiskt förutsätts när en kränkning av rättigheter har fastställts. Domstolen konstaterade att denna presumtion inte hade vederlagts av den personuppgiftsansvarige och att behovet av föreläggande inte var upplöst, eftersom den personuppgiftsansvarige i efterhand aktiverade funktionen för att använda Google Fonts utan att skicka IP-adressen till Google. Endast en straffbar förklaring om att upphöra och avstå från den personuppgiftsansvarige skulle ge tillräckliga garantier för den registrerade att den personuppgiftsansvarige inte kommer att upprepa sitt olagliga beteende i framtiden.
När det gäller skadestånd fastställde domstolen att begreppet skadestånd i artikel 82.1 GDPR ska tolkas brett enligt mening 3 i skäl 146 i GDPR. Tolkningen av begreppet måste uppfylla förordningens mål, inklusive målet att sanktionera brott mot dataskyddet och förhindra framtida brott. Domstolen lämnade frågan obesvarad om överträdelsen måste överskrida en viss tröskel för att skadestånd ska kunna utdömas. Domstolen drog slutsatsen att en sådan tröskel klart överskreds i det aktuella fallet, eftersom IP-adressen överfördes mer än en gång till Google, som är ett företag som är känt för att samla in uppgifter, och eftersom IP-adressen överfördes till USA, ett land som saknar en adekvat nivå av dataskydd.