LG München - 3 O 17493/20 vom 20.01.2022 (번역)

LG München: 3 O 17493/20 vom 20.01.2022

심심한 설날을 보내던 중 재미있는 판결문을 보게 되어서 번역 해 보았다.

GDPR 관련 독일 법원에서 선고한 판결문인데 알아두면 나쁘지 않을 것 같다.

원문: https://rewis.io/s/u/zH2/

최대한 본문 내용 그대로를 담고 싶었으나 오역이 있을 수 있습니다.

본 내용은 전문 번역이 아니므로 오역이 있을 수 있으므로 참고 목적으로만 사용하시기 바랍니다.

Redaktioneller Leitsatz (결정의 요약)

동적 IP 주소는 웹 사이트 운영자에게 개인 정보로서 대표(이용)될 수 있다. 그 이유는 제3자 (관할 기관, 인터넷 서비스 제공자)의 도움을 받아 개인을 식별할 수 있는 법적 수단으로서 저장된 IP 주소는 이용될 수 있기 때문이다. (BGH VI ZR 135/13)

BGH VI ZR 135/13: 웹 사이트 운영자가 저장한 동적 IP 주소는 접속자를 식별하는데 합리적으로 사용할 수 있다는 추상적인 법적 수단을 가지고 있다라고 판시한 독일 연방 사법 재판소의 2017년 5월 16일 판결문 인용 - 이를 인용하는 이유는 Google이 IP 주소를 연결할 수 있는지에 대한 여부가 중요한게 아니라 추상적인 “가능성”만으로도 식별할 수 있는데 그 근거로 사용하였다.

Google Fonts와 같은 글꼴 제공 서비스를 사용하는 경우 방문자(여기서는 웹 사이트의 사용자를 말한다)가 구글 서버에 직접적으로 연결을 맺지 않고도 글꼴 사용이 가능하기 때문에 GDPR 제6조 제1항 제f호를 적용할 수 없다.

GDPR 제6조 제1항: 개인정보의 처리는 적어도 다음 각 호의 하나에 해당하고 그 범위에서만 적법하다.

GDPR 제6조 제1항 제f호: 컨트롤러 또는 제3자의 정당한 이익 목적을 위해 처리가 필요한 경우로서, 개인정보가 보호되어야 할 정보주체의 이익 또는 기본적 권리와 자유가 우선되는 경우는 제외한다. 정보주체가 어링니인 경우에는 특히 그러하다.

방문자는 자신의 IP 주소를 “암호화”할 의무가 없다. (예를 들어 VPN를 사용하여 위장하는 경우)

위에서 언급한 내용에 따라 방문자의 IP 주소를 이전하고, 일반적인 개인 권리에 대한 침해와 데이터에 대한 통제력 상실과 관련하여, 방문자의 데이터를 수집하는 것으로 알려진 회사인 Google 및 사용자가 개인의 불편함을 인식하는 방식이 매우 중대하므로 손해에 대한 배상 청구 요청은 정당하다.

Gegenstand (권리)

Google Fonts를 사용하여 Google에 IP 주소를 전달 하였음으로 사용자에게 손해 배상 (100유로) 와 Unterlassungsanspruch (금지 명령 구제: 독일 민법 1004조 1항, 한국에서는 금지 가처분 소송으로 해석될 수 있습니다. 여기서는 저장된 방문자의 IP 주소 제거 또는 사용 금지 조치 정도로 번역 가능할 것 같습니다)

Tenor (본 판결의 본질)

  1. 피고는 이 사건에 대해 최고 25만유로의 벌금이나 6개월 이하의 징역을 선고 받을 수 있다. 피고는 운영하는 웹 사이트의 IP 주소를 Google Fonts 측에 제공하여 청구자가 해당 폰트 공급자에게 IP 주소를 공개하지 못하도록 한다.
  2. 피고는 원고와 관련된 개인정보가 처리되고 있는지에 대한 여부와 그 정보를 원고에게 제공하고, 처리 중인 경우 원고에 대해 어떤 개인정보가 저장되고 있는지에 대한 정보를 제공하야 한다.
  3. 피고는 원고에게 2021년 1월 28일 100유로에 기본 이자율보다 5%포인트 높은 이자를 더한 금액(법정 이자율 + 5%)을 지불해야 한다.

Entscheidungsgründe (결정의 이유)

정당한 소송은 대부분 근거를 가지고 있다. (독일 법원 결정문에 항상 첫 문장, 가내 평안 뭐 이런 느낌)

신청자(원고)는 민법 제823조와 민법 제1004조에 따라 원고의 IP 주소를 구글에 전달하지 않을 것을 청구할 권리가 있다.

독일 민법 제823조 (손해배상 의무): 고의적이거나 부주의하게 다른 사람의 권리를 부당하게 침해하는 경우 법에 내용에 따라 보상 의무가 발생한다

독일 민법 제1004조 (제거 요청): 소유주는 소유권의 박탈이나 보류 이외의 방법으로 재산에 영향을 미치는 경우 그 장애물의 제거를 요청할 수 있다

원고의 동적 IP 주소를 Google 측에 무단으로 전달 하면서 정보 자급권(informationelle Selbstbestimmung) 을 침해하였다. 여기서 정보 자급권은 개인정보 제공 및 사용에 관한 결정을 내릴 권리를 포함한다. 이는 민법 제823조의 일반 인격권 침해에 해당한다.

(1) 피고가 Google 측에 전달한 동적 IP 주소는 독일 개정 텔레미디어법 제12조 제1항과 2항, 독일연방데이터보호법 제3조 제1항, GDPR 제4조 제1항에 따라 개인정보로 볼 수 있다.

독일 개정 텔레미디어법 제1조와 제2조 (정의): 서비스 제공자는 자신 또는 제3자의 텔레미디어를 사용할 수 있도록 하거나 그 접근을 제공하는 자연인 혹은 법인을 의미한다.(제1조) 서비스 제공자는 고정된 장소에서 지속적으로 텔레미디어를 제공하는 제공자를 의미한다. 이 때 시설의 위치만으로 제공자의 지위를 결정하지 않는다. (제2조)

독일 연방데이터보호법 제3조 제1항 (개인정보 처리의 범위와 그 정의): 개인정보란 식별되거나 식별 가능한 자연인(데이터의 주체)과 관련된 모든 정보를 의미한다. 자연인은 특히 이름, 식별 번호, 위치 데이터, 온라인 식별자와 같은 식별자 또는 물리적, 생리적, 유전적, 정신적, 경제적, 문화적, 또는 사화적 정체성을 포함한다.

GDPR 제4조 제1항: 개인정보는 식별된 또는 식별 가능한 자연인과 관련된 일체의 정보를 가리킨다.

동적 IP 주소는 웹 사이트 운영자에게 개인 정보를 나타낼 수 있으며, 그 이유는 운영자는 기본적으로 인터넷 서비스 제공자 혹은 관할 당국과 같은 제3자를 통해 저장된 IP 주소를 이용하여 개인을 식별할 수 있는 법적 수단을 가지고 있기 때문이다. 이는 피고가 IP 주소 뒤에 있는 개인을 추상적으로 식별할 수 있으며 이는 피고 혹은 Google 이 IP 주소와 개인을 연결할 수 있는 방법을 가지고 있는지와는 무관한다.

(2) 피고는 원고가 피고의 웹사이트를 방문했을 때 원고의 IP 주소를 무단으로 Google 측에 전달함으로서 원고의 정보 자급권을 침해하였다.

원고의 IP 주소를 구글에 제공하는 것은 독일 연방 데이터보호법에 따라 허용되지 않는 침해 사항으로, 이는 원고의 일반적인 인격권에 대한 침해이다. 이는 독일 개정 텔레미디어법 제13조 제 2항과 GDPR 제6조 제1항에 명시되어 있다.

독일 개정 텔레미디어법 제13조 제2항 (서비스 제공자의 의무): 서비스 제공 업체는 사용자가 동의에 대해 의식이 있는 상태에서 분명하게 동의하였으며, 이를 기록하고 언제라도 내용을 검색할 수 있으며, 사용자가 언제라도 동의를 철회할 수 있도록 보증된 경우 전자적으로 그 내용을 설명할 수 있다.

(3) 또한, 일반 인격권 침해에 대한 정당한 사유가 있다고 보기 어렵다. 피고는 GDPR 제6조 제1항의 적용을 주장하였으나, Google Fonts는 사이트를 방문할 때 Google 측에 사용자의 IP 주소를 전송하지 않고도 피고가 사용할 수 있기 때문이다.

(4) 또한, 피고는 웹 사이트에 접속하기 전 사용자의 IP 주소를 암호화 할 의무를 가지고 있지 않았다. 이러한 암호화 의무를 원고에게 부여하는 것은 개인정보를 처리할 때 발생하는 위협으로부터 자연인을 보호하는 것을 목표로 하는 독일 연방 데이터보호법의 목적에 반하는 것이지만, 이러한 의무를 원고에게 부여할 경우 데이터의 권리를 보유하고 있는 자의 권리를 행사하는 것을 오히려 방해할 수 있다. 이러한 점은 보호받을 가치가 있는 권리를 제한하는 행위이다. (판결문 참조: LG Dresden, Urteil vom 11.01.2019, Aktenzeichen 1 AO 1582/18)

(5) 재발의 위험을 가지고 있다. 원고가 피고의 웹 사이트를 방문했을 때 원고의 IP 주소가 Google에 전달된 부분에 대해서는 논란의 여지가 없이 사실이다. 이전의 불법적인 침해에 대해서는 피고가 반박하지 않았으며, 이는 실제로 침해를 야기할 수 있다. 피고가 현재 웹 사이트 방문자의 IP 주소를 더 이상 Google 측에 전달하지 않더라도 Google Fonts를 사용하고 있기 때문에 그 위험이 제거되었다고 보기는 어렵다. 이러한 위협을 제거하기 위해서는 처벌을 통한 제공 금지 명령을 통해야만 그 위협을 제거할 수 있다.

정보에 대한 원고의 권리는 GDPR 제15조, 제4조 제2항에 따른다.

GDPR 제15조 (정보주체의 열람권): 정보 주체는 본인과 관련된 개인정보가 처리되고 있는지 여부에 관련해 컨트롤러로부터 확답을 얻을 권리를 가지며 이 경우 개인정보 및 다음 각 호의 정보에 대한 열람권을 가진다.

원고는 GDPR 제82조 제1항에 따라 손해 배상을 청구할 수 있다.

GDPR 제82조의 내용 중에서 “손해”의 개념은 요약문에 명시된 제3항에 따라 광범위적으로 해석되어야 한다. 본 규정의 해석은 제제 및 예방의 목적을 가지고 진행하며 해당 규정의 목적과 부합해야 한다.

여기서 GDPR 제82조 제1항에 따르면 비 물질적 손해의 성립 요건이 완성되었다고 볼 수 있다. 그러나 이 손해에서 손해를 특정 수준 이상으로 입었는지에 대한 것과 경미한 손해에 대해서는 제외해야 하는지에 대해서는 논란의 여지를 가지고 있다. (vgl. BVerfG NJW 2021, 1005,Rz. 20 m.w.N.; Kohn ZD 2019, 498 (501); Paal MMR 2020, 14 (16)) 그러나 이 경우에는 피고가 웹 사이트를 수정하기 전에 원고의 IP 주소를 Google 측에 전송한 사실을 인정하였다. 그리고 이 IP 주소는 한번만 전송된 것이 아니다. 사용자의 개인정보를 수집하는 것으로 알려진 Google에 대한 개인정보의 통제 상실 및 그 결과 원고가 느끼는 불편함과 관련하여 일반적인 개인 권리에 대한 침해가 발생 하였으므로 해당 청구 소송은 정당하다고 볼 수 있다. 또한, 적절한 수준의 데이터 보호가 보장되지 않은 상태에서 IP 주소를 미국의 Google 서버에 전송된 부분에 대해서는 의심의 여지가 없으며 이 부분을 고려해야 한다. (vgl. EuGH, Urteil vom 16.7.2020 - C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613) GDPR 제82조 제1항에 다른 책임은 추가적인 개인정보 유출을 방지하고 보안 조치에 대한 인센티브 목적을 가지고 있으므로 청구된 벌금 액수는 침해의 심각성과 기간을 고려하였을 때 적절하며 이 부분에 대해 피고가 이의를 제기하지 않았다.

GDPR 제82조 제1항 (보상 권리 및 책임): 본 규정의 침해로 인한 물질적 또는 비 물질적 피해를 입은 자는 누구든지 컨트롤러 또는 프로세서로부터 피해 보상을 받을 권리가 있다.