gekennzeichnet. 
Das LG München hatte Google Fonts für rechtswidrig erklärt und einer Privatperson 100 Euro Schadenersatz zugesprochen. Das Urteil ist nun rechtskräftig. Was bedeutet das für Betreiber von Webseiten und den Datenschutz? Sind Google Maps und Google reCAPTCHA ebenfalls betroffen?
Einleitung
Google Fonts sind Schriftarten, die Google auf eigenen Servern bereitstellt. Die Fonts können von Webseiten derart integriert werden, dass sie die Schriftartdateien von einer Google-Adresse abrufen. Dies hält das LG München im Urteil vom 20.01.2022 – 3 O 17493/20 für rechtswidrig und sprach dem Kläger, eine Privatperson, zusätzlich zum Unterlassungsanspruch auch noch 100 Euro Schadenersatz aus Art. 82 Abs. 1 DSGVO zu. Der vom Kläger geforderte Schadenersatz wurde vom Gericht vollumfänglich anerkannt. Für Schriften eine Einwilligung abzufragen, ist zwar an sich möglich, erscheint aber praxisfern. Google betreibt übrigens weltweit Server, natürlich auch und vor allem in den USA. Ein Abruf aus den USA kann also nicht ausgeschlossen werden und ist sogar wahrscheinlich. Vergleiche die Datenverarbeitung von Google Analytics immer in den USA, wie Google selbst zugibt.
Das Urteil wurde nach meiner Kenntnis am 10.03.2022 rechtskräftig. Welche Auswirkungen hat das Urteil für Webseiten? Auf den Auskunftsanspruch nach Art. 15 DSGVO, den das Gericht feststellte, gehe ich hier gar nicht weiter ein, auch wenn das ebenfalls interessant ist.
Wer Datenschutz schon immer ernst genommen hat, für den hat das Urteil kaum Auswirkungen. Mich persönlich interessieren Google Fonts nicht, denn ich weiß im Gegensatz zu mancher Internet-Agentur, wie man Schriftarten herunterlädt und lokal einbindet. Auch brauche ich Google Maps nicht, denn dieses Karten-Plugin von Google lädt Google Fonts nach, und es gibt mildere Mittel (siehe meine Lösung für eine interaktive Karte).
Schadenersatzansprüche werden von deutschen Gerichten immer wieder beschieden. Das zeigt auch das Urteil des Landesarbeitsgericht (LAG) Berlin-Brandenburg vom 18.11.2021 (Az. 10 Sa 443/21). Einem Arbeitnehmer wurden wegen einer inhaltlich ungenügenden Datenauskunft, die auf zwei Auskunftsbegehren hin teils verspätet erteilt wurde, 2000 Euro Schmerzensgeld zugesprochen.
Auswirkungen
Offensichtlich sollten Google Schriften nicht mehr vom Google Server geladen werden. Das hielt ich schon immer für falsch. Eine lokale Einbettung (siehe oben) ist einfach möglich. Daran ändert auch die Tatsache nichts, dass dafür womöglich ein Fachkundiger eingesetzt werden muss. Es scheint manchen völlig fremd zu sein, jemandem Geld zu geben, der etwas kann, was man selber nicht kann. Allerdings ist es leider so, dass selbst bezahlte selbst ernannte Experten keine Experten sind. Gestern erzählte mir jemand, dass eine Werbe-Agentur für das Einbinden von Matomo auf einer Kunden-Webseite ganze 8 Personentage in Rechnung stellen wollte.
Google Fonts können und dürfen einfach lokal eingebunden werden.
Siehe Beitrag.
In meinem Beitrag zum Google Fonts Urteil beschreibe ich, was Google Fonts eigentlich sind und warum sie selbstverständlich lokal eingebettet werden dürfen. Google Fonts sind nämlich keine Schriften, die Google selber erstellt hat, sondern Werke von beliebigen Designern. Google stellt lediglich eine Infrastruktur zum Upload und Download der Fonts bereit. Das stimmt womöglich nicht ganz. Denn Google möchte vielleicht auch noch Signale erhalten, welcher Nutzer welche Webseite aufrief.
Ich kann jeden beruhigen, der Angst hat, dass der Traffic auf seiner Webseite weniger wird, wenn Google Fonts ab sofort lokal statt vom Google Server geladen werden. Webseiten können erfolgreich ganz ohne Google betrieben werden. Die Google Suchmaschine funktioniert dann immer noch. Ihre Webseite wird dann immer noch sehr gut oder sehr schlecht gefunden, genau wie zuvor.
Zweitverwendung von Google Fonts
Google Maps und Google reCAPTCHA sind zwei weit verbreitete Plugins für Webseiten. Beide Tools sind überwiegend nicht DSGVO-konform nutzbar. Das liegt unter anderem an den geladenen Cookies in unglaublicher Anzahl. Kennen Sie die Zwecke dieser Cookies? Schade, denn dann scheinen Sie die Pflichtinformationen nach Art. 13 DSGVO nicht erfüllen zu können. Diese gelten auch für Cookies, wie der EuGH im Planet49-Urteil feststellte. ich behaupte sogar, dass Sie nicht einmal die Namen der Cookies kennen, die von reCAPTCHA geladen werden.
In der allgemein verfügbaren Version von Google Fonts ist der Datenschutz nicht sichergestellt.
Google betreibt weltweit Server und verwendet Daten auch zu eigenen Zwecken. Dies geht aus den Google Datenschutzhinweisen hervor.
Google Maps lädt Google Fonts nach. Das LG München Urteil hat Fonts für rechtswidrig erklärt, weil es für Google Fonts eine datenschutzfreundliche Variante gibt. Das mildere Mittel existiert also unbestritten. Eine weitere Bedingung für das Urteil ist der Fakt, dass personenbezogene Daten in die USA fließen. Hierbei wurde übrigens das EuGH-Urteil „Breyer“ berücksichtigt, seit dem auch dynamische IP-Adressen als personenbezogen gelten.
Beide Kriterien können zumindest in der am häufigsten verwendeten Variante auch auf Google Maps übertragen werden. Da Google Fonts nachgeladen werden, muss über den USA-Transfer nicht weiter diskutiert werden.
Google Maps kann offensichtlich einfach (oder auch nicht einfach, das spielt keine wesentliche Rolle) durch eine andere interaktive Karte ersetzt werden. Nehmen Sie OpenStreetMap (OSM). Die Originalversion des OSM-Plugins hat aus meiner Sicht Datenschutzmängel, die allerdings wesentlich kleiner sind als die von Google Maps. Daher sollten Sie ein modifiziertes OSM-Plugin nutzen. Ich habe da mal eins vorbereitet.
Dieses Plugin schickt keinerlei personenbezogene Daten zu irgendjemandem, außer zu ihrem eigenen Server. Dieser Transfer zu Ihrem eigenen Server findet in ausschließlich technisch notwendiger und somit in legitimer Weise statt.
Mein Fazit lautet also, dass das Google Maps Plugin gemäß des LG München Urteils ebenso rechtswidrig ist. Sofern es Ihnen gelingt, eine rechtskonforme Einwilligung abzufragen, dürfen Sie Google Maps weiterhin einbetten. Ich bezweifle, dass Ihnen das gelingt.
Das Google Maps Plugin ist ohne mehrfache Einwilligung rechtswidrig, weil es die Grundproblematik von Google Fonts aufweist und es zudem mildere Mittel gibt.
Siehe auch Beitrag.
Für Google Maps müssen mehrere Einwilligungen eingeholt werden:
- Datentransfer in die USA: Einwilligung gemäß Art. 49 Abs. 1 DSGVO
- Kein berechtigtes Interesse oder sonstige direkt vorliegende Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 DSGVO
- Cookies (sofern vorhanden, was von der Art der Einbindung abhängt) gemäß § 25 TTDSG.
Für Google reCAPTCHA gilt ähnliches. Dieses Plugin gibt es allerdings in mehreren Ausprägungen. Ich beziehe mich hier nur auf die sichtbare Variante, die zum Schutz vor Formular-Spam eingesetzt wird. Sicher kennen Sie die Abfrage „Ich bin kein Roboter“.
Der USA-Datentransfer ist wie bei Google Maps aufgrund des Nachladens von Google Fonts durchargumentiert. Die vielen Cookies müssen hier gar nicht erwähnt werden. Auch für reCAPTCHA gibt es Alternativen, die datenschutzkonform sind.
Leider fehlte mir die Zeit, ein simples reCAPTCHA Plugin zu programmieren. Ich darf verraten, dass dies jedem Entwickler mit PHP- und Web-Kenntnissen möglich ist. An dieser Stelle könnte die Argumentation, dass es mildere Mittel für reCAPTCHA gibt, bereits enden.
Konstruktiv kann ich mitteilen, dass es bereits Lösungen existieren. Beispielsweise kann in einem Formular eine einfache Rechenaufgabe gestellt werden, deren Ergebnis nur ein Mensch eingeben kann. Eine solche Aufgabe könnte etwa lauten: "Wie viel ist 27 weniger 8?". Wenn Sie testen wollen, ob jemand Mathematik-affin ist, fragen Sie stattdessen "Wie viel ist 27 weniger -1,521?".
Honeypots und für den Menschen unsichtbare Formularfelder werden auch des öfteren verwendet. Für WordPress gibt es ein bekanntes Plugin für Formulare namens Contact Form 7. Dieses bietet bereits Basismittel für den Bot-Schutz. Mit dem Zusatzplugin Contact Form 7 Image Captcha kann eine weitere Absicherung erreicht werden.
Fast jeder für wenig Geld mietbare Server ist in der Lage, die Programmiersprache PHP zu interpretieren. Wer etwas programmieren kann, findet für PHP Captcha-Lösungen.
Das Google reCAPTCHA Plugin zum Schutz von Formularen ist ohne Einwilligung rechtswidrig.
Die Gründe sind die gleichen wie bei Google Maps und Google Fonts.
Auch für Google reCAPTCHA komme ich also zu dem Schluss, dass das Plugin aus den gleichen Gründen, die für Google Maps gelten, ohne gültige Einwilligung rechtswidrig ist.
Fazit
Der Einsatz von Google Plugins ist generell keine gute Idee, wenn der Anschein von Datenschutz auch nur im entferntesten bewirkt werden soll. Das Urteil des LG München zu Google Fonts macht es leicht, andere Google Tools in denselben Eimer zu werfen.
Andere Tools, die ebenfalls Google Fonts nachladen, können auch den eben genannten Tests unterzogen werden. Wahrscheinlich gibt es so gut wie kein ansonsten einwilligungsfreies Plugin gibt, welches alternativlos wäre. Demnach würde man sehr oft ein Plugin finden, dass ohne Einwilligung auskommt oder man müsste zugeben, dass das eingesetzte Plugin nur nach Einwilligung rechtskonform ist.
Wer mit dem Gedanken spielt, ein sogenanntes Cookie Popup einzusetzen: Cookie Popups sind eine schlechte Idee, außer, Sie wissen ganz genau, was Sie tun. Das wissen Sie aber nicht. Ich beleidige hiermit höchstens 0,1% der Leser und freue mich, diese kennenzulernen.
Wer eine Einwilligung abfragen möchte, sollte die Vorschriften beachten.
Sparen Sie sich doch den ganzen Ärger und verzichten Sie einfach auf Google Plugins. Eine Webseite, die Besucher nicht mit einem Cookie Popup nervt, ist doch was Feines. Wenn Sie unbedingt Google Analytics einsetzen wollen, dann wünsche ich Ihnen viel Spaß bei der Arbeit, eine serverseitige Infrastruktur aufzubauen. Ihr Geschäft muss dann wirklich sehr profitabel sein. Ansonsten würde es sich nicht lohnen. Hoffentlich werden Sie von Google nicht so abhängig, wie Deutschland vom russischen Gas.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre 
In deinem Beitrag ist alles schön und gut, was man jedoch nicht vergessen sollten, jede Person die eine Webseite mit WordPress erstellt, (und sei es nur um die eigene Hamsterzucht der Öffentlichkeit zu zeigen) macht sich strafbar.
Jeder der auf FB ist gibt mehr persönliche Daten weiter, als bei einem dynamischen Laden von Zeichensätzen, ich halte den Datenschutzwahn und speziell dieses Urteil, wo jemanden Geld zugesprochen wird für ein "unwohles Gefühl" für FALSCH, wenn wir so weiter machen haben wir bald Verhältnisse wie in Amerika.
Vorab: "Strafbar" ist ein Begriff, den ich als Nichtjurist dem Strafgesetzbuch zuordne. Das Zivilrecht kann meinem Verständnis nach nicht mit einer Strafbarkeit in Verbindung gebracht werden.
Mit "WordPress" ist im Kommentartext wahrscheinlich das Hosting über einen Dienst wie "wordpress.org" gemeint. Ein Hosting auf einem eigenen Server sollte rechtskonform möglich sein.
Mir ist der Kläger des Google Fonts Urteils bekannt, weil er sich nach dem Urteil bei mir meldete. Wer seine Motivation für das Urteil kennt, kann verstehen, warum er es erwirkt hat.
Mit Verlaub, abstellen ist nicht so ohne weiteres möglich, wenn Templates und größere CMS oder Shop Systeme verwendet werden. Es ist in jedem Fall mit Kosten verbunden unter Umständen sogar sehr hohen Kosten.
Davon abgesehen zieht das Urteil einen gigantischen Ratenschwanz nach sich. Denn gemessen an diesem Urteil dürften gar keine Inhalte mehr dynamisch von anderen Servern nach geladen werden. Dies betrifft gängige Bibliotheken wie jQuery, Fontawesome, Bootstrap etc. und das ist nur die Spitze des Eisbergs. Ich würde so weit gehen, dass man vermutlich mehr als 90% aller Websites in Deutschland abschalten müsst, wenn man dieses Urteil auf andere Bibliotheken anwendet.
Besonders lächerlich ist an dem Urteil, das Google explizit erwähnt, dass die IPs der Anfragen nicht protokolliert werden und somit nicht mal einen Datenverarbeitung stattfinden.
Das Internet basiert auf Vernetzung und Vernetzungen und Dienste gehen nur über Requests bei denen technisch bedingt nun mal die IP übertragen wird. Zu sagen, es reine Bequemlichkeit nicht alles lokal bereit zu stellen und auf externe Serveraufrufe zu verzichten, was im Fall einer Schriftart tatsächlich oft noch einfach ist, zeugt nicht gerade von Sachkenntnis.
Danke für Ihre Rückmeldung. In Kürze nehme ich dazu gerne konkret und in Kürze Stellung:
1) CMS oder Shop Systeme
Es ist Sache der Anbieter, etwa von Shopify, ihre Systeme so zu gestalten, dass diese datenschutzkonform nutzbar sind. Punkt. Andernfalls haben Sie ein anderes System zu nutzen, falls Shopify o.ä. nicht datenschutzkonform nutzbar sind. Beschweren Sie sich hier bitte bei den Anbietern, nicht bei der DSGVO.
2) Einbindung externer Dateien
Die von Ihnen genannten Beispiele (Bootstrap, jQuery etc.) können aus technischer Sicht sehr leicht lokal eingebunden werden. Ansonsten siehe Punkt 1)
3) Google Fonts
Google mag die IP-Adresse nicht protokollieren, aber dennoch weiterverarbeiten, etwa für personalisierte Werbung. Das gibt Google sogar zu.
Die IP-Adresse kann dazu etwa mit Identifikatoren gematcht werden. Eine Protokollierung der IP-Adresse findet derart technisch nicht statt.
4) Übertragung IP-Adresse
Die technisch notwendige Verarbeitung (etwa Übertragung) von IP-Adressen ist unkritisch.
Beschweren Sie sich bitte bei Google, wenn dort Datenschutzregeln verletzt werden, wenn Sie Google's kostenfreien Plugins (bezahlt wird "nur" mit Daten) auf Webseiten nutzen möchten.
Ich habe eine Verständnisfrage: Nehmen wir an, ich hätte Zugriff auf einen extrem riesigen Pool aus IP Adressen. Jetzt mache ich mir die Mühe diese zu filtern um nur noch diejenigen von deutschen Nutzern zu betrachten. Wie kann ich aus dieser Teilmenge den Kläger identifizieren?
Es geht darum: Wenn jemand Anlass zu Ermittlungen gibt, dann dürften Sie bzw. könnte Sie auf Veranlassung der Strafverfolgungsbehörden die IP-Adresse eines Nutzers nehmen und dafür könnte ggf. der Anschlussinhaber ermittelt werden.
Es geht also um die objektive Möglichkeit, nicht um die subjektive, tatsächliche Möglichkeit.
Vielen Dank. Ich würde allerdings vermuten, dass die o.g. objektive Möglichkeit nicht exisitert. Käme eine Strafverfolgungsbehörde auf mich, den Inhaber des riesen Pools, zu und würde mir einen Namen nennen, also: Max Mustermann wird in Deutschland dringend gesucht, bitte geben Sie mir seine IP Adresse (an sich schon höchst Absurd). Wie verbinde ich "Max Mustermann" mit einer IP Adresse? Wenn mir die Behörde nun sagt: "Wir wissen, dass Herr Mustermann am 25.09.2022 um 10:17:02 Uhr eine Website mit Google Fonts aufgerufen hat".
Hier die Folgefragen:
1. Damit hätte ich vermutlich immer noch eine unverarbeitbar große Anzahl IP Adressen, ich müsste der Behörde sagen, dass ich das leider nicht rausgeben kann, da die Anforderung nicht spezifisch genug ist.
2. Wenn die Behörde das so genau weiß, braucht sie zum einen Google nicht und zum anderen sollten wir uns Gedanken darüber machen.
Ich schreibe das alles, weil ich gern stichhaltig widerlegt werden würde. Ich suche den Sinn in diesem Urteil. Es scheint so, als wäre es absolut drüber. Als hätte man hier die Konsequenzen nicht bedacht oder gewollt ignoriert.
Jeder Request für Bilder, Dokumente, Scripte, alles was der Browser anfragt wird immer um die IP Adresse, den Browser, das Betriebssystem ergänzt. Diese Daten werden überall hingeschickt. Und laden in allen access Logs. Das war nie ein Problem.
Ich denke nicht, dass es mit Google Fonts getan ist. Das wird um sich greifen und macht alles komplizierter ohne einen tatsächlichen Nutzen zu haben.
Gerne greife ich zwei Ihrer Aussagen heraus und antworte darauf:
> Jeder Request für Bilder, Dokumente, Scripte, alles was der Browser anfragt wird immer um die IP Adresse, den Browser, das Betriebssystem ergänzt. Diese Daten werden überall hingeschickt. Und laden in allen access Logs. Das war nie ein Problem.
Doch, es war spätestens seit dem BGH-Urteil zu IP-Adressen im Jahr 2017 ein Problem. Nur hat sich niemand darum gekümmert. Wenn Sie jahrelang falsch parken, wird es dadurch nicht richtiger, dass Sie nie aufgeschrieben worden sind.
> Ich denke nicht, dass es mit Google Fonts getan ist.
Richtig.
Dann noch eine allgemeine Anmerkung:
Es hat Sie nicht zu interessieren, ob Ihrer Meinung nach Probleme mit Freiheitsrechten von Personen wegen der IP-Adresse entstehen oder nicht. EuGH und BGH haben hierzu bereits geurteilt. Halten Sie sich doch bitte einfach daran. Ich muss auch viele Dinge akzeptieren, die mir keinen Spaß machen.
> Leider fehlte mir die Zeit, ein simples reCAPTCHA Plugin zu programmieren. Ich darf verraten, dass dies jedem Entwickler mit PHP- und Web-Kenntnissen möglich ist.
Ich darf erwidern, dass es ganz so trivial nun auch nicht ist – es sei denn, ich möchte nur das Kontaktformular von Tante Ernas Website gegen gelegentliche SPAM-bot Scans absichern.
Für die meisten Anwendungsfälle ist es schon einfach. Mich hat gestern sogar jemand angeschrieben, der ein Captcha-Plugin erstellt hat, das unsichtbar läuft.