Google Fonts, IP-Adressen und DSGVO: meine Einordnung aus IT- und Datenschutzpraxis

Google-Fonts-Abmahnwelle: BGH schickt Grundsatzfragen zu IP-Adressen an den EuGH Sind dynamische IP-Adressen immer personenbezogen – und dürfen Datenschutzverstöße gezielt provoziert werden, um daraus massenhaft Schadensersatzansprüche abzuleiten? Stand: Januar 2026 – EuGH-Entscheidung steht noch aus

Einleitung

Die juristische Auseinandersetzung um die dynamische Einbindung von Google Fonts erreicht eine neue Eskalationsstufe. Der Bundesgerichtshof (BGH) hat ein laufendes Verfahren ausgesetzt und dem Europäischen Gerichtshof (EuGH) mehrere Grundsatzfragen zur Vorabentscheidung vorgelegt (Az. VI ZR 258/24).

Im Kern geht es dabei längst nicht mehr um Schriftarten oder Webdesign, sondern um zentrale dogmatische Fragen des Datenschutzrechts: den Personenbezug dynamischer IP-Adressen, den Begriff des immateriellen Schadens sowie die Abgrenzung zwischen legitimer Rechtsdurchsetzung und systematischem Rechtsmissbrauch.

Der konkrete Fall steht exemplarisch für ein Geschäftsmodell, das in den vergangenen Jahren tausende Webseitenbetreiber betroffen hat: Datenschutzverstöße werden automatisiert provoziert, dokumentiert und anschließend kommerziell verwertet.

Sachverhalt

Nach den Feststellungen des Bundesgerichtshofs (BGH) nutzte der Beklagte einen Webcrawler, um automatisiert Webseiten auf die dynamische Einbindung von Google Fonts zu überprüfen. Wurde ein Treffer erzielt, erfolgte ein gezielter automatisierter Seitenaufruf. Dabei wurde die dem Beklagten zugewiesene dynamische IP-Adresse an Google-Server in den USA übermittelt.

Diese Übermittlung wurde anschließend als Datenschutzverstoß dokumentiert und zur Geltendmachung von Schadensersatzansprüchen herangezogen. Der Fall wirft damit nicht nur technische, sondern vor allem grundsätzliche rechtliche Fragen auf.

Personenbezogenes Datum – relativer oder objektiver Maßstab

Zentrale Ausgangsfrage ist, ob eine dynamische IP-Adresse ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO darstellt.

Nach überwiegend vertretener Auffassung folgt die DSGVO einem relativen Ansatz. Maßgeblich ist, ob der jeweilige Verantwortliche oder ein realistischer Dritter unter Berücksichtigung von Aufwand, Kosten, Zeit und rechtlichen Möglichkeiten die betroffene Person identifizieren kann. Diese Sichtweise stützt sich insbesondere auf Erwägungsgrund 26 DSGVO sowie die EuGH-Rechtsprechung (u. a. C-582/14 – Breyer).

Ein objektiver bzw. absoluter Ansatz, wonach ein Personenbezug bereits dann vorliegt, wenn irgendeine Stelle weltweit theoretisch zur Identifizierung in der Lage wäre, wird bislang mehrheitlich abgelehnt. Er würde faktisch nahezu jedes technische Datum personenbezogen machen und zu einer kaum beherrschbaren Überregulierung führen.

Der BGH äußert jedoch Zweifel, ob dieser relative Maßstab in Konstellationen wie der vorliegenden tragfähig ist, und fragt den EuGH ausdrücklich, ob nicht bereits die abstrakte Möglichkeit der Re-Identifizierung – etwa über Internetprovider oder staatliche Stellen – ausreichen könnte.

Immaterieller Schaden und gezielte Provokation

Die zweite Vorlagefrage betrifft den immateriellen Schadensersatz nach Art. 82 DSGVO. Nach aktueller Rechtsprechung genügt ein bloßer Datenschutzverstoß hierfür nicht. Erforderlich ist vielmehr ein konkreter, individuell empfundener Schaden (BGH, Urteil vom 28.01.2025 – VI ZR 109/23).

Besondere Brisanz erhält der Fall dadurch, dass der geltend gemachte Kontrollverlust über personenbezogene Daten nicht unfreiwillig eintrat, sondern bewusst herbeigeführt wurde. Der Beklagte schuf die Voraussetzungen des Verstoßes gezielt, um ihn anschließend rechtlich verwerten zu können.

Damit stellt sich erstmals explizit die Frage, ob ein immaterieller Schaden überhaupt vorliegen kann, wenn die betroffene Person den Kontrollverlust absichtlich inszeniert. Es geht dabei weniger um Beweisfragen als um den Schutzbereich der DSGVO selbst.

Grenze zwischen Datenschutz und Rechtsmissbrauch

Die dritte Vorlagefrage betrifft den möglichen Ausschluss von Ansprüchen wegen Rechtsmissbrauchs. Nach nationalem Recht können Ansprüche ausgeschlossen sein, wenn sie treuwidrig geltend gemacht werden (§ 242 BGB).

Gleichzeitig handelt es sich bei der DSGVO um ein unionsrechtlich weitgehend vollharmonisiertes Regelwerk, das Missbrauchseinwände nur eingeschränkt zulässt. Der BGH bittet den EuGH daher um Klarstellung, ob und unter welchen Voraussetzungen Schadensersatzansprüche ausgeschlossen werden können, wenn die anspruchsbegründenden Umstände bewusst und überwiegend zu dem Zweck geschaffen wurden, finanzielle Vorteile zu erzielen.

Technische Einordnung: Webcrawler und IP-Logging

Im praktischen Kern nutzen Abmahner automatisierte Webcrawler, die HTTP-Anfragen auslösen und dabei IP-Adressen protokollieren. Technisch handelt es sich um alltägliche Serverzugriffe. Rechtlich relevant wird dieser Vorgang jedoch durch die gezielte Dokumentation und anschließende rechtliche Verwertung der IP-Übermittlung.

Einordnung aus meiner Sicht

Persönliche Einschätzung aus IT- und Datenschutzpraxis – keine Rechtsberatung.

Seit Inkrafttreten der DSGVO vertrete ich eine klare, konsistente Position, die sich auch im aktuellen Google-Fonts-Komplex bestätigt sieht. Die Vorlage des BGH an den EuGH ist wichtig, greift aus meiner Sicht jedoch an mehreren Stellen zu kurz bzw. setzt den Fokus falsch.

1. IP-Adressen sind nur relativ personenbezogen

Ich habe dynamische IP-Adressen von Beginn an als relative Daten verstanden. Ohne zusätzliche Informationen lässt sich aus einer IP-Adresse keine konkrete Person identifizieren. Erst die Kombination mit weiteren Merkmalen – etwa Cookies, Login-Daten oder Accounts, über die sich Nutzer zuvor explizit identifiziert haben – kann einen belastbaren Personenbezug herstellen.

Hinzu kommen technische Realitäten, die in der juristischen Diskussion häufig unterschätzt werden:

  • NAT (Network Address Translation) ist heute der Regelfall. Schätzungen gehen davon aus, dass rund 80 % der privaten Haushalte sowie nahezu alle Unternehmensnetze hinter NAT-Gateways betrieben werden. Eine Zuordnung zu einzelnen Personen ist damit faktisch unmöglich.
  • Provider-Logs werden in der Praxis häufig nur wenige Tage (z. B. 7 Tage) vorgehalten – nicht aus Kulanz, sondern aus datenschutz- und kostengetriebenen Gründen.
  • Zwangstrennungen und die regelmäßige Neuvergabe dynamischer IP-Adressen lösen jeden dauerhaften Personenbezug zusätzlich auf.
  • Selbst bei Kenntnis der IP-Adresse bleibt regelmäßig offen, wer zu einem bestimmten Zeitpunkt tatsächlich hinter einem Anschluss saß.

Der Personenbezug einer IP-Adresse ist daher stets kontextabhängig und darf nicht losgelöst von technischen Rahmenbedingungen bewertet werden. Eine pauschale Einstufung als personenbezogenes Datum würde diese Realität ignorieren.

2. Wann ist ein Datenschutzverstoß wirklich provoziert?

Die Diskussion um provozierte Datenschutzverstöße halte ich für gefährlich verkürzt. Unstreitig ist: In Fällen, in denen professionell und systematisch auf Abmahnungen hingearbeitet wird, liegt eine bewusste Provokation nahe.

Problematisch wird diese Argumentation jedoch, wenn sie verallgemeinert wird. Mit derselben Logik ließen sich auch unbeteiligte Personen erfassen, die keine Abmahnabsicht verfolgen. Daraus ergibt sich eine unbequeme, aber notwendige Gegenfrage:

Kann sich jemand als Opfer eines Datenschutzverstoßes darstellen, wenn die Ursache dieses Verstoßes maßgeblich aus dem eigenen Verhalten resultiert?

Diese Frage zielt nicht auf die Abschaffung von Datenschutzrechten, sondern auf deren sachgerechte Abgrenzung. Datenschutz darf nicht zur universellen Opferrolle werden, wenn Ursache und Wirkung bewusst herbeigeführt oder zumindest billigend in Kauf genommen wurden.

3. Grundsatzfrage: Ist die DSGVO überhaupt praktikabel durchsetzbar?

Statt ausschließlich zu fragen, wo DSGVO-Schutz endet und Rechtsmissbrauch beginnt, halte ich eine andere Perspektive für zwingend notwendig:

Ist die DSGVO in ihrer aktuellen Ausgestaltung überhaupt realistisch und flächendeckend durchsetzbar?

Wenn es möglich ist, in industriellem Maßstab tausende formale Verstöße zu identifizieren und zu monetarisieren, wirft das ein strukturelles Problem auf. Wo ist der Staat, der diese Verordnung eigentlich von sich aus durchsetzen soll?

Dass private Akteure diese Rolle faktisch übernehmen können, deutet weniger auf besonders böswillige Webseitenbetreiber hin als auf eine systemische Überforderung der Regulierung. Die schiere Masse potenzieller Verstöße spricht eher gegen eine praxistaugliche Ausgestaltung der DSGVO als für ein funktionierendes Kontrollsystem.

Diese Perspektive sollte in der aktuellen Debatte stärker berücksichtigt werden – unabhängig davon, wie der EuGH im konkreten Google-Fonts-Verfahren entscheidet.

Vergleich: aktueller Stand und offene EuGH-Klärung

Frage Aktueller Stand Offene EuGH-Frage
IP-Personenbezug Relativer Ansatz (ErwG 26) Objektiver Maßstab?
Schaden Konkreter Schaden erforderlich Schaden auch bei Provokation?
Missbrauch § 242 BGB grundsätzlich anwendbar Unionsrechtlich zulässig?

Ausblick

Diskussionsfrage: Seht ihr die DSGVO in dieser Form tatsächlich als durchsetzbar – oder überfordert sie Praxis und Kontrolle gleichermaßen?

Die Entscheidung des EuGH wird weit über den konkreten Google-Fonts-Fall hinausreichen. Sie wird darüber bestimmen, ob die DSGVO primär ein Instrument zum Schutz der Privatsphäre bleibt oder ob sie sich weiter als Grundlage für automatisierte Abmahn- und Anspruchsmodelle eignet.

Für Webseitenbetreiber bleibt bis zur Entscheidung eine gewisse Rechtsunsicherheit bestehen. Die Vorlage des BGH signalisiert jedoch deutlich, dass die deutsche Rechtsprechung der massenhaften, technisch provozierten Abmahnpraxis mit wachsender Skepsis begegnet.

Quellen & Hinweise

  • BGH, Beschluss vom August 2025 – Az. VI ZR 258/24
  • EuGH, Urteil vom 19. Oktober 2016 – C-582/14 (Breyer)
  • heise.de, Artikel vom 10. 01. 2026
💬 Chat öffnen
🧠 Support-Chat