Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Fonts und Cookie Tool installiert: Datenschutzprobleme vorprogrammiert

2

Aktuell erhalten zahlreiche Website-Betreiber Anschreiben per E-Mail, weil sie Google Fonts auf ihrer Webseite integriert haben. Auslöser ist ein Urteil des LG München vom 20.01.2022. Die Anschreiben weisen berechtigt auf Datenschutzverstöße hin. Was ist zu tun?

Einleitung

Auch ohne Gerichtsurteil leuchtet es ein, dass die Lieferung personenbezogener Daten an ein weltweit tätiges Unternehmen wie Google, das Daten zur extensiven Nutzerprofilbildung verwendet, an sich rechtswidrig ist. Das gilt umso mehr, wenn diese Datenlieferung durch den Einsatz einer Alternative vermeidbar ist.

Genau so verhält es sich mit Google Fonts. Google Fonts sind Schriftarten für Webseiten, die von einem Google Server abgerufen werden. Es handelt sich um Schriftarten freier Designer, die nichts mit Google zu tun haben. Google stellt eine Infrastruktur bereit, über die Designer ihre Schriften hochladen und Webseiten die Schriften danach einbinden können. Nicht mehr und nicht weniger, jedenfalls, was Ersteller und Nutzer der Schriften angeht. Google selbst freut sich über die zahlreichen Signale von Internetnutzern, die beim Abruf der Google Fonts zustande kommen. Damit können wunderbar Nutzerprofile gebildet werden, mit denen personalisierte Werbung noch besser verkauft werden kann.

Das LG München entschied am 20.01.2022 (Az.: 3 O 17493/20), dass der Abruf von Google Fonts rechtswidrig ist. Denn dabei wird die IP-Adresse des Webseitenbesuchers an Google übertragen. Die IP-Adresse ist ein personenbezogenes Datum. Das gilt auch für die dynamische IP-Adresse. Siehe EuGH- und BGH-Urteile „Breyer“ (EuGH-Urteil vom 19.10.2016 – C-582/14, BGH-Urteil vom 16.05.2017 – VI ZR 135/13). Google wiederum ist ein amerikanisch geführtes Unternehmen. Das widerspricht der DSGVO. Siehe Art. 49 DSGVO, das EuGH-Urteil „Schrems II“ sowie die Tatsache, dass die USA ein DSGVO-widriger Überwachungsstaat sind (EO 12333, FISA 702, Cloud Act).

Bereits ein Jahr vor dem Urteil habe ich ausführlich untersucht, dass es mildere Mittel für Google Fonts gibt. Es ist wirklich „einfach“, die Schriften herunterzuladen, auf den eigenen Server hochzuladen und von dort einzubinden. Klingt nicht nach Raketenwissenschaft. Für den Fall, dass das jemandem zu kompliziert ist: Pech gehabt, Experten suchen. Wer keinen Parkplatz findet oder zu weit weg vom Ziel, darf auch nicht falsch parken. Steuererklärung zu kompliziert? Einfach nicht abgeben, oder wie war das? Kein Geld mehr? Bank überfallen. Einfach die Gesetze bestmöglich einhalten. Die Ausreden interessieren niemanden (jedenfalls mich nicht).

Anschreiben wegen Google Fonts

Einige Trittbrettfahrer nutzten die Gelegenheit, Betreiber von Webseiten mit einem Schreiben zu bedenken, weil auf den jeweiligen Webseiten Google Fonts (in rechtswidriger Weise) eingebunden waren.

Das Schreiben hat meist seine Berechtigung. Jemand hat sich ein Progrämmchen geschrieben und massenweise Webseiten abgegrast, um Opfer zu finden. Technisch weniger versierte Personen haben einfach selber zahlreiche Webseiten aufgerufen und schnell manuell geschaut, ob dort Google Schriften eingebettet waren. Weil viele Webmaster oder Agenturen leider die falschen oder keine Berater hatten, wird man auf der Suche nach Datenschutzfehlern schnell fündig.

Ein Trittbrettfahrer ist in diesem Fall jemand, der Webseitenbetreiber anschreibt, obwohl er deren Webseite eigentlich gar nicht besucht hätte. Es geht demjenigen “nur” darum, Ärger zu machen. Hier ein Auszug eines Schreibens von Loris Bachert:

Auszug aus einem Anschreiben wegen Google Fonts.

Herr Bachert fordert, dass der Datenschutzverstoß abgestellt und eine Unterlassungserklärung abgegeben wird. Letztere ist strafbewehrt. Als Vertragsstrafe sind “bis zu 3.000 €” angegeben, eine wie ich finde sehr merkwürdige Formulierung. Das Schreiben ist als PDF-Anhang zu einer Mail gestaltet.

Ein anderes Schreiben stammt vom Serienschreiber Vernis Jankovskis. Es sieht so aus:

Anschreiben mit Forderung einer Zahlung von 100 Euro wegen Google Fonts.

Hierin wird ein Betrag von 100 Euro per Banküberweisung gefordert. Danach sei die Sache erledigt.

Ein ähnliches Schreiben stammt von Susanne Schober. Es sieht so aus:

Forderung von 100 Euro wegen des Einsatzes von Google Fonts.

Auch hierin werden 100 Euro verlangt, damit die Sache sich erledigt. Genau wie im vorigen Schreiben wird die betreffende Webseite nicht direkt genannt, sondern mit einem merkwürdigen Link (safelinks.protection.outlook.com), der auf eine Copy & Paste Vorgehensweise hindeutet.

Jedesmal wird auf das Urteil des LG München hingewiesen.

Übrigens arbeiten manche Anwaltskanzleien mit Privatpersonen zusammen, um Geschäfte zu generieren. Das Vorgehen ist immer gleich:

  1. Privatperson P schreibt Webseitenbetreiber an, entweder mit Bitte um Zahlung von X Euro oder mit Abmahnung
  2. Anwaltskanzlei A schreibt einen Beitrag. Darin erwähnen Sie die Abmahnung durch Person P und bieten ihre Hilfe an. So finden Hilfesuchende über Suchmaschinen die Dienstleistung von A, wenn sie von P abgemahnt wurden.
  3. A und P teilen sich den Gewinn

Schritt 3 entfällt manchmal, weil A und P unabhängig voneinander sind und A auf der gleichen Welle surft, die P hervorgerufen hat.

Empfehlungen

Zunächst sind die Anliegen an sich berechtigt. Google Fonts einzusetzen, bedeutet einen Datenschutzverstoß. Wenn die Schriften erst nach Einwilligung geladen werden, ist das was anderes. Aber was soll das? Niemand tut so etwas und die meisten könnten es nicht einmal realisieren, selbst wenn sie es wollten.

Daher die erste und wichtigste Empfehlung: Entfernen Sie Google Fonts von Ihrer Webseite. In einem eigenen Beitrag beschreibe ich, wie vorzugehen ist. Vorher kommt aber Empfehlung Nummer null: Führen Sie einen Webseiten-Check durch:

Sie können auch im Firefox Browser die Taste F12 drücken, um die Entwicklerkonsole einzublenden. Danach rufen Sie Ihre Webseite auf. Dann schauen Sie in der Entwicklerkonsole im Karteireiter Netzwerkanalyse, ob Dateien von fonts.googleapis.com o.ä. abgerufen werden.

Haben Sie das Gefühl, ein Standardanschreiben erhalten zu haben, dann antworten Sie nicht darauf, ist meine zweite Empfehlung. Ein PDF-Anhang gilt übrigens nicht als zugestellt, wenn die Mail als zugestellt gilt, die den Anhang enthält. Sie brauchen hierfür (bis auf Weiteres) keinen Anwalt.

Mittlerweile kursieren sogar Musterantwortschreiben von Anwaltskanzleien. Die Kanzlei bietet Ihnen gleich noch ein Rundum-Sorglos-Paket für 249 Euro (netto = 296,31 Euro brutto) an. Dafür antwortet die Kanzlei mit einem Schreiben auf das Anschreiben. Die weiteren Leistungspunkte (Prüfung der Abmahnung, ggf. Abgabe einer Unterlassungserklärung, Vergleichsverhandlung sofern Zahlung sinnvoll erscheint) scheinen bei den Trittbrettfahrern aus meiner Sicht nicht nötig zu sein bzw. laufen auf ein Antwortschreiben hinaus.

Wenn jemand Sie redlich anschreibt, etwa ich (was ich gelegentlich tue, wenn ich Probleme mit produktiv besuchten Webseiten habe), dann sollten Sie das Schreiben ernst nehmen. Wirklich! Bei den o.g. Anschreiben ist das aber wohl nicht der Fall. Wenn Sie ein ernst gemeintes Schreiben nicht ernst nehmen, kommt oft viel Ärger auf Sie zu. Ich kenne mindestens zwei Leute, die nicht vor einer Abmahnung oder Klage zurückschrecken, weil sie eine respektlose Behandlung bei höflichem Anschreiben nicht dulden.

Wenn Sie jemand abmahnen wird, der das massenweise tut, handelt er wahrscheinlich rechtsmissbräuchlich. Auch auf diese Abmahnungen sollten Sie dann eher nicht reagieren. Im schlimmsten Fall kommt es zur Klage. Ein Massenabmahner hat aber andere Ziele als Klagen zu führen. Er möchte die niedrig hängenden Früchte ernten. Selbst eine erfolgreiche Klage wird Ihr Unternehmen nicht ruinieren, dafür aber für mehr Rechtssicherheit in Datenschutz-Deutschland sorgen.

Bei einer Klage wiederum stehen die Chancen gut, dass der Kläger nicht beweisen kann, dass er Ihre Webseite aufrief und dass dabei Google Fonts eingebunden waren. Bei hunderten abgearbeiteten Webseiten, deren Betreiber dann angeschrieben wurden, lohnt der Aufwand der Beweissicherung nicht.

Wenn nur jeder zehnte die 100 Euro zahlt, sind das 10 Euro kalkulatorische Einnahmen pro Google Fonts Fall. Würden Sie für 10 Euro eine gerichtsfeste Beweissicherung betreiben? Ich jedenfalls nicht (ich würde es für null Euro tun, nämlich dann, wenn mir die Sache wirklich wichtig ist, wie etwa bei der Webseite gesetze-bayern.de. In dem Fall antwortete der Datenschutzbeauftragte auf meine informelle Rüge des unerlaubten Datentransfers in die USA mit dem Hinweis, man werde demnächst die Datenschutztexte anpassen. Nun warte ich auf die Beantwortung meines fünfseitigen Auskunftsgesuchs gemäß Art. 15 DSGVO, dessen Beantwortung ich nötigenfalls einklagen werde, um danach die Klage für den gerügten Datenschutzverstoß samt weiterer dann gefundener Verstöße auf den Weg zu bringen).

Cookie Tools statt echter Maßnahmen

Ist Ihnen das mit dem Google Fonts Dings zu kompliziert? Sie wollen lieber einfach nur eines dieser tollen Cookie-Tools auf Ihrer Webseite einbinden, damit die Welt danach in Ordnung ist. Sie glauben also an das achte Weltwunder.

Gehen Sie in die Kirche, wenn Sie glauben wollen. Oder lesen Sie die Bibel. Cookie Tools taugen rein gar nichts, um das Google Fonts Dings loszuwerden.

Cookie Tools werden auch als Consent Tools, Cookie Blocker, Consent Management Platform (CMP) oder Cookie Popups bezeichnet. Egal, wie der Begriff auch lautet: Diese Cookie-Tools taugen nicht viel. Sie funktionieren erst recht nicht für Google Schriften. Google Schriften nutzen nämlich gar keine Cookies. Wenn ein Cookie Tool die Google Schriften auf Ihrer Webseite blockieren würde (was nicht passiert), dann sähe Ihre Webseite ganz schön traurig aus. Das wollen Sie doch auch nicht.

Um Google Fonts abzuschalten, müssen Sie Ihre Webseite anpassen. Dazu müssen Sie in die Technik eingreifen. Haben Sie eine Agentur oder einen Webmaster, dann muss dieser Zuständige die Anpassung vornehmen, am besten auf eigene Rechnung. Denn wenn eine Agentur Ihnen Google Fonts auf die Webseite jubelt, ohne dass Sie das bestellt haben, dann hat die Agentur wohl was falsch gemacht.

Weigert sich Ihre Agentur, die Anpassung auf eigene Kosten vorzunehmen oder redet sich raus, dann würde ich Ihnen einen Agenturwechsel empfehlen. Vielleicht finden Sie ja eine Person, die sich mit Datenschutz und Technik auskennt.

Übrigens haftet die Agentur oder der Webmaster oft mit Ihnen zusammen, wenn Sie wegen eines Datenschutzverstoßes auf Ihrer Webseite belangt werden. Denn meist haben Sie das Problem selbst nicht verursacht. Und von einem Webseiten-Dienstleister wird wohl jeder erwarten können, dass die Webseite nicht durch Probleme verunstaltet wird, die leicht zu vermeiden sind. Wenn Sie Ihr Auto in die Werkstatt zur Inspektion bringen, dann erwarten Sie doch auch, dass das Auto danach besser, mindestens aber genauso gut wie vorher funktioniert und natürlich StVO-konform ist. Genauso verhält es sich mit Webseiten und der DSGVO. Anders kann es nur sein, wenn die Haftung der Agentur über einen Individualvertrag weitgehend ausgeschlossen wird. Über AGB kann man schlecht in rechtskonformer Weise vereinbaren, dass man als Agentur nicht für Problemchen wie Google Fonts haftet. Hierzu bedürfte es wohl eines Individualvertrags.

Was ist mit Google reCAPTCHA und Google Maps?

Sowohl Google reCAPTCHA als auch Google Maps laden Google Fonts nach. Beide Dienste können durch datenschutzfreundliche Alternativen ersetzt werden.

Google Maps etwa kann durch eine interaktive Karte auf Basis von OpenStreetMap ersetzt werden. Siehe meinen Konfigurator für interaktive Karten. Das funktioniert sogar für die Anzeige mehrerer Standorte auf einer einzelnen Karte. Vielleicht reicht Ihnen aber auch einfach ein Button mit der Beschriftung „Anfahrt planen“.

Statt Google reCAPTCHA als Formularschutz kann ein Eingabefeld mit Rechenaufgabe in Textform, ein Plugin wie Contact Form 7 Image Captcha oder eine PHP-Lösung genutzt werden. Weitere Möglichkeiten findet der, der sucht. Meine CAPTCHA-Lösung habe ich mal angefangen, aber bis jetzt noch nicht fertiggestellt. Es kamen immer andere Dinge dazwischen. Jedenfalls weiß ich, dass eine CAPTCHA-Lösung auch ohne Google möglich ist und kann es nötigenfalls auch beweisen (falls es mal vor Gericht geht).

Es gibt also mildere Mittel für beide Google Plugins. Beide Plugins funken Daten an Google, und somit ist bereits hypothetisch ein Zugriff für amerikanische Behörden möglich. Dies reicht laut Beschluss der Vergabekammer Baden-Württemberg vom 13.07.2022 (Az. 1 VK 23/22) aus, damit die DSGVO bedroht ist. Analog hatte der EuGH übrigens im IP-Adressenurteil „Breyer“ bereits im Jahr 2016 geurteilt. Es reicht aus, dass objektiv die Möglichkeit besteht, zu einer Netzwerkadresse den Anschlussinhaber zu ermitteln. Auch Sie als Webseitenbetreiber haben diese objektive Möglichkeit. Es reicht ja, wenn einer Ihrer Besucher straffällig wird und Sie eine IP-Adresse herausgeben müssten. Hoffentlich speichern Sie diese IP-Adressen nicht anlasslos in Server Logs, denn das ist nach meiner Untersuchung nicht mit der DSGVO vereinbar.

Was Google angeht, könnte man auch noch anführen, dass diese Datenkrake selbst erklärt (siehe Datenschutzhinweise von Google) sämtliche erhaltenen Daten auch für eigene Zwecke, wie etwa personalisierte Werbung, zu nutzen.

Fazit

Wenn Sie keinen Ärger haben wollen, nutzen Sie keine Google Dienste auf Ihren Webseiten. Auch keine von Facebook usw. Um Missverständnisse zu vermeiden: Es geht um Plugins für Ihre Webseite. Wenn Sie unbedingt den Google Maps Routenplaner nutzen wollen, obwohl er oft falsche Reisezeiten berechnet, ist das Ihre Sache. Sie könnten auch den Service von Graphhopper nutzen. Um den Ärger maximal zu reduzieren, sollten Sie einen Webseiten-Check durchführen. So sehen Sie sofort, was eine erste Prüfung der Startseite und weiterer Unterseiten zutage fördert.

Wenn Sie Ärger haben wollen, nutzen Sie Google Fonts und andere kritische Plugins weiterhin.

Wenn Sie noch mehr Ärger haben wollen, nutzen Sie zusätzlich ein Consent Tool.

Und wenn Sie viel Ärger haben und viel Geld dafür ausgeben möchten, dann beauftragen Sie einen Dienstleister oder Berater oder Anwalt, der entweder wenig von Technik oder wenig von Datenschutz oder wenig von beidem versteht.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Jörg

    Super Artikel, schön geschrieben und sehr informativ.

    Ist es nicht so, dass wenn die Google Schriften die z.B. durch Google Maps nachgeladen werden NACHDEM man mit einem Consent Tool die Zustimmung gegeben hat DSGVO-konform ist?
    Das wäre mir dann in der Tat neu.

    Vieloe Grüße

    Jörg

    • Dr. DSGVO

      Sie haben recht: Das Google Maps Plugin lädt für gewöhnlich Google Fonts nach. Das wäre an sich nach Einwilligung erlaubt, wenn nicht Google mit den Daten der Nutzer macht, was es will. Das bedeutet in Konsequenz, dass sämtliche Google Plugins nach meiner Auffassung nicht rechtssicher nutzbar sind.
      Hier bin ich auf Google Maps unter Nutzung von Google Fonts im Lichte des LG München Urteils zu Google Fonts eingegangen: https://dr-dsgvo.de/google-fonts-urteil-rechtskraeftig-auswirkungen/

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Datenschutzfreundliches Karten-Plugin für Webseiten statt Google Maps: Neue Möglichkeiten