Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Fonts Urteil rechtskräftig: Auswirkungen auf Google Maps und reCAPTCHA

0

Das LG München hatte Google Fonts für rechtswidrig erklärt und einer Privatperson 100 Euro Schadenersatz zugesprochen. Das Urteil ist nun rechtskräftig. Was bedeutet das für Betreiber von Webseiten und den Datenschutz? Sind Google Maps und Google reCAPTCHA ebenfalls betroffen?

Einleitung

Google Fonts sind Schriftarten, die Google auf eigenen Servern bereitstellt. Die Fonts können von Webseiten derart integriert werden, dass sie die Schriftartdateien von einer Google-Adresse abrufen. Dies hält das LG München im Urteil vom 20.01.2022 – 3 O 17493/20 für rechtswidrig und sprach dem Kläger, eine Privatperson, zusätzlich zum Unterlassungsanspruch auch noch 100 Euro Schadenersatz aus Art. 82 Abs. 1 DSGVO zu. Der vom Kläger geforderte Schadenersatz wurde vom Gericht vollumfänglich anerkannt. Für Schriften eine Einwilligung abzufragen, ist zwar an sich möglich, erscheint aber praxisfern. Google betreibt übrigens weltweit Server, natürlich auch und vor allem in den USA. Ein Abruf aus den USA kann also nicht ausgeschlossen werden und ist sogar wahrscheinlich. Vergleiche die Datenverarbeitung von Google Analytics immer in den USA, wie Google selbst zugibt.

Das Urteil wurde nach meiner Kenntnis am 10.03.2022 rechtskräftig. Welche Auswirkungen hat das Urteil für Webseiten? Auf den Auskunftsanspruch nach Art. 15 DSGVO, den das Gericht feststellte, gehe ich hier gar nicht weiter ein, auch wenn das ebenfalls interessant ist.

Wer Datenschutz schon immer ernst genommen hat, für den hat das Urteil kaum Auswirkungen. Mich persönlich interessieren Google Fonts nicht, denn ich weiß im Gegensatz zu mancher Internet-Agentur, wie man Schriftarten herunterlädt und lokal einbindet. Auch brauche ich Google Maps nicht, denn dieses Karten-Plugin von Google lädt Google Fonts nach, und es gibt mildere Mittel (siehe meine Lösung für eine interaktive Karte).

Schadenersatzansprüche werden von deutschen Gerichten immer wieder beschieden. Das zeigt auch das Urteil des Landesarbeitsgericht (LAG) Berlin-Brandenburg vom 18.11.2021 (Az. 10 Sa 443/21). Einem Arbeitnehmer wurden wegen einer inhaltlich ungenügenden Datenauskunft, die auf zwei Auskunftsbegehren hin teils verspätet erteilt wurde, 2000 Euro Schmerzensgeld zugesprochen.

Auswirkungen

Offensichtlich sollten Google Schriften nicht mehr vom Google Server geladen werden. Das hielt ich schon immer für falsch. Eine lokale Einbettung (siehe oben) ist einfach möglich. Daran ändert auch die Tatsache nichts, dass dafür womöglich ein Fachkundiger eingesetzt werden muss. Es scheint manchen völlig fremd zu sein, jemandem Geld zu geben, der etwas kann, was man selber nicht kann. Allerdings ist es leider so, dass selbst bezahlte selbst ernannte Experten keine Experten sind. Gestern erzählte mir jemand, dass eine Werbe-Agentur für das Einbinden von Matomo auf einer Kunden-Webseite ganze 8 Personentage in Rechnung stellen wollte.

Google Fonts können und dürfen einfach lokal eingebunden werden.

Siehe Beitrag.

In meinem Beitrag zum Google Fonts Urteil beschreibe ich, was Google Fonts eigentlich sind und warum sie selbstverständlich lokal eingebettet werden dürfen. Google Fonts sind nämlich keine Schriften, die Google selber erstellt hat, sondern Werke von beliebigen Designern. Google stellt lediglich eine Infrastruktur zum Upload und Download der Fonts bereit. Das stimmt womöglich nicht ganz. Denn Google möchte vielleicht auch noch Signale erhalten, welcher Nutzer welche Webseite aufrief.

Ich kann jeden beruhigen, der Angst hat, dass der Traffic auf seiner Webseite weniger wird, wenn Google Fonts ab sofort lokal statt vom Google Server geladen werden. Webseiten können erfolgreich ganz ohne Google betrieben werden. Die Google Suchmaschine funktioniert dann immer noch. Ihre Webseite wird dann immer noch sehr gut oder sehr schlecht gefunden, genau wie zuvor.

Zweitverwendung von Google Fonts

Google Maps und Google reCAPTCHA sind zwei weit verbreitete Plugins für Webseiten. Beide Tools sind überwiegend nicht DSGVO-konform nutzbar. Das liegt unter anderem an den geladenen Cookies in unglaublicher Anzahl. Kennen Sie die Zwecke dieser Cookies? Schade, denn dann scheinen Sie die Pflichtinformationen nach Art. 13 DSGVO nicht erfüllen zu können. Diese gelten auch für Cookies, wie der EuGH im Planet49-Urteil feststellte. ich behaupte sogar, dass Sie nicht einmal die Namen der Cookies kennen, die von reCAPTCHA geladen werden.

In der allgemein verfügbaren Version von Google Fonts ist der Datenschutz nicht sichergestellt.

Google betreibt weltweit Server und verwendet Daten auch zu eigenen Zwecken. Dies geht aus den Google Datenschutzhinweisen hervor.

Google Maps lädt Google Fonts nach. Das LG München Urteil hat Fonts für rechtswidrig erklärt, weil es für Google Fonts eine datenschutzfreundliche Variante gibt. Das mildere Mittel existiert also unbestritten. Eine weitere Bedingung für das Urteil ist der Fakt, dass personenbezogene Daten in die USA fließen. Hierbei wurde übrigens das EuGH-Urteil „Breyer“ berücksichtigt, seit dem auch dynamische IP-Adressen als personenbezogen gelten.

Beide Kriterien können zumindest in der am häufigsten verwendeten Variante auch auf Google Maps übertragen werden. Da Google Fonts nachgeladen werden, muss über den USA-Transfer nicht weiter diskutiert werden.

Google Maps kann offensichtlich einfach (oder auch nicht einfach, das spielt keine wesentliche Rolle) durch eine andere interaktive Karte ersetzt werden. Nehmen Sie OpenStreetMap (OSM). Die Originalversion des OSM-Plugins hat aus meiner Sicht Datenschutzmängel, die allerdings wesentlich kleiner sind als die von Google Maps. Daher sollten Sie ein modifiziertes OSM-Plugin nutzen. Ich habe da mal eins vorbereitet.

Dieses Plugin schickt keinerlei personenbezogene Daten zu irgendjemandem, außer zu ihrem eigenen Server. Dieser Transfer zu Ihrem eigenen Server findet in ausschließlich technisch notwendiger und somit in legitimer Weise statt.

Mein Fazit lautet also, dass das Google Maps Plugin gemäß des LG München Urteils ebenso rechtswidrig ist. Sofern es Ihnen gelingt, eine rechtskonforme Einwilligung abzufragen, dürfen Sie Google Maps weiterhin einbetten. Ich bezweifle, dass Ihnen das gelingt.

Das Google Maps Plugin ist ohne mehrfache Einwilligung rechtswidrig, weil es die Grundproblematik von Google Fonts aufweist und es zudem mildere Mittel gibt.

Siehe auch Beitrag.

Für Google Maps müssen mehrere Einwilligungen eingeholt werden:

  1. Datentransfer in die USA: Einwilligung gemäß Art. 49 Abs. 1 DSGVO
  2. Kein berechtigtes Interesse oder sonstige direkt vorliegende Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 DSGVO
  3. Cookies (sofern vorhanden, was von der Art der Einbindung abhängt) gemäß § 25 TTDSG.

Für Google reCAPTCHA gilt ähnliches. Dieses Plugin gibt es allerdings in mehreren Ausprägungen. Ich beziehe mich hier nur auf die sichtbare Variante, die zum Schutz vor Formular-Spam eingesetzt wird. Sicher kennen Sie die Abfrage „Ich bin kein Roboter“.

Der USA-Datentransfer ist wie bei Google Maps aufgrund des Nachladens von Google Fonts durchargumentiert. Die vielen Cookies müssen hier gar nicht erwähnt werden. Auch für reCAPTCHA gibt es Alternativen, die datenschutzkonform sind.

Leider fehlte mir die Zeit, ein simples reCAPTCHA Plugin zu programmieren. Ich darf verraten, dass dies jedem Entwickler mit PHP- und Web-Kenntnissen möglich ist. An dieser Stelle könnte die Argumentation, dass es mildere Mittel für reCAPTCHA gibt, bereits enden.

Konstruktiv kann ich mitteilen, dass es bereits Lösungen existieren. Beispielsweise kann in einem Formular eine einfache Rechenaufgabe gestellt werden, deren Ergebnis nur ein Mensch eingeben kann. Eine solche Aufgabe könnte etwa lauten: “Wie viel ist 27 weniger 8?”. Wenn Sie testen wollen, ob jemand Mathematik-affin ist, fragen Sie stattdessen “Wie viel ist 27 weniger -1,521?”.

Honeypots und für den Menschen unsichtbare Formularfelder werden auch des öfteren verwendet. Für WordPress gibt es ein bekanntes Plugin für Formulare namens Contact Form 7. Dieses bietet bereits Basismittel für den Bot-Schutz. Mit dem Zusatzplugin Contact Form 7 Image Captcha kann eine weitere Absicherung erreicht werden.

Sicherheitsabfrage für Formulare mit CF 7 Image Captcha.

Fast jeder für wenig Geld mietbare Server ist in der Lage, die Programmiersprache PHP zu interpretieren. Wer etwas programmieren kann, findet für PHP Captcha-Lösungen.

Das Google reCAPTCHA Plugin zum Schutz von Formularen ist ohne Einwilligung rechtswidrig.

Die Gründe sind die gleichen wie bei Google Maps und Google Fonts.

Auch für Google reCAPTCHA komme ich also zu dem Schluss, dass das Plugin aus den gleichen Gründen, die für Google Maps gelten, ohne gültige Einwilligung rechtswidrig ist.

Fazit

Der Einsatz von Google Plugins ist generell keine gute Idee, wenn der Anschein von Datenschutz auch nur im entferntesten bewirkt werden soll. Das Urteil des LG München zu Google Fonts macht es leicht, andere Google Tools in denselben Eimer zu werfen.

Andere Tools, die ebenfalls Google Fonts nachladen, können auch den eben genannten Tests unterzogen werden. Wahrscheinlich gibt es so gut wie kein ansonsten einwilligungsfreies Plugin gibt, welches alternativlos wäre. Demnach würde man sehr oft ein Plugin finden, dass ohne Einwilligung auskommt oder man müsste zugeben, dass das eingesetzte Plugin nur nach Einwilligung rechtskonform ist.

Wer mit dem Gedanken spielt, ein sogenanntes Cookie Popup einzusetzen: Cookie Popups sind eine schlechte Idee, außer, Sie wissen ganz genau, was Sie tun. Das wissen Sie aber nicht. Ich beleidige hiermit höchstens 0,1% der Leser und freue mich, diese kennenzulernen.

Wer eine Einwilligung abfragen möchte, sollte die Vorschriften beachten.

Sparen Sie sich doch den ganzen Ärger und verzichten Sie einfach auf Google Plugins. Eine Webseite, die Besucher nicht mit einem Cookie Popup nervt, ist doch was Feines. Wenn Sie unbedingt Google Analytics einsetzen wollen, dann wünsche ich Ihnen viel Spaß bei der Arbeit, eine serverseitige Infrastruktur aufzubauen. Ihr Geschäft muss dann wirklich sehr profitabel sein. Ansonsten würde es sich nicht lohnen. Hoffentlich werden Sie von Google nicht so abhängig, wie Deutschland vom russischen Gas.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine unabhängige Berichterstattung würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/google-fonts-urteil-rechtskraeftig-auswirkungen
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Google Analytics rechtskonform nutzbar? Aktueller Stand und Empfehlungen für das Tracking