Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Fonts und Cookie Tool installiert: Datenschutzprobleme vorprogrammiert

4

Aktuell erhalten zahlreiche Website-Betreiber Anschreiben per E-Mail, weil sie Google Fonts auf ihrer Webseite integriert haben. Auslöser ist ein Urteil des LG München vom 20.01.2022. Selbst nach Österreich ist eine Abmahnwelle geschwappt. Die Anschreiben weisen berechtigt auf Datenschutzverstöße hin. Was ist zu tun?

Einleitung

Auch ohne Gerichtsurteil leuchtet es ein, dass die Lieferung personenbezogener Daten an ein weltweit tätiges Unternehmen wie Google, das Daten zur extensiven Nutzerprofilbildung verwendet, an sich rechtswidrig ist. Das gilt umso mehr, wenn diese Datenlieferung durch den Einsatz einer Alternative vermeidbar ist.

Genau so verhält es sich mit Google Fonts. Google Fonts sind Schriftarten für Webseiten, die von einem Google Server abgerufen werden. Es handelt sich um Schriftarten freier Designer, die nichts mit Google zu tun haben. Google stellt eine Infrastruktur bereit, über die Designer ihre Schriften hochladen und Webseiten die Schriften danach einbinden können. Nicht mehr und nicht weniger, jedenfalls, was Ersteller und Nutzer der Schriften angeht. Google selbst freut sich über die zahlreichen Signale von Internetnutzern, die beim Abruf der Google Fonts zustande kommen. Damit können wunderbar Nutzerprofile gebildet werden, mit denen personalisierte Werbung noch besser verkauft werden kann.

Das LG München entschied am 20.01.2022 (Az.: 3 O 17493/20), dass der Abruf von Google Fonts rechtswidrig ist. Denn dabei wird die IP-Adresse des Webseitenbesuchers an Google übertragen. Die IP-Adresse ist ein personenbezogenes Datum. Das gilt auch für die dynamische IP-Adresse. Siehe EuGH- und BGH-Urteile „Breyer“ (EuGH-Urteil vom 19.10.2016 – C-582/14, BGH-Urteil vom 16.05.2017 – VI ZR 135/13). Google wiederum ist ein amerikanisch geführtes Unternehmen. Das widerspricht der DSGVO. Siehe Art. 49 DSGVO, das EuGH-Urteil „Schrems II“ sowie die Tatsache, dass die USA ein DSGVO-widriger Überwachungsstaat sind (EO 12333, FISA 702, Cloud Act).

Bereits ein Jahr vor dem Urteil habe ich ausführlich untersucht, dass es mildere Mittel für Google Fonts gibt. Es ist wirklich „einfach“, die Schriften herunterzuladen, auf den eigenen Server hochzuladen und von dort einzubinden. Klingt nicht nach Raketenwissenschaft. Für den Fall, dass das jemandem zu kompliziert ist: Pech gehabt, Experten suchen. Wer keinen Parkplatz findet oder zu weit weg vom Ziel, darf auch nicht falsch parken. Steuererklärung zu kompliziert? Einfach nicht abgeben, oder wie war das? Kein Geld mehr? Bank überfallen. Einfach die Gesetze bestmöglich einhalten. Die Ausreden interessieren niemanden (jedenfalls mich nicht).

Anschreiben wegen Google Fonts

Einige Trittbrettfahrer nutzten die Gelegenheit, Betreiber von Webseiten mit einem Schreiben zu bedenken, weil auf den jeweiligen Webseiten Google Fonts (in rechtswidriger Weise) eingebunden waren.

Das Schreiben hat meist seine Berechtigung. Jemand hat sich ein Progrämmchen geschrieben und massenweise Webseiten abgegrast, um Opfer zu finden. Technisch weniger versierte Personen haben einfach selber zahlreiche Webseiten aufgerufen und schnell manuell geschaut, ob dort Google Schriften eingebettet waren. Weil viele Webmaster oder Agenturen leider die falschen oder keine Berater hatten, wird man auf der Suche nach Datenschutzfehlern schnell fündig.

Ein Trittbrettfahrer ist in diesem Fall jemand, der Webseitenbetreiber anschreibt, obwohl er deren Webseite eigentlich gar nicht besucht hätte. Es geht demjenigen “nur” darum, Ärger zu machen. Hier ein Auszug eines Schreibens von Loris Bachert:

Auszug aus einem Anschreiben wegen Google Fonts.

Herr Bachert fordert, dass der Datenschutzverstoß abgestellt und eine Unterlassungserklärung abgegeben wird. Letztere ist strafbewehrt. Als Vertragsstrafe sind “bis zu 3.000 €” angegeben, eine wie ich finde sehr merkwürdige Formulierung. Das Schreiben ist als PDF-Anhang zu einer Mail gestaltet.

Ein anderes Schreiben stammt vom Serienschreiber Vernis Jankovskis. Es sieht so aus:

Anschreiben mit Forderung einer Zahlung von 100 Euro wegen Google Fonts.

Hierin wird ein Betrag von 100 Euro per Banküberweisung gefordert. Danach sei die Sache erledigt.

Ein ähnliches Schreiben stammt von Susanne Schober. Es sieht so aus:

Forderung von 100 Euro wegen des Einsatzes von Google Fonts.

Auch hierin werden 100 Euro verlangt, damit die Sache sich erledigt. Genau wie im vorigen Schreiben wird die betreffende Webseite nicht direkt genannt, sondern mit einem merkwürdigen Link (safelinks.protection.outlook.com), der auf eine Copy & Paste Vorgehensweise hindeutet.

Jedesmal wird auf das Urteil des LG München hingewiesen.

Selbst in Österreich mahnen Privatpersonen Unternehmen bzw,. Betreiber von Webseiten ab. Eine Person nennt sich Eva Z., wie mir von einem Leser aus Österreich berichtet wurde. Der Leser berichtete mir auch, dass in seinem Webserver-Protokoll quasi zeitgleich zum Zugriff durch Eva Z. ein Zugriff durch einen Bot mit der technischen Kennung “SEO Scanner” erfolgte. Es sieht also danauch aus, und das berichten auch andere, dass manche Abmahner einen Crawler benutzen, um automatisiert Opfer zu finden.

Übrigens arbeiten manche Anwaltskanzleien mit Privatpersonen zusammen, um Geschäfte zu generieren. Das Vorgehen ist immer gleich:

  1. Privatperson P schreibt Webseitenbetreiber an, entweder mit Bitte um Zahlung von X Euro oder mit Abmahnung
  2. Anwaltskanzlei A schreibt einen Beitrag. Darin erwähnen Sie die Abmahnung durch Person P und bieten ihre Hilfe an. So finden Hilfesuchende über Suchmaschinen die Dienstleistung von A, wenn sie von P abgemahnt wurden.
  3. A und P teilen sich den Gewinn

Schritt 3 entfällt manchmal, weil A und P unabhängig voneinander sind und A auf der gleichen Welle surft, die P hervorgerufen hat.

Empfehlungen

Zunächst sind die Anliegen an sich berechtigt. Google Fonts einzusetzen, bedeutet einen Datenschutzverstoß. Wenn die Schriften erst nach Einwilligung geladen werden, ist das was anderes. Aber was soll das? Niemand tut so etwas und die meisten könnten es nicht einmal realisieren, selbst wenn sie es wollten.

Daher die erste und wichtigste Empfehlung: Entfernen Sie Google Fonts von Ihrer Webseite. In einem eigenen Beitrag beschreibe ich, wie vorzugehen ist. Vorher kommt aber Empfehlung Nummer null: Führen Sie einen Webseiten-Check durch:

Sie können auch im Firefox Browser die Taste F12 drücken, um die Entwicklerkonsole einzublenden. Danach rufen Sie Ihre Webseite auf. Dann schauen Sie in der Entwicklerkonsole im Karteireiter Netzwerkanalyse, ob Dateien von fonts.googleapis.com o. ä. abgerufen werden.

Achtung: Auch Google Maps und Google reCAPTCHA laden Google Fonts nach. Zwar ist die Sachlage hier anders als beim direkten Laden von Google Fonts. Aber wahrscheinlich wollen Sie nicht unnötigerweise herausfinden, wer im Recht ist.

Haben Sie das Gefühl, ein Standardanschreiben erhalten zu haben, dann antworten Sie nicht darauf, ist meine zweite Empfehlung. Ein PDF-Anhang gilt übrigens nicht als zugestellt, wenn die Mail als zugestellt gilt, die den Anhang enthält. Sie brauchen hierfür (bis auf Weiteres) keinen Anwalt.

Enthält Ihre Webseite keinerlei Google Fonts und wurden sie somit zu Unrecht abgemahnt, dann denken Sie darüber nach, den Abmahner wegen rechtsmissbräuchlicher Abmahnung selbst abzumahnen.

Mittlerweile kursieren sogar Musterantwortschreiben von Anwaltskanzleien. Die Kanzlei bietet Ihnen gleich noch ein Rundum-Sorglos-Paket für 249 Euro (netto = 296,31 Euro brutto) an. Dafür antwortet die Kanzlei mit einem Schreiben auf das Anschreiben. Die weiteren Leistungspunkte (Prüfung der Abmahnung, ggf. Abgabe einer Unterlassungserklärung, Vergleichsverhandlung sofern Zahlung sinnvoll erscheint) scheinen bei den Trittbrettfahrern aus meiner Sicht nicht nötig zu sein bzw. laufen auf ein Antwortschreiben hinaus.

Wenn jemand Sie redlich anschreibt, etwa ich (was ich gelegentlich tue, wenn ich Probleme mit produktiv besuchten Webseiten habe), dann sollten Sie das Schreiben ernst nehmen. Wirklich! Bei den o.g. Anschreiben ist das aber wohl nicht der Fall. Wenn Sie ein ernst gemeintes Schreiben nicht ernst nehmen, kommt oft viel Ärger auf Sie zu. Ich kenne mindestens zwei Leute, die nicht vor einer Abmahnung oder Klage zurückschrecken, weil sie eine respektlose Behandlung bei höflichem Anschreiben nicht dulden.

Wenn Sie jemand abmahnen wird, der das massenweise tut, handelt er wahrscheinlich rechtsmissbräuchlich. Auch auf diese Abmahnungen sollten Sie dann eher nicht reagieren. Im schlimmsten Fall kommt es zur Klage. Ein Massenabmahner hat aber andere Ziele als Klagen zu führen. Er möchte die niedrig hängenden Früchte ernten. Selbst eine erfolgreiche Klage wird Ihr Unternehmen nicht ruinieren, dafür aber für mehr Rechtssicherheit in Datenschutz-Deutschland sorgen.

Bei einer Klage wiederum stehen die Chancen gut, dass der Kläger nicht beweisen kann, dass er Ihre Webseite aufrief und dass dabei Google Fonts eingebunden waren. Bei hunderten abgearbeiteten Webseiten, deren Betreiber dann angeschrieben wurden, lohnt der Aufwand der Beweissicherung nicht.

Wenn nur jeder zehnte die 100 Euro zahlt, sind das 10 Euro kalkulatorische Einnahmen pro Google Fonts Fall. Würden Sie für 10 Euro eine gerichtsfeste Beweissicherung betreiben? Ich jedenfalls nicht (ich würde es für null Euro tun, nämlich dann, wenn mir die Sache wirklich wichtig ist, wie etwa bei der Webseite gesetze-bayern.de. In dem Fall antwortete der Datenschutzbeauftragte auf meine informelle Rüge des unerlaubten Datentransfers in die USA mit dem Hinweis, man werde demnächst die Datenschutztexte anpassen. Nun warte ich auf die Beantwortung meines fünfseitigen Auskunftsgesuchs gemäß Art. 15 DSGVO, dessen Beantwortung ich nötigenfalls einklagen werde, um danach die Klage für den gerügten Datenschutzverstoß samt weiterer dann gefundener Verstöße auf den Weg zu bringen).

Cookie Tools statt echter Maßnahmen

Ist Ihnen das mit dem Google Fonts Dings zu kompliziert? Sie wollen lieber einfach nur eines dieser tollen Cookie-Tools auf Ihrer Webseite einbinden, damit die Welt danach in Ordnung ist. Sie glauben also an das achte Weltwunder.

Gehen Sie in die Kirche, wenn Sie glauben wollen. Oder lesen Sie die Bibel. Cookie Tools taugen rein gar nichts, um das Google Fonts Dings loszuwerden.

Cookie Tools werden auch als Consent Tools, Cookie Blocker, Consent Management Platform (CMP) oder Cookie Popups bezeichnet. Egal, wie der Begriff auch lautet: Diese Cookie-Tools taugen nicht viel. Sie funktionieren erst recht nicht für Google Schriften. Google Schriften nutzen nämlich gar keine Cookies. Wenn ein Cookie Tool die Google Schriften auf Ihrer Webseite blockieren würde (was nicht passiert), dann sähe Ihre Webseite ganz schön traurig aus. Das wollen Sie doch auch nicht.

Um Google Fonts abzuschalten, müssen Sie Ihre Webseite anpassen. Dazu müssen Sie in die Technik eingreifen. Haben Sie eine Agentur oder einen Webmaster, dann muss dieser Zuständige die Anpassung vornehmen, am besten auf eigene Rechnung. Denn wenn eine Agentur Ihnen Google Fonts auf die Webseite jubelt, ohne dass Sie das bestellt haben, dann hat die Agentur wohl was falsch gemacht.

Weigert sich Ihre Agentur, die Anpassung auf eigene Kosten vorzunehmen oder redet sich raus, dann würde ich Ihnen einen Agenturwechsel empfehlen. Vielleicht finden Sie ja eine Person, die sich mit Datenschutz und Technik auskennt.

Übrigens haftet die Agentur oder der Webmaster oft mit Ihnen zusammen, wenn Sie wegen eines Datenschutzverstoßes auf Ihrer Webseite belangt werden. Denn meist haben Sie das Problem selbst nicht verursacht. Und von einem Webseiten-Dienstleister wird wohl jeder erwarten können, dass die Webseite nicht durch Probleme verunstaltet wird, die leicht zu vermeiden sind. Wenn Sie Ihr Auto in die Werkstatt zur Inspektion bringen, dann erwarten Sie doch auch, dass das Auto danach besser, mindestens aber genauso gut wie vorher funktioniert und natürlich StVO-konform ist. Genauso verhält es sich mit Webseiten und der DSGVO. Anders kann es nur sein, wenn die Haftung der Agentur über einen Individualvertrag weitgehend ausgeschlossen wird. Über AGB kann man schlecht in rechtskonformer Weise vereinbaren, dass man als Agentur nicht für Problemchen wie Google Fonts haftet. Hierzu bedürfte es wohl eines Individualvertrags.

Was ist mit Google reCAPTCHA und Google Maps?

Sowohl Google reCAPTCHA als auch Google Maps laden Google Fonts nach. Beide Dienste können durch datenschutzfreundliche Alternativen ersetzt werden.

Google Maps etwa kann durch eine interaktive Karte auf Basis von OpenStreetMap ersetzt werden. Siehe meinen Konfigurator für interaktive Karten. Das funktioniert sogar für die Anzeige mehrerer Standorte auf einer einzelnen Karte. Vielleicht reicht Ihnen aber auch einfach ein Button mit der Beschriftung „Anfahrt planen“.

Statt Google reCAPTCHA als Formularschutz kann ein Eingabefeld mit Rechenaufgabe in Textform, ein Plugin wie Contact Form 7 Image Captcha oder eine PHP-Lösung genutzt werden. Weitere Möglichkeiten findet der, der sucht. Meine CAPTCHA-Lösung habe ich mal angefangen, aber bis jetzt noch nicht fertiggestellt. Es kamen immer andere Dinge dazwischen. Jedenfalls weiß ich, dass eine CAPTCHA-Lösung auch ohne Google möglich ist und kann es nötigenfalls auch beweisen (falls es mal vor Gericht geht).

Es gibt also mildere Mittel für beide Google Plugins. Beide Plugins funken Daten an Google, und somit ist bereits hypothetisch ein Zugriff für amerikanische Behörden möglich. Dies reicht laut Beschluss der Vergabekammer Baden-Württemberg vom 13.07.2022 (Az. 1 VK 23/22) aus, damit die DSGVO bedroht ist. Analog hatte der EuGH übrigens im IP-Adressenurteil „Breyer“ bereits im Jahr 2016 geurteilt. Es reicht aus, dass objektiv die Möglichkeit besteht, zu einer Netzwerkadresse den Anschlussinhaber zu ermitteln. Auch Sie als Webseitenbetreiber haben diese objektive Möglichkeit. Es reicht ja, wenn einer Ihrer Besucher straffällig wird und Sie eine IP-Adresse herausgeben müssten. Hoffentlich speichern Sie diese IP-Adressen nicht anlasslos in Server Logs, denn das ist nach meiner Untersuchung nicht mit der DSGVO vereinbar.

Was Google angeht, könnte man auch noch anführen, dass diese Datenkrake selbst erklärt (siehe Datenschutzhinweise von Google) sämtliche erhaltenen Daten auch für eigene Zwecke, wie etwa personalisierte Werbung, zu nutzen.

Exkurs: Shopify

Vorweg: Ich kann Shopify nicht empfehlen, kenne es aber auch nicht besonders gut. Was mir nur an den paar Shopify-Shops aufgefallen ist, die ich untersuchen durfte: Sie alle hatten größere, teils unheilbare Probleme mit dem Datenschutz. Das fing an bei einem unbrauchbaren Cookie-Addon und hörte nich auf bei einer recht technischen Ausgestaltung, die Anpassungen schwierig macht.

Shopify hat anscheinend wenigstens erkannt, dass Google Fonts keine gute Idee mehr sind. Das leite ich aus folgender Meldung ab, die in der Admin-Oberfläche eines Shopify-Shops erscheint:

Emfehlung von Shopify bezüglich Google Fonts.

Besonders bedienfruendlich ist die Empfehlung nicht. Erstmal ein Asset anlegen. Aber nicht mal das geht einfach. Denn “adding a new asset” ist kein Link, sondern nur ein Text. Wer ahnt schon, dass sich hinter diesem Pseudocode die Google Fonts Deklarationen verbergen?

{% render 'css-variables' %}

Anscheinend war das nicht die einzige Stelle, sondern nur eine von dreien in dem Shop, den ich mir im Auftrag anschauen durfte. Eine weitere Stelle war noch etwas versteckter. Sie lautete {% include ‘appikon-discounts’ %}. Statt Google Fonts am besten gleich Shopify ersetzen, das geht schneller und ist sicherer.

Fazit

Wenn Sie keinen Ärger haben wollen, nutzen Sie keine Google Dienste auf Ihren Webseiten. Auch keine von Facebook usw. Um Missverständnisse zu vermeiden: Es geht um Plugins für Ihre Webseite. Wenn Sie unbedingt den Google Maps Routenplaner nutzen wollen, obwohl er oft falsche Reisezeiten berechnet, ist das Ihre Sache. Sie könnten auch den Service von Graphhopper nutzen. Um den Ärger maximal zu reduzieren, sollten Sie einen Webseiten-Check durchführen. So sehen Sie sofort, was eine erste Prüfung der Startseite und weiterer Unterseiten zutage fördert.

Wenn Sie Ärger haben wollen, nutzen Sie Google Fonts und andere kritische Plugins weiterhin.

Wenn Sie noch mehr Ärger haben wollen, nutzen Sie zusätzlich ein Consent Tool.

Und wenn Sie viel Ärger haben und viel Geld dafür ausgeben möchten, dann beauftragen Sie einen Dienstleister oder Berater oder Anwalt, der entweder wenig von Technik oder wenig von Datenschutz oder wenig von beidem versteht.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Jörg

    Super Artikel, schön geschrieben und sehr informativ.

    Ist es nicht so, dass wenn die Google Schriften die z.B. durch Google Maps nachgeladen werden NACHDEM man mit einem Consent Tool die Zustimmung gegeben hat DSGVO-konform ist?
    Das wäre mir dann in der Tat neu.

    Vieloe Grüße

    Jörg

    • Dr. DSGVO

      Sie haben recht: Das Google Maps Plugin lädt für gewöhnlich Google Fonts nach. Das wäre an sich nach Einwilligung erlaubt, wenn nicht Google mit den Daten der Nutzer macht, was es will. Das bedeutet in Konsequenz, dass sämtliche Google Plugins nach meiner Auffassung nicht rechtssicher nutzbar sind.
      Hier bin ich auf Google Maps unter Nutzung von Google Fonts im Lichte des LG München Urteils zu Google Fonts eingegangen: https://dr-dsgvo.de/google-fonts-urteil-rechtskraeftig-auswirkungen/

    • Alexander

      Kleiner hilfreicher Tipp: Einmal bei https://fonts.bunny.net/about vorbeischauen. Dort kann man recht einfach Google Fonts ohne Logging nutzen. Ich denke, dass es für viele Webseitenbetreiber nützlich ist.

      • Dr. DSGVO

        M.E. auf jeden Fall besser als Google Fonts. Aber: Um sicher zu sein, müsste der Anbieter geeignete Garantien anbieten, etwa in Form eines Auftragsverarbeitungsvertrags (AVV).
        Daher bleibt die Empfehlung: Schriften lokal einbinden.
        Wenn man schon Google Fonts ersetzt, dann ist das herunterladen auch machbar. Schwierig ist eher das Finden der Stellen, wo die Ersetzung stattfinden muss (etwa in WordPress in Design Themes).

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Datenschutzfreundliches Karten-Plugin für Webseiten statt Google Maps: Neue Möglichkeiten