Die DSGVO hat für viele Website-Betreiber das Leben schwerer und teurer gemacht. Versteht mich bitte nicht falsch, Datenschutz im Internet ist wichtiger denn je und ja, wir benötigen nicht nur grobe Regeln, sondern sinnvolle Gesetze. Leider ist in den letzten Wochen genau das eingetreten, was ich seit Einführung der DSGVO-Regeln 2019 befürchtet habe.
Große Unternehmen, meist international vertreten, interessiert es nicht sonderlich, es passiert wenig. Kleine Shops und Websites hingegen müssen handeln, Agenturen beauftragen und wenn Sie gar nichts machen, sich mit Abmahnanwälten auseinandersetzen. Diese Alternative sehen wir jetzt: im Januar 2022 hat das Landgericht München I eine Feststellung getroffen. Die Nutzung von Google Fonts, ohne eine Einwilligung, stellt einen Verstoß gegen die EU-DSGVO dar.
(20.01.2022 – 3 0 17493/20)
Seither mehren sich dich Meldungen über Abmahnanwälte, die größtenteils einen Mandanten vertreten, der seine Persönlichkeitsrechte verletzt sieht. Ebenfalls nehmen immer mehr Kund:innen Kontakt zu uns auf, die von Ihren Interessengemeinschaften Hinweise bekommen, die eigenen Websites auf Google Fonts zu kontrollieren.
Persönlichkeitsrechtsverletzung Datenschutz „Google Fonts“
Für Website-Entwickler war die Einführung von Google Fonts ein kleiner Segen. Das richtige System vorausgesetzt, lassen sich über 1200 Schriftarten völlig kostenlos einbinden, testen, verwerfen und wieder etwas Neues ausprobieren. Häufig sind dafür nur wenige Klicks möglich. Die Schriftarten müssen nicht erst kompliziert auf den Webserver geladen und per CSS eingebunden werden. Google wollte damit gegen zu teure Schriftarten vorgehen, denn nicht jede kleine Website möchte ein paar hundert Euro für eine spannendere Schriftart bezahlen. Ganz im Sinne von: „Es gibt noch mehr als die Standard-Webschriften“.
Wirklich schön gedacht! Allerdings wird die Schriftart von einem Google Server beim Seitenaufruf heruntergeladen, und zwar direkt auf das Smartphone oder den Computer der Besucher:innen. Also erfährt in dem Moment Google die IP-Adresse des Benutzers. Und hier springt die DSGVO an, der Server der Schriftarten liegt nicht in der EU und der Benutzer hat, wenn er die Website das erste Mal besucht, keine Möglichkeit gehabt, dem Herunterladen der Schriftart zu widersprechen.
Mittlerweile gibt es Möglichkeiten Schriften von Google lokal, in die eigene Website einzubauen. Das geht mal leichter, mal schwieriger, je nach System. Dazu komme ich später noch. Die Google Fonts bleiben kostenlos nutzbar, auch wenn ich sie lokal einbinde und Google die IP-Adressen der Besucher:innen nicht sammeln kann.
Abmahnwelle: Nutzung von Google Fonts für Unternehmenshomepages
Wie kann ich einer Abmahnung zuvorkommen? Zuerst sollte geprüft werden, was die Website nebenher noch herunterlädt. Auf der Website von e-recht24 kann der Google Font Scanner ganz einfach verwendet werden: https://www.e-recht24.de/google-fonts-scanner
Damit lassen sich aber keine weiteren Google Dienste aufspüren. Wenn hingegen im Footer etwas von Google Maps eingebunden ist, dann lädt dieser Teil der Website erst, wenn ich nach unten gescrollt habe. Google Maps bringt meist Google Fonts mit. Daher empfehle ich die Browser-Erweiterung „IPvFoo“. Diese gibt es für alle gängigen Browser, ist kostenfrei und schlüsselt beim Durchscrollen einer Website alle geladenen IP-Adressen und zusätzlich den Klarnamen auf.
- IPvFoo – Chrome Web Store (google.com) (Chrome & Edge)
- IPvFoo – Holen Sie sich diese Erweiterung für 🦊 Firefox (de) (mozilla.org)
Wir haben uns seit ein paar Monaten auf diesen Fall vorbereitet, sobald eine Website von uns neu erstellt wurde, deaktivieren wir das Nachladen von Google Fonts. Egal, ob die Seite einen Relaunch erfahren hat oder nur ein Teilbereich erstellt worden ist, sobald wir bei unseren Kunden diese „abmahnfähigen Punkte“ feststellen, korrigieren wir diese.
So sollte es nicht aussehen
Auf dieser Website sehen wir, dass Google Fonts, Maps und Analytics geladen wird. Es gab auch keine Cookie-Notice, die mich darauf hinweist und bei der ich diese Punkte ablehnen könnte. Hier sollte unbedingt nachgearbeitet werden. Was wir mittlerweile natürlich auch gemacht haben.
So darf es aussehen
Hier sehen wir eine Website, bei der Google Fonts lokal eingebettet ist, Google Maps wird nicht verwendet und Analytics wird auch erst geladen, wenn ich über eine Cookie-Notice meine Zustimmung erteile. Wenn Ihre Website so ausschaut, sind Sie auf der richtigen Seite. Allerdings sollten Sie eine Seite immer bis zum Ende durchscrollen, da es Elemente gibt, die erst nachträglich, wenn diese in das Sichtfeld kommen, geladen werden. Zudem kann es sein, dass auf der Startseite alles gut aussieht, auf der Kontakt-Seite hingegen eine Google Maps für die Anfahrt hinterlegt ist. Also sollten Sie sich ebenfalls nicht nur auf die Startseite verlassen.
Was kann ich gegen eine Abmahnung unternehmen?
Wir können keine Rechtsberatung geben. Allerdings sollten Sie die Anforderungen eines Abmahnschreibens nicht einfach Folge leisten. Kontaktieren Sie Ihre Online-Marketing-Agentur und fragen Sie danach, wie schnell die Website von Google Fonts befreit werden kann und wie teuer das Ganze wird. Je nachdem, wie diese eingebaut sind, können zwei bis fünf Stunden Arbeitsaufwand üblich sein.
Ich habe gelesen, dass ein paar dieser Abmahnschreiben unseriös sein könnten. Daher kann hier der Gang zu einem Fachanwalt nicht schaden. Möglich, dass es dann etwas teurer wird, als die Unterlassungserklärung aus der Abmahnung zu unterschreiben. Allerdings gehen Sie so keine Verpflichtungen gegenüber dem Abmahner ein.
Die folgenden drei Links klären über den Sachverhalt auf:
- https://www.e-recht24.de/google-fonts-scanner
- http://www.anwalt.de/rechtstipps/abmahnung-wang-yu-durch-raag-kanzlei-wegen-
- https://it-anwalt-kanzlei.de/abmahnung-rechtsanwalt-kilian-lenard-fuer-martin-ismail
Grundsätzlich sollten Sie den abmahnenden Anwalt sowie seinen Mandanten googeln. Das ist häufig sehr aufschlussreich und Sie finden schnell Seiten, die gute Tipps zum weiteren Vorgehen verraten.
Rechtsanwalt Chan-jo Jun hat ein wunderbares Video zu dem Thema veröffentlicht:
Abmahnung wegen Google Fonts gehören in den Müll
– fast immer.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Was lädt meine Website sonst noch herunter?
Schriftarten können auch von MyFonts oder Adobe eingebunden sein. Hier verhält es sich genauso wie bei Google Fonts, der Browser des Besuchers stellt eine Verbindung zu einem Server der Schriftartenanbieter her, die IP-Adresse wird dabei übertragen. Es können aber auch Java-Scripte über fremde Server angeboten werden, Analyse-Scripte wie Google Analytics, verschiedene Karten-Anbieter oder Marketing-Cookies für Facebook oder Instagram.
Bei all diesen und noch weiteren Punkten ist es wichtig, dass die Besucher:innen eine Einverständniserklärung in einer Cookie-Notice-Box abgehen: „Alle akzeptieren“ oder „alle ablehnen“ oder „individuell anpassbar“, sind hier gängige und im Moment korrekte Formulierungen.
Wenn Sie zum Beispiel bei WordPress ein Live-Support Plugin installieren, kann dieses Google Fonts mitbringen. Vor ein paar Wochen habe ich gesehen, dass diese aber nicht zu deaktivieren waren. Ich musste das Plugin wechseln. Das heißt, jeder Dienst, jedes Plugin und jedes iFrame oder Script, welches Sie einbinden, kann etwas von einem anderen Server herunterladen. Sie werden nicht gefragt und bekommen es beim Einbau in die Website nicht mit. Daher ist es wichtig, nach größeren Änderungen an der eigenen Website oder dem Online-Shop mit IPvFoo oder anderen Scannern auf externe Inhalte zu überprüfen.
Wie kann ich Google Fonts auf meiner Website deaktivieren?
Wir bauen sehr viele Website mit WordPress, und hier geht es im Verhältnis relativ einfach. Es kommt auf das eingesetzte Theme an, welche Plugins verwendet werden, und welche Ansprüche die Seite erfüllen soll. Habe ich eine künstlerische Website und bin auf exotische Schriftarten angewiesen, oder gehört ein bestimmter Stil zu meiner Unternehmens Corporate Identity, dann können Schriftarten lokal auf dem eigenen Server eingebunden werden. Das kann etwas komplizierter sein, aber dennoch machbar.
Häufig genügt es, im Theme eine „Websichere“-Schriftart auszuwählen, diese sind auf den meisten Systemen vorinstalliert und es muss nichts nachgeladen werden.
Es gibt eine Reihe von guten und nicht so guten Plugins, mit denen Google Fonts entweder einfach blockiert werden und dafür automatisch eine sichere Schriftart eingebaut wird, oder sogar die Google Fonts lokal in einen Cache heruntergeladen werden. Beide Varianten funktionieren nicht konstant gut mit jedem eingesetzten Plugin und auch nicht mit jedem Theme. Wenn Sie es aber geschafft haben, ist der positive Nebeneffekt: Die Website wird schneller und performanter!
Wenn Sie bei einem dieser Punkte Hilfe benötigen,
können Sie uns unverbindlich anschreiben oder anrufen und Kontakt zu uns aufnehmen.
Wie kann die DSGVO verbessert werden?
Die meisten Browser haben mittlerweile eine Funktion namens „do not track“, die bei Websites angibt, dass bitte kein Tracking verwendet werden soll. Leider ist das nicht verpflichtend, die Website entscheidet selbst, ob der Punkt akzeptiert wird oder nicht. Hier hätte der Gesetzgeber klare Vorgaben geben können, wenn Benutzer:innen nicht getrackt werden möchten, hat sich jeder daranzuhalten.
Einen solchen Mechanismus gibt es teilweise schon in den Sicherheits und Datenschutzeinstellungen vieler Browser. Tracker, Schriftarten, Scripte aus einer dritten Quelle können blockiert werden. Größtenteils funktionieren dann umfangreiche Website nicht mehr korrekt. Vielleicht ist es technisch zu aufwendig, dass ein Browser EU-Recht korrekt anwenden kann. Hier wird es auf jeden Fall noch spannend werden.
Was aber nicht sein darf, dass sogenannte Abmahnanwälte ein Urteil sofort für sich ausnutzen. Dadurch gewinnt niemand, es macht sich nur einer die Taschen voll, das Vertrauen in den Gesetzgeber und in Anwälte nimmt ab. Zudem ist die Rechtslage im Internet an vielen Stellen noch immer nicht klar geregelt. Hier hätte sofort ein Riegel gegen den Betrug mit Abmahnungen vorgeschoben werden müssen.
Im Übrigen, vielen großen Unternehmen sind Google Fonts, Google RECAPTCHA, Google Maps oder ein korrekter Einbau einer Cookie-Box egal. Die Strafen für große Unternehmen sind zu gering, diese zahlen und verteilen weiterhin massenweise Tracker, um die Benutzer so gut es geht zu analysieren. Alles kein Problem, wenn die Besucher:innen im Vorfeld über eine Opt-In-Lösung aufgeklärt worden sind und bewusst zustimmen, allerdings zeigt hier die Praxis etwas anderes.
Vielen Dank für Ihre Aufmerksamkeit
Julian Post