Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Fonts: Bequemlichkeit und Ausreden statt Datenschutz

4

Ein deutsches Gericht untersagte den Einsatz von Google Fonts und sprach dem Kläger 100 Euro Schadenersatz zu. Es geht um die Einbindung der Schriften von Google Servern anstatt sie lokal zu laden. Jeder hätte das schon längst richtig machen können.

Einleitung

Das Urteil des LG München vom 20.01.2022 sorgte für Aufsehen und Überraschung. Ich war nicht überrascht, denn meine schon lange zurück liegende Untersuchung zu Google Fonts zeigt: Google Fonts können und dürfen und sollten vernünftigerweise lokal eingebunden werden. Für diese lokale Variante muss nicht einmal ein Datenschutzhinweis gegeben werden. Das Studium der Rechtsgrundlagen kann auch entfallen.

Viele meinten, Google Fonts könnten einfach so und ohne nachzudenken eingebunden werden. Dass Google dadurch Daten von Website-Besuchern erhält, sei mit dem berechtigen Interesse (gähn) nach Art. 6 Abs. 1 f DSGVO zu rechtfertigen.

Wer keine funktionalen Lösungen bieten kann, diskutiert Probleme gerne mal weg.

Besonders eine Berufsgruppe fällt hier oft auf.

Meine Untersuchung zeigte bereits ein Jahr vor dem Urteil des LG München, dass es keine echten Vorteile bringt, Google Fonts von Google direkt zu beziehen. Weder die Ladezeit, noch angebliche Wartungsargumente noch weitere Scheinargumente verfangen nicht. Diese Scheinargumente kommen oft von Theoretikern, die gerne Probleme wegdiskutieren, anstatt sie konstruktiv und funktional zu lösen.

Das LG München sprach dem Kläger sogar 100 Euro Schadenersatz zu. Betroffene Personen haben laut diesem Urteil und zahlreichen weiteren Urteilen einen Anspruch auf Unterlassung von Datenschutzverstößen, denen sie begegnet sind. Ironischerweise hatte das LG Wiesbaden am selben Tag wie das LG München zum Unterlassungsanspruch das genaue Gegenteil behauptet und meint sogar, Betroffene könnten sich ja (ausschließlich) an Datenschutzbehörden wenden. Wie schön, dass es die Datenschutzbehörden gibt, die die Arbeit der Gerichte erledigen sollen. Damit steht das hessische Landgericht wohl recht alleine da. Selbst die GDD sieht es anders.

Wer schon einmal mit Datenschutzbehörden zu tun hatte, wird feststellen, dass diese oft keinerlei Rechtsverfolgung betreiben. Als positives Gegenbeispiel kann ich aus eigener Erfahrung Sachsen nennen. Brandenburg kümmert sich zwar, aber in einem mir bekannten Fall ausgesprochen unzufriedenstellend. Pflichtinformationen nach Art. 13 DSGVO vergessen, wenn es um sicherheitsrelevante Vorgänge geht? Nicht so schlimm bzw. keine Zeit, sagen die Brandenburger. Heimlicher Datentransfer in die USA über ein verschlüsseltes Script? Egal. Aussetzen oder Sanktionieren? Diesen Grundsatz der DSK kennen die Brandenburger nicht.

Was sind eigentlich Google Fonts?

Google Fonts sind Schriftarten, die irgendwelche Schriften-Designer mit Wohnsitz weltweit erstellt haben. Es handelt sich nicht um Schriften, die der Google Konzern erstellt hat.

Google liefert lediglich eine Infrastruktur, damit jemand seine Schriften öffentlich bereitstellen kann und andere sie abrufen können.

Google fordert dazu, dass jeder Ersteller einer Schriftart eine freie Lizenz anbietet. Jeder darf also diese Schriften nutzen.

Google tut dies ausschließlich aus Nächstenliebe. Es geht Google nicht darum, die Signale, die Google beim Abruf der Schriften erhält, wenn ein Nutzer eine Webseite besucht, auszuwerten. Wahrscheinlich ist die Angabe in den Google Datenschutzhinweisen, dass derartige Signale, die von sämtlichem Google Diensten eingesammelt werden, zu Google-eigenen Zwecken genutzt werden, nur aus Versehen noch vorhanden. Google nennt als Rechtsgrundlage hierfür (u.a. für personalisierte Werbung) das berechtigte Interesse. In anderen Fällen wird von Google die Einwilligung als Rechtsgrundlage genannt.

Diese Einwilligung wird von Google erschlichen. Frankreich fand das nicht so lustig und hat ein Bußgeld verhängt. In Deutschland sieht man das nicht so eng. Wen Sie einwilligen möchten, das Google Ihre Daten für alles und jedes verwendet, können Sie dies mit einem Klick tun. Wenn Sie nicht einwilligen möchten, was eigentlich nie der Fall sein dürfte, müssen Sie leider fünf Mal klicken. Ich würde so gerne 40 Mal klicken. Denn mir macht es so viel Spaß, oft zu klicken. Und andere Nutzer wollen auch lieber öfter klicken. Liebe(r) Herr/Frau Google: Könnt Ihr mir und allen anderen diesen Wunsch bitte bitte erfüllen? Wir gründen dann auch den Club der Google-Lover(innen) und kaufen jede Woche eine neue Computer-Maus, weil die immer so schnell verschleißen wegen der vielen Klickerei.

Warum nutzen viele Webseiten Google Fonts falsch?

Falsch bedeutet hier: Nicht im Einklang mit der DSGVO. Demnach werden die Google Schriftdateien von Google Servern abgerufen, die weltweite Standorte haben. Ich möchte hier die Argumente nicht wiederholen, warum das nicht so gut ist. Nur eine Sache möchte ich hervorheben.

Im Gegensatz um LG München scheint es vielen verborgen zu sein, dass beim Einbetten von Google Fonts auf eigenen Webseiten Daten der Website-Besucher an Google geschickt werden. Dies passiert in der Verantwortlichkeit des Website-Betreibers. Der Grund ist rein technischer Natur und kann jederzeit bewiesen werden. Wenn ein Gericht es nicht verstehen sollte, empfehle ich einen Sachverständigenbeweis. Die Daten, um die es sich hier handelt, sind als personenbezogen anzusehen. Denn es handelt sich sowohl um IP-Adressen als auch um Metadaten (oft als Verkehrsdaten bezeichnet). IP-Adressen sind laut Urteilen von EuGH und BGH personenbezogen. Dies galt schon vor der DSGVO, wie die Jahreszahlen der genannten Urteile zeigen (2016 und 2017). Metadaten sind personenbeziehbar und somit personenbezogen, wenn man der Artikel 29 Gruppe folgt. Diese Gruppe ist der Vorgänger des Europäischen Datenschutzausschusses (EDSA) und in den EDSA übergegangen. Die Sichtweise der Artikel 29 Gruppe hatte sogar die ungemein strenge irische Datenschutzaufsicht übernommen, als sie ein Bußgeld gegen WhatsApp erlassen hatte.

Die Gründe für die falsche Einbettung von Google Fonts sind an einer Hand abzuzählen:

  1. Bequemlichkeit
  2. Unwissen
  3. Falsche Beratung

Insbesondere Internet-Agenturen und professionelle Web Master müssten es besser wissen. Sie sind aber anscheinend oft nicht in der Lage, sich Grundwissen anzueignen und vertrauen lieber den bequemen Ausreden mancher Publizisten.

Wie ich feststellen musste, gibt es Webseiten-Betreuer, die nicht wirklich programmieren können. Ich kenne allerdings keinen Kfz-Mechaniker, der nicht weiß, wie ein Schraubenzieher benutzt wird.

Warum ist es bequemer, Google Fonts vom Google Server zu laden?

Hierzu muss man mehrere Arten der Einbettung von Schriften unterscheiden.

Die direkte Einbettung geschieht über einen Code-Schnipsel (JavaScript-Anweisung). Damit eine Schrift lokal eingebunden werden kann, muss sie heruntergeladen werden. Dazu gibt es beispielsweise den Google Web Fonts Helper. Ich habe hierzu einige Ausführungen in meiner oben genannten Untersuchung zu Google Fonts gemacht. Manche sind anscheinend zu bequem, fünf Minuten mehr Zeit zum Herunterladen zu investieren. Sie investieren lieber 20 bis 200 Minuten in eigene und fremde Zeit für

  • Datenschutztexte für Google Fonts,
  • eine Diskussion mit Ihrem Datenschutzbeauftragten, die
    • Ihre Zeit,
    • die Zeit des DSB und
    • die Zeit des Webmasters kostet und, wenn Sie es ganz genau wissen wollen und nachfragen,
    • auch meine Zeit kostet.

Einbettung über das Design der Webseite

Als Beispiel sei WordPress genannt. Dort gibt es sogenannte Design Themes. Ein Theme definiert das Aussehen der Webseite. Viele Themes laden Google Fonts von Google Servern.

Oft kann dieses Verhalten nicht abgestellt werden. Manchmal bieten Themes die Möglichkeit, Schriften lokal einzubinden. Auch dafür müssen sie hochgeladen werden. Der Zeitaufwand von ca. 20 Minuten ist für einen in Deutschland vom Wohlstand verwöhnten Menschen kaum leistbar. Dann doch lieber in der gefährlichsten Mine der Welt in Potosí in den bolivischen Anden nach Silber suchen. Oder falls das zu anstrengend ist, lieber den Beruf des Altenpflegers wählen. Das ist einfacher, als Google Fonts herunterzuladen.

Nachladen über Plugins

Als Beispiel sei das Google Maps Plugin genannt. Es lädt Google Fonts nach. Das ist blöd, aber auch leider nicht zu ändern. Es macht aber auch nix. Denn Google Maps sind genauso einwilligungspflichtig wie Google Fonts, wenn man dem Urteil des LG München folgt.

Die Lösung besteht darin, Google Maps durch eine Alternative zu ersetzen. Da wären im Angebot:

  • Keine Karte. Ja, Sie haben richtig gelesen. Eine Karte auf einer Webseite ist oft nutzlos! Ich habe nur eine bei mir im Impressum, um meine datenschutzfreundliche Lösung zu demonstrieren.
  • Button „Anfahrt planen“ mit Absprung auf einen Routenplaner.
  • Selbst erstelltes oder vom Stadtmarketing bereitgestelltes Bild der Umgebung. So wird dann auch nicht die Metzgerei Müller oder ein als Ihr Konkurrent wahrgenommenes Geschäft auf der Karte gezeigt. Außerdem können markante Wegpunkte hervorgehoben werden. Unglaublich, was heutzutage alles möglich ist.
  • Interaktive Karte mit OpenStreetMap: Nutzen Sie meine Lösung und vermeiden Sie so jeglichen kritischen Datentransfer. Reicht diese nicht, etwa weil gleich mehrerer Standorte auf einmal anzuzeigen sind, finden Sie bestimmt einen Programmierer oder müssen dummerweise nach einer Einwilligung für Google Maps fragen und mit Rechtsunsicherheiten leben, dank Google.

Die verschiedenen Szenarien zeigen, dass Google Fonts eigentlich immer vermeidbar sind. Im Falle von WordPress Themes ist das Unterfangen etwas komplizierter, aber immer (!) machbar. Wer es nicht hinbekommt, ist eben kein Entwickler. Er sollte sich dann auch nicht als solcher verkaufen. Es ist nicht schlimm, einen Dienstleister zu beauftragen. Manchmal scheitert es am Geld. Dieses Problem hat fast jeder in vielen Lebensbereichen.

Fazit

Binden Sie Schriftdateien immer lokal ein, egal ob von Google, Adobe oder Font Awesome. Geht das nicht, dann haben Sie sicher einen Vertrag mit dem Anbieter, der die Einhaltung der DSGVO garantiert.

Wie Google Schriften lokal eingebunden werden können, zeige ich konkreter in einem eigenen Beitrag.

Professionelle Webseiten-Betreuer sollten wissen, wie man Schriften auf Ihrer Webseite lokal einbettet. Haben Sie eine Blindschleiche, die keine Ahnung davon hat? Dann rate ich Ihnen, den Dienstleister zu wechseln.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine unabhängige Berichterstattung würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Velten

    Hallo Herr Meffert, die viel spannendere Frage ist, wem darf ich denn jetzt noch IP-Adressen anvertrauen? Dem Webhoster? Brauche ich bei Nutzung eines Europäischen CDN’s für JS-Dateien oder Bilder eine Einwilligung des Nutzers? Oder reicht eine Bestätigung der Webseiten-Datenschutzrichtlinien? Oder kann ich ganz darauf verzichten? Wie ändert sich das Bild wenn ich ein Amerikanisches Unternehmen in Frankfurt nutze (Sprichtwort AWS) um zum Beispiel Karten anzubieten? Und brauche ich auch Consent wenn ich über bestimmte Gateways oder Backbone-Knoten gehe?

    • Dr. DSGVO

      Es kommt auf die Zwecke an.
      Webhoster: Ja, aber er darf die IP-Adressen “von Ihrer Webseite” nicht für eigene Zwecke verwenden
      CDN: Sie sollten einen AVV mit dem Anbieter haben, Natürlich einen rechtsgültigen AVV.
      Nutzen Sie doch lokale Script-Dateien. Wozu ein CDN?
      Amerikanisches Unternehmen, Serverstandort egal: Problematik Schrems II, Cloud Act besteht grundsätzlich immer
      Karten: Nutzen Sie doch mein OpenStreetMap Plugin
      Gateways: Was Sie selber mit Ihren eigenen Daten machen, ist Ihre Sache. Nur die personenbezogenen Daten anderer müssen Sie gemäß DSGVO behandeln.

  2. Matthias

    CDNs sind weit verbreitet und Teil des Internets. Das Internet basiert darauf, dass Daten auf unterschiedlichen Servern liegen. Die IP Adresse wird dazu verwendet, mit den Servern zu kommunizieren. Im Falle von Schriftarten ist das vielleicht nicht nötig, aber bei anderen, größeren Datenpaken wird das sehr oft verwendet. Viele Serverbetreiber verwenden auch Cloud Dienste, (AWS, o.Ä.) und da weiß man teilweise nicht mal in welchem Land die Server stehen, weil alles verteilt gespeichert wird um weltweit verfügbar zu sein.

    Diese Klage ist eine Troll Klage. Es geht hier nicht darum, wirkliche Daten zu schützen, sondern einen Schaden anzurichten mithilfe legaler Wege. Dieses Urteil öffnet Tür und Tor für weitere Troll Klagen. Nur weil man einen Dienst nutzt, der außer der IP Adresse nichts weiter erhält, leitet man keine “personenbezogenen” Daten in die USA weiter. Jeder Internet Nutzer leitet seine IP Adresse selber in die USA, schon wenn man einen Browser nutzt. Firefox und Chrome haben Google als Standardsuche eingestellt, bei Edge ist es Bing.

    IP Adressen _sind keine personenbezogenen Daten_. Das ist keine Anschrift, Geburtsdatum oder Gesundheitsdaten. Eine IP Adresse ist die Identifikation eines Gerätes im Internet. Theoretisch noch nicht einmal eines Gerätes, sondern nur eines Anschlusses.
    Ich weiß, dass es Urteile gibt, die etwas Anderes sagen. Ich weiß aber auch, dass es Urteile zu Filesharing gibt, wo Anschlussinhaber verurteilt wurden, weil man das echte Gerät nicht ermitteln konnte. Es wurde sogar mal eine Oma verurteilt, die noch nicht einmal einen Computer hat. Daher merkt man, wie absurd teilweise das IT Verständnis von Richtern ist.

    PS: Sie verwenden hier die Analogie von Webseiten Betreibern mit KFZ-Mechanikern. Jeder kann sich heute mit ein paar Klicks eine Webseite erstellen, dazu braucht man keine Lehre. Und noch weniger IT Verständnis haben Richter an Gerichten. Und die sollen darüber urteilen?

    • Dr. DSGVO

      Danke für Ihre ausführliche Rückmeldung.
      Jeder kann ein CDN einsetzen, wenn es DSGVO-konform ist. Größere Firmen könnten sich sogar selber eines bauen. Große deutsche IT-Unternehmen könnten auch mal auf die Idee kommen, eine wettbewerbsfähige Lösung anzubieten. Das ist bis zu einem gewissen Funktionsgrad technisch nicht so anspruchsvoll, als dass es mir schwierig erscheint.
      Oft ist ein CDN allerdings in keinster Weise erforderlich. Dies gilt insbesondere für die ganz erhebliche Mehrheit der Webseiten in Deutschland.

      Zu IP-Adressen: Immerhin haben der EuGH und der BGH das geurteilt, somit nicht irgendein kleines Gericht. Sie haben recht. Es gibt teils abstruse Urteile, die aber eher auf unterer Ebene der Rechtsprechung anzutreffen sind, ist mein Eindruck. An der Tatsache, dass Google viele Milliarden Dollar Umsatz pro Jahr mit personalisierter Werbung macht, sollte jeder erkennen können, dass Netzwerkdaten sehr wohl personenbezogene Daten sind.

      Zu Ihrem PS und den KFZ-Mechanikern bzw. Richtern: Ja, es gibt Homepage-Baukästen. Diese liefern ein ähnlich schlechtes Ergebnis, als wenn ich selber versuche, eine Zylinderkopfdichtung in meinem Auto auszutauschen. Bzw. kann ich das gar nicht (und weiß auch gar nichts über Zylinderköpfe), was dazu führt, dass der derart selbst gewartete PKW irgendwann in sich zusammenbricht. Richter haben die Möglichkeit, Sachverständige hinzuzuziehen und Gutachten erstatten zu lassen. Seit kurzem können Gerichte die Sachverständigen sogar offiziell als Berater hinzuziehen. Manche Richter wollen dies anscheinend nicht, weil es zu viel Arbeit macht. Das ist allerdings nicht im Sinne des Auftrags, den ein Gericht abzuwickeln hat. Hier sind wir beide wohl einer Meinung.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Google Analytics nur zulässig nach Einwilligung gemäß Art. 49 DSGVO?