Das jüngste Urteil des Landgerichts München I vom 20. Januar 2022 (LG München I, Endurteil v. 20.01.2022 – 3 O 17493/20) hat die unerlaubte Weitergabe der IP-Adresse bei der Einbindung von „Google Fonts“ als illegal bezeichnet und die Beklagte mit der Androhung eines Ordnungsgeldes bis zu 250.000 Euro im Wiederholungsfalle sowie zur Zahlung eines Schadensersatzanspruches in Höhe von 100 Euro verurteilt. Beim Münchener Urteil handelt es sich um einen Präzedenzfall, der in den kommenden Wochen und Monaten sehr große Wellen schlagen wird. Da die meisten nur sehr wenig Ahnung von den Funktionen des Internets haben und blind auf die vermeintlich rechtssichere Einbindung von Programmskripten oder CMS, CDN und CSS vertrauen, soll dieser Artikel die Aufmerksamkeit vieler institutioneller, kommerzieller und privater Internetseitenbetreiber wecken.

1. Das datenschutzrechtliche Problem mit Google Fonts
Eine Internetseite kann so programmiert werden, dass auf ihr Texte, Bilder, Daten oder Schriftarten eingebunden werden und somit ein großes Schönes und Ganzes präsentieren. Weder auf den ersten noch auf den zweiten Blick ist für den normalen Internetseitenbenutzer exakt zu erkennen, woher eigentlich die Inhalte einer Internetseite geladen werden. Dass Bilder und Texte häufig auf dem eigenen Server liegen, also beispielsweise auf www.meine-seite.de, ist in den meisten Fällen wahrscheinlich. Doch im Rahmen des sogenannten „Framing“ können Inhalte auch von anderen Seiten adaptiert und so eingebunden werden, dass der normale Internetseitenbenutzer gar nicht merkt, dass er sich die Internetseite von A anschaut, aber Bilder von B und C eingespielt bekommt und darüber hinaus Textblöcke von D und E zum Lesen angezeigt bekommt. Ein Beispiel hierfür ist die Einbindung eines YouTube-Videos auf der eigenen Internetseite.

Damit nun das kunterbunte Mischmasch aus Texten, Bildern und Videos optisch ein ordentliches Erscheinungsbild erhält, nutzen viele Internetseitenbetreiber „fremde“ Schriftarten. Doch auch Internetseiten, die beispielsweise über Wordpress, Wix, Drupal, Joomla, etc. erstellt worden sind und keinerlei fremde Texte und Bilder verwenden, werden optisch dadurch reizvoll gestaltet, dass besondere Schriftarten, beispielsweise Schreibschriften oder auf Smartphones besonders gut lesbare Schriften, eingebunden werden. Nun muß man aber wissen, dass Schriftarten im Internet nur dann sowohl beim Seitenersteller als auch beim Seitenbetrachter korrekt angezeigt werden, wenn diese auf beiden Systemen installiert sind. Nutzt der Seitenersteller die Schriftart „Musterschrift ABC“, dann muß auch der Seitenbetrachter die Schriftart „Musterschrift ABC“ installiert haben. Ist dies nicht der Fall, dann erscheint beim Seitenbetrachter eine der Systemstandardschriftarten, die wir alle gut kennen, nämlich Arial, Helvetica oder Times New Roman.

Um als Seitenersteller nun sicherzustellen, dass eine Internetseite immer mit der korrekten Schriftart dargestellt wird, muß diese Schriftart auch auf dem Endgerät des Seitenbetrachters verfügbar sein. Hierfür gibt es exakt zwei Möglichkeiten: Entweder die Schriftart wird auf dem Server des Seitenerstellers gespeichert und an den Seitenleser beim Öffnen der Internetseite geladen oder sie wird, was zu 75 Prozent der Fall deutscher Internetseiten ist, automatisch von einem dritten Anbieter eingespielt. Die Schriftart „Musterschrift ABC“ wird also - ähnlich wie ein YouTube-Video - auf der Seite eingebunden.

Diese zwei Möglichkeiten bringen jedoch auch zwei juristische Probleme mit sich: Wenn eine Schriftart auf dem eigenen Server eingebunden und genutzt wird, muß der Eigentümer auch Urheber dieser Schriftart sein oder über eine entsprechende Nutzungslizenz des Autors verfügen. Die meisten werden logischerweise nicht ihre eigene Schriftart programmieren können, klauen dann einfach eine Schriftart von anderen und begehen damit eine Urheberrechtsverletzung. Wenn eine Schriftart automatisch von einem dritten Anbieter, wie beispielsweise „Google Fonts“, eingebunden wird, dann hat der Seitenersteller die Erlaubnis zur Nutzung von Google erhalten, muß aber aufgrund der Datenschutzbestimmungen aufpassen, dass der Seitenleser auch mit der Einbindung dieser „fremden“ Schriftart einverstanden ist.

Technisch gesehen ist das alles ein Kinderspiel: Beim Öffnen der Internetseite werden Texte und Bilder geladen. Parallel dazu wird im Hintergrund der Befehl „Hallo Google! Sende mir die Schriftart ABC!“ ausgeführt. Mit der Bestätigung „Ja, kein Problem. Die Schriftart ABC wird gesendet.“ antwortet Google. Damit aber in einem Netzwerk Client-Server-Applikationen funktionieren können, braucht es eine eindeutige Adresse, damit Client (Internetseite) und Server (Google) überhaupt miteinander kommunizieren können. Das ist das Grundprinzip von Client-Server-Applikationen in jedem Netzwerk.

Jetzt kommt aber der Datenschutz ins Spiel: Die Internetseite auf der IP-Adresse 123.0.0.1 fragt auf dem Server von Google mit der IP-Adresse 124.0.0.1 an, die Daten für die Schriftart ABC an den Internetseitenbesucher mit der IP-Adresse 125.0.0.1 zu übermitteln. Zum besseren Verständnis: Wir besuchen die Internetseite von www.rtl.de, die in unserem Beispiel die IP-Adresse 123.0.0.1 hat. Da RTL die Schriftarten von Google („Google Fonts“) und viele andere „schmutzige“ Webtracker verwendet, wird also der Google-Server gebeten, der in unserem Beispiel auf der IP-Adresse 124.0.0.1 liegt, die Schriftart ABC bereitzustellen. Jetzt müssen wir aber verstehen, dass die IP-Adresse 123.0.0.1 (RTL) die Schriftart gar nicht braucht, sondern wir als Internetseitenbesucher brauchen ja die Schriftart, um die Seite im gewünschten Layout anzuschauen zu können. Und exakt hier liegt das datenschutzrechtliche Problem: Die Schriftart wird also nicht an die IP-Adresse 123.0.0.1 (RTL) gesendet, sondern die IP-Adresse 124.0.0.1 (Google) baut direkt eine Verbindung mit unserer eigenen, privaten IP-Adresse 125.0.0.1 (Internetseitenbesucher) auf, denn wir sind ja derjenige, dem die besagte Schriftart fehlt.

Dadurch kommt aber der große Datenkrake Google in den Besitz unserer IP-Adresse und vieler anderer Daten, wie beispielsweise Betriebssystem, Standort, Uhrzeit, Browser, etc. Dass Google diese Daten weiterarbeitet, speichert und im Rahmen des Data Mining mit anderen Diensten verknüpft, bleibt uns als normalem Internetnutzer völlig verborgen - es sei denn, wir werden explizit um unsere Einwilligung gebeten. Wenn wir nun weiter durch das Internet surfen, stoßen wir mehr oder weniger auf die nächste Internetseite, die mit „Google Fonts“ arbeitet. Der oben genannte Prozeß wiederholt sich und Google weiß nun, aufgrund unserer IP-Adresse, welche Seiten wir besuchen. Und genau dieses Ausspähen soll gemäß Datenschutzgrundverordnung nur dann passieren dürfen, wenn wir als Internetseitenbesucher explizit wissentlich und willentlich unser Einverständnis für dieses Ausspähen gegeben haben.

Im Zusammenhang mit dem Urteil des Landgerichts München wird nun deutlich, dass „Google Fonts“ exakt dann illegal sind, wenn der Internetseitenbesucher nicht auf deren Verwendung und auf die Weitergabe seiner IP-Adresse hingewiesen wird, denn schlußendlich ist die IP-Adresse ein personenbezogener Datensatz. Das konkrete Problem ist die fehlende Einwilligung des Nutzers, dass seine IP-Adresse an „Google Fonts“ bzw. „Google“ weitergegeben wird.

Aber selbst wenn die Einwilligung abgefragt und bestätigt würde, rollt eine formaljuristische Lawine los, die Internetseitenbetreiber gar nicht bewältigen können. Denn - um auf unser oben genanntes Beispiel einzugehen - RTL weiß gar nicht, was Google mit der IP-Adresse anstellt und kann den Internetseitenbesucher überhaupt nicht datenschutzkonform aufklären. Der Hinweis auf „fremde“ Schriftarten ist lapidar und nicht haltbar. RTL müßte genau darlegen, was Google mit den IP-Adressen und anderen personenbezogenen Daten des Internetseitenbesuchers macht. Das kann RTL gar nicht leisten. Darüber hinaus wäre RTL gemäß der geltenden Datenschutzbestimmungen verpflichtet, jedem Internetseitenbesucher auf Anfrage Auskunft darüber erteilen zu müssen, wann und welche personenbezogenen Daten verarbeitet und an Dritte - hier „Google Fonts“ - weitergeleitet worden sind.

RTL dient hier nur als Beispiel und soll in keiner Weise an den sprichwörtlichen Pranger gestellt werden. Vielmehr soll damit deutlich gemacht werden, dass jeder, der eine Homepage betreibt und „Google Fonts“ verwendet, de facto personenbezogene Daten erfaßt und de jure weitergibt. Eine Homepage, die mit „Google Fonts“ arbeitet, wird damit zum verlängerten Arm des großen Datenkrake Google.

2. Die Lösung: Google Fonts abschalten!
Im Kern geht es also um das Problem, dass Internetseitenbetreiber wissentlich (!) IP-Adressen über die Verwendung von Google-Fonts-Schriftarten an Google weiterleiten. Auch moderne „Cookie-Banner“ sind keine Lösung, denn selbst wenn ein Internetbesucher explizit alle Cookies ablehnt, wird trotzdem eine Schriftart von Google nachgeladen, wenn dies auf der Internetseite so programmiert ist. Aus dem Blickwinkel des Webdesigners ist dies traurig, weil die ach-so-schönen Schriftarten nun nicht mehr genutzt werden können. Die einzige Lösung besteht aber leider nun einmal darin, auf „Google Fonts“ zu verzichten.

3. Die Lawine, die nun ins Rollen kommt: CMS, CDN und CSS sind illegal!
Das Ausmaß, das das Münchener Urteil annimmt, dürfte nur den wenigsten bewußt sein! Am Landgericht München wurde ein Präzedenzfall geschaffen, der nun viele Internetseiten, die innerhalb der Europäischen Union betrieben werden, juristisch angreifbar macht. Jedes Mal, wenn Datenpakete aus Quellen Dritter geladen werden, um eine Internetseite darzustellen, kommt die bereits skizzierte Client-Server-Systematik in Netzwerken zum Einsatz. Immer - es geht gar nicht anders - wird dabei die IP-Adresse verwendet. Die IP-Adresse ist aber ein personenbezogener Datensatz, den es zu schützen gilt. Immer - es geht auch hier nicht anders - muß ein Internetseitenbesucher seine Einwilligung geben, dass sein personenbezogener Datensatz verarbeitet werden darf.

Wir kommen auf unser Beispiel zurück: Rufen wir die Internetseite von RTL auf, so baut sich eine Verbindung von unserer IP-Adresse 125.0.0.1 zur IP-Adresse von RTL 123.0.0.1 auf. In diesem technischen Moment werden IP-Adressen ausgetauscht, weitergeleitet und temporär gespeichert, diese sind aber technisch notwendig, denn sonst könnten wir ja gar nicht in Netzwerken miteinander kommunizieren. Unsere IP-Adresse ist nun mindestens zwei Institutionen bekannt: Zum einen bei unserem Internetprovider, also beispielsweise bei Vodafone, Telekom, 1&1, etc., und zum anderen bei RTL.

3.1 Vorratsdatenspeicherung
Unsere IP-Adresse landet nun bei unserem Internetprovider und wird dort im Rahmen der Vorratsdatenspeicherung bzw. Mindestdatenspeicherung oder Mindestspeicherfrist, archiviert. In diesem besonderen Fall ist dem Autor dieses Artikels, Pennula alias Markus Lenz, die Rechtslage nicht vollkommen bekannt. Ein Provider, also ein Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste bzw. ein Betreiber eines öffentlichen Kommunikationsnetzes, muß für die Vermittlung des Internetverkehrs die IP-Adresse verwenden. Er muß sie beispielsweise auch archivieren, um damit die Entgeltabrechnung zu ermöglichen oder um auf Wunsch des Kunden die Erstellung eines Einzelverbindungsnachweises zu dokumentieren.

Dass wir unserem Provider hierzu die Einwilligung erteilen, die IP-Adresse zwecks Vermittlung des Internetverkehrs und Gebührenabrechnung im Internet zu speichern, ist technisch also notwendig. Fraglich bleibt, was unser Provider mit diesen Daten macht? Fraglich bleibt, was hierzu in den Allgemeinen Geschäftsbedingungen von Vodafone, Telekom, 1&1, etc. steht. Aber dies ist ein anderes Problem. Hinzu kommt das umstrittene kriminalpolitische Instrument der Vorratsdatenspeicherung, dass Provider verpflichtet sind, die IP-Adresse zum Zwecke der Ermittlung, Feststellung und Verfolgung von Straftaten zu speichern. Wenn es von den Bürgern der Bundesrepublik Deutschland so gewollt und gesetzlich verankert ist, dann sind Speicherung und Verarbeitung bei Providern sowie die Weitergabe der IP-Adresse an Strafverfolgungsbehörden eine Rechtsnorm, für die unsere Einwilligung de jure erteilt worden ist. Aber auch das ist ein anderes Problem.

3.2 Datenverarbeitung bei Internetanbietern
Zwangsläufig wird unsere IP-Adresse aber nicht nur bei unserem eigenen Internetprovider gespeichert, sondern auch auf dem Server, den wir als Client aufrufen. RTL, um unser Beispiel aufzugreifen, kommt also in den Besitz unserer IP-Adresse. Was machen RTL und seine Hosting-Provider mit unserer IP-Adresse?

Hierzu dient die Datenschutzerklärung, woraus u.a. hervorgeht: „Wir [RTL] und unsere Partner verarbeiten und übermitteln personenbezogene Daten (z.B. Identifier und Browserdaten) für die nachfolgend beschriebenen Zwecke. Hierzu werden Cookies und andere Technologien zur Speicherung und zum Zugriff auf Ihrem Gerät eingesetzt. Wir tun dies, um unser Angebot zu verbessern und zu finanzieren. In diesem Zusammenhang können Daten außerhalb des EWR verarbeitet werden und auch Nutzungsprofile gebildet und mit Daten von anderen Angeboten angereichert werden.“ (Zitat des „Cookie-Banners“ von RTL, Abruf am 9. März 2022).

Die Datenschutzerklärung bei RTL, die abgesehen von diesem genannten Zitat, eine unendlich lange Liste von unbekannten Partnern und undurchschaubaren, unverständlichen Verwendungszwecken beinhaltet, weist uns daraufhin, dass unsere IP-Adresse gespeichert, ausgeschlachtet und weiterverarbeitet wird. Dementsprechend können wir unsere Einwilligung hierzu erteilen oder nicht. Dass für 90 Prozent aller Verbraucher und Internetbenutzer die Einwilligungserklärung von RTL völlig unverständlich ist, ist leider ein anderes Problem. Außerdem gilt, wie bereits oben erwähnt, dass RTL hier nur als prominentes Beispiel dient und nicht an den sprichwörtlichen Pranger gestellt werden soll. Festhalten wollen wir nur, dass RTL in seiner umfassenden Datenschutzerklärung unsere Einwilligung explizit abfragt.

3.3 Zwischenfazit
Wir sehen also, dass nichts im Internet ohne unsere IP-Adresse passieren kann und dass nichts mit unserer IP-Adresse passieren darf, wenn wir nicht explizit die Einwilligung zur Verarbeitung oder Weitergabe erteilt haben. Dass sich große Medienkonzerne, wie RTL bzw. Bertelsmann, datenschutzrechtlich so gut wie möglich absichern, steht nicht zur Debatte. Doch was ist mit den Millionen von kleinen, privaten Internetseitenbetreibern oder von Unternehmen, die auf sogenannte „Content Management Systeme“ (CMS), also auf „Inhaltsverwaltungssysteme“ wie beispielsweise Wordpress, Joomla, etc., vertrauen, um damit im Internet präsent zu sein.

Das Problem hierbei ist, dass viele auf Grundlage von CMS eine Homepage erstellen, weil sie hierfür keinerlei Kenntnisse über die Programmierung im Internet haben müssen. Auch Gewerbetreibende beauftragen „Webdesigner“, die häufig auf Basis von CMS Internetseiten erstellen, aber sich leider überhaupt nicht mit den datenschutzrechtlichen Problemen auskennen. Im Falle von datenschutzrechtlichen Problemen, wie das Münchener Urteil beweist, ist nicht der „Webdesigner“, sondern der Verantwortliche im Impressum haftbar.

Ohne Wissen, naiv und voll haftbar, werden Wordpress, Joomla, etc. genutzt, die wiederum mannigfaltig IP-Adressen ohne Einwilligung des Internetseitenbesuchers verwenden. Gemeint ist damit nicht die Verwendung von „Google Fonts“, sondern von allen Tools und Programmskripten, die blauäugig verwendet werden. Und exakt diese Tools und Programmskripte sind nach konsequenter Auslegung des Münchener Urteils seit dem 20. Januar 2022 illegal!

4. Das Kernproblem: Die fehlende Einwilligung des Nutzers bei CMS, CDN und CSS
Die Entscheidungsgründe für das Münchener Urteil basieren im Kern darauf, dass ein Internetseitenbetreiber die Weitergabe von IP-Adressen unerlaubt ermöglicht hat. Die unerlaubte Weitergabe der IP-Adresse stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts dar. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Die Weitergabe der IP-Adresse war also ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Internetseitenbesuchers, da er diesem Eingriff in sein Persönlichkeitsrecht nicht eingewilligt hat.

Wenn wir die Entscheidungsgründe in verständliche, nicht juristische Worte fassen, dann findet eine unerlaubte Weitergabe von IP-Adressen immer dann statt, wenn ein Internetseitenbesucher nicht die Möglichkeit hat, hierüber wissentlich und willentlich zu entscheiden. Dabei spielt es noch nicht einmal eine Rolle, was mit der IP-Adresse passiert. Es bleibt völlig egal, ob die IP-Adresse für Marketingzwecke ausgeschlachtet wird oder an die Konsumgüterforschung weiterverkauft wird. Das Kernproblem war und ist die fehlende Einwilligung des Internetseitenbesuchers, dass überhaupt seine IP-Adresse weitergegeben wird.

Im Internet tauchen aber noch ganz andere Sachen als „Google Fonts“ auf, nämlich Tools und Programmskripte, die das Erscheinungsbild einer Internetseite erheblich optimieren, beispielsweise Java-Skripte, um Internetseiten automatisch auch für mobile Endgeräte anzupassen, oder sogenannte „Cascading Style Sheets“ (CSS), die über ein sogenanntes „Content Delivery Network“ (CDN) eingebunden werden. In den meisten Fällen kommt hier auch wieder Google ins Spiel, da Google nicht nur Schriftarten, sondern auch Programmskripte („Developer Tools“) kostenlos anbietet. Wird eine Internetseite aufgerufen, werden Texte und Bilder vom heimischen Server geladen, während Schriftarten und Skripte unter Umständen von Google integriert werden. Das macht Google nicht absichtlich, sondern derjenige, der die Internetseite programmiert hat und betreibt.

Technisch notwendige Skripte, um eine Internetseite für eine Vielzahl von mobilen Endgeräten darzustellen (Desktop PC, Tablet PC und Smartphone), werden häufig von anderen Servern aus anderen Ländern nachgeladen. Und es kommt noch schlimmer: Um das Aussehen einer Internetseite zu gestalten, kommen CSS-Frameworks, wie beispielsweise „Bootstrap“ oder „Tachyons“, zum Einsatz. Dabei handelt es sich eigentlich nur um kostenlose, detailliert formulierte Programmskripte, die beispielsweise definieren, welche Schriftgröße oder Schriftfarbe zum Einsatz kommen, ob Verweise rot oder blau unterstrichen sind und vieles mehr. Alle diese „Tools“ sind per se nicht böse, aber sie werden extern eingebunden und basieren immer (!) darauf, dass hinter den Kulissen und automatisch IP-Adressen weitergeleitet werden. Aber äußerst selten, wird von Internetseitenbetreibern weder auf diese externe Einbindung und damit auf die Weitergabe der IP-Adresse hingewiesen noch wird von Internetseitenbetreibern explizit die Einwilligung der Internetbenutzer zur Weiterhabe eingeholt.

Man kann jene Tools auf dem eigenen Server, also auf der eigenen Homepage abspeichern, und muß sie dann nicht aus externen Quellen („Data Repositories“), was immer mit der Weitergabe der IP-Adresse verbunden ist, nachladen. Das ist der einzige datenschutzrechtlich völlig unbedenkliche Weg! Aber 75 Prozent aller Internetseitenbetreiber und knapp 80 Prozent aller Wordpress- oder Joomla-Anwender wissen überhaupt nicht, wie ihre Internetseiten ohne externe Quellen programmiert werden können. Und exakt hier überrollt das Münchener Urteil wie eine Lawine mehr als die Hälfte aller Internetseiten, die innerhalb der Europäischen Union betrieben werden.

Es geht also nicht um den Einsatz dieser Tools, sondern immer darum, ob dem Internetseitenbesucher die Möglichkeit gegeben wird, wissentlich und willentlich sein Einverständnis erteilen zu können, dass seine IP-Adresse mit Verwendung dieser Tools an Drittanbieter übermittelt werden darf. Das Dilemma: Wenn ein Internetseitenbesucher seine Einwilligung verweigert, dann können viele Internetseiten nicht mehr funktionieren, da ja technisch die Weitergabe der IP-Adresse untersagt ist und damit keines der „Tools“ für die korrekte Darstellung der Internetseite geladen werden darf.

5. Die uneingeschränkte Lösung des Problems
Wer die Hürden des Datenschutzes, die zu Recht existieren, einhalten möchte, muß seine Internetseite so programmieren oder programmieren lassen, dass er auf alle externen Programmquellen verzichtet: Keine Google Fonts, keine CSS-Frameworks und keine Einbindung externer Java-Skripte, worüber die IP-Adresse weitergegeben wird. Wer nicht auf Google-Fonts, CSS-Frameworks und externe Java-Skripte verzichten kann, muß zwangsläufig seine Datenschutzerklärung auf der Internetseite anpassen und den Internetbenutzer nicht nur auf die Weitergabe seiner IP-Adresse hinweisen, sondern auch explizit seine Einwilligung einholen.

Fraglich bleibt allerdings, wie der Auskunftsanspruch des Internetseitenbesuchers gemäß Datenschutzgrundverordnung dokumentiert werden soll. Folglich müßte jeder Internetseitenbetreiber eine Art Karteikasten anlegen bzw. eine Datenbank erstellen, in der elektronisch dokumentiert wurde, dass der Internetseitenbesucher mit der IP-Adresse 125.0.0.1 am 5. März 2022 um 12.36 Uhr oder 9. März 2022 um 17:36 Uhr seine Einwilligung zur Weitergabe der IP-Adresse und zur Speicherung in jener Datenbank gegeben hat. Dieses „technische Unding“ macht wiederum das Münchener Urteil angreifbar, aber darüber haben Juristen zu streiten. Faktum ist, dass jeder, der eine Internetseite betreibt, auf die Einbindung externer Datenpakete verzichten sollte.

6. Gleiches Recht für Alle!
Spinnen wir einmal die Konsequenzen aus dem Münchener Urteil weiter, dann sind alle Applikationen im Internet illegal, die unerlaubt und aus nicht technischen Gründen, die Weitergabe einer IP-Adresse ermöglichen. Der öffentlich-rechtliche Rundfunk in Deutschland müßte also Rahmenverträge mit allen Herstellern von Fernsehgeräten („Smart TV“) abschließen, worin eine Klausel enthalten ist, die bestätigt, dass der Eigentümer des Fernsehgerätes explizit und letztlich uneingeschränkt mit der Weitergabe seiner IP-Adresse bei der Nutzung der Mediatheken von ARD und ZDF einverstanden ist.

Nach dem Auskunftsanspruch des Internet-Fernsehzuschauers gemäß Datenschutzgrundverordnung müßten die Fernsehhersteller oder ARD und ZDF auch dokumentieren, ob und wann jene Einwilligung zur Weitergabe der IP-Adresse erfolgt ist. Auch müßten Smart TV eine Möglichkeit besitzen, jene Einwilligung zu widerrufen.

Wer beim Lesen mitgedacht hat, wird nun feststellen, dass mit dem Münchener Urteil gerade eine „datenschutztechnische Bombe“ geplatzt ist! Denn was für das Internet und das internetbasierte Fernsehen gilt, muß zwangsläufig auch für Mobilfunkgeräte gelten. Wer die beiden führenden Betriebssysteme für Mobilfunkgeräte nutzt, also „Google Android“ und „Apple iPhone iOS“, willigt mit dem erstmaligen Benutzen dieser Geräte umfangreichen, undurchschaubaren und technisch unverständlichen Bedingungen zu. Ob und wie die Weitergabe von IP-Adressen für jede Applikation, die nicht von Google oder Apple stammen, abgefragt wird, kann in diesem Artikel nicht überprüft werden. Es dürfte sich jedoch herausstellen, dass die Mehrzahl aller Apps, die von Drittanbietern stammen, eifrig IP-Adressen speichern und weiterverarbeiten, ohne dass der Nutzer hierzu explizit seine Einwilligung erteilt hat. Der Nutzer kann zwar bestimmte „Berechtigungen“ der App festlegen, aber überhaupt nicht darüber entscheiden, was mit seiner IP-Adresse passiert. Man kann nur hoffen, dass der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sowie seine hochdotierten Beamten der entsprechenden Behörde endlich (!) proaktiv tätig werden!

© Markus Lenz - Frankfurt am Main | www.Pennula.de | Zuletzt aktualisiert am 9. März 2022 | E-Mail | Impressum