Aktuell kommt es verstärkt zu Abmahnungen von einschlägig bekannten Rechtsanwaltskanzleien an Webseitenbetreiber in Deutschland wegen der Einbindung von Google Fonts. Dieser Artikel befasst sich mit den Ursachen und Hintergründen und zeigt technische Lösungswege auf. Jedoch stellt dies keine Rechtsberatung da, sondern eine technische Betrachtung aus der Perspektive des Digitalsyndikats.
Hintergründe der Abmahnungen zu Google Fonts – die DSGVO
Die Abmahnung wegen der Einbindung von Google Fonts auf Webseiten basieren auf einem Gerichtsentscheid des Landgerichts München bezüglich der Auslegung der Datenschutz Grundverordnung (DSGVO). Dabei entschied das Gericht entgegen der für lange Zeit gängigen Web Praxis, das bereits eine Verbindung zu einem Server außerhalb der EU und damit auch außerhalb des Geltungsbereichs der DSGVO eine Datenschutzverletzung darstellt. Beim Aufrufen einer Webseite kommuniziert der Browser des Webseitenbesuchers mit dem Server, auf dem die Webseite gehostet ist. Bei dieser Kommunikation werden Daten übertragen, so auch die IP Adresse, über die der Nutzer zu identifizieren ist. Werden diese Daten ohne vorherige Einwilligung des Besuchers in ein Drittland übertragen, so verletzt der Webseitenbetreiber die Datenschutzrechte des Besuchers. Da die Google Fonts bei den bisher im Webdesign üblichen Verfahren von den Google Servern in den USA geladen wurden, und die USA als Drittland gelten, ist die Argumentationskette aus rechtlicher Sicht somit klar. Einmal mehr zeigt sich das begrenzte Verständnis deutscher Rechts- & Verwaltungsorgane für das Web. Internet ist nun mal Neuland, wie eine ehemalige Kanzlerin zu sagen pflegte. Das beim Aufrufen von Webseiten Daten ausgetauscht werden, sollte jedem Nutzer klar sein. Ebenso wie die Wege, diese Daten zu anonymisieren oder zu verschleiern. Oder anders gesagt: Wer Angst um seine Daten hat, und keinen VPN Client benutzt, ist selber Schuld.
Nichts desto trotz haben sich die Richter entschieden, das eine bloße Übertragung der IP Adresse bereits einen Pflichtverstoss darstellt. Somit ist das Aufrufen von google fonts über die google server nicht mehr Datenschutzkonform. Erkennbar ist dies, wenn die Webseite Verbindungen zu googlefonts.api oder gstatic.api aufbaut.
Die Lösung für rechtssichere Google Fonts
Rein rechtlich ist nun Fraglich, ob eine Verbindung zu den Google Fonts Servern gänzlich unzulässig ist, oder ob es einer Einwilligung bedarf. Technisch könnte man, ohne Probleme und analog zu den Cookie Consent Tools, ein weiteres Consent Formular für Google Fonts und die Verbindung zu den Goolge Fonts Servern einbinden. Der User müsste dann der Datenübertragung zustimmen, bevor Google Fonts geladen werden. Es ist nun nicht klar, ob dafür eine Datenschutzauftragsverarbeitungsvertrag nötig wäre.
Zum Glück sind google fonts explizit dafür gedacht, dem Web schönere Schriftarten zur Verfügung zu Stellen. Daher können diese ohne großen Aufwand auf den lokalem Server, auf dem auch die Webseite gehostet ist, installiert werden. Damit fällt die Verbindung zu den Google Servern weg, da die Fonts ja nun auf dem Server liegen, auf dem die Webseite liegt. Wir müssen dafür nicht einmal das Design ändern, nur die Source (Quelle) der Fonts und sicherstellen das die Webseite keine Verbindung mehr zu einem Google Fonts Server aufbaut.
Rechtsichere Webseiten und bereits bestehende Abmahnungen
Sollte es bereits zu einer Abmahnung gekommen sein, so ist zunächst sicherzustellen das der potenzielle Datenschutzverstoss behoben ist. In diesem Zug sollten nicht nur die Verbindungen zu Google Fonts Servern sondern die generelle Einhaltung der DSGVO geprüft werden. Sobald die Webseite nachhaltig rechtsicher ist, sollte man sich eine Strategie im Umgang mit der Abmahnung zurecht legen. Die Abmahnungen die das Digitalsyndikat von Neukunden zur Ansicht gestellt bekommen hat, bewegen sich im Bereich von 140 – 170€. Eine durchaus überschaubare Summe, die man, auch wenn es unrecht ist, aus Gründen der Zeitersparnis und der Erledigung eines Problems durchaus bezahlen kann. Eine andere Strategie ist die Zustellung der Abmahnung zu bestreiten, sollte tatsächlich jemand nachfragen. Die Wahrscheinlichkeit ist hoch, das die Methode “Datenschutzverstoss beheben und nicht antworten” zu keinem weiteren Rechtsverfahren führt. Durch den eindeutigen Charakter einer Abmahnwelle und die schwer zu beziffernde Schadenshöhe sowie der Frage ob überhaupt ein Schaden entstanden ist, steht die Abmahnung wohl rechtlich auch eher auf tönernen Füßen.
Die dritte und bei bisherigen Abmahnungen recht erfolgreiche Strategie bestand in der Behebung des Verstoß und einer modifizierten Unterlassungserklärung. Keinesfalls sollte die Unterlassungserklärung des abmahnenden Anwalts unterzeichnet werden.
Nachtrag: Eine der abmahnenden Kanzleien in Berlin ist von der Polizei und Staatsanwaltschaft wegen Betrug und Erpressung in über 2400 Fällen durchsucht worden. Den scheinbar handelt es sich bei der Person, dessen Datenschutzrecht durch die Einbindung von google fonts verletzt wurde, in allen Mahnschreiben um dieselbe, eventuell sogar fiktive Person. Es ist daher sehr fraglich ob überhaupt ein Datenschutzproblem vorliegt. Daher denken wir, das es sinnvoll ist die Abmahnung nicht zu bezahlen. In jedem Fall sollte die Webseite jedoch rechtssicher gestaltet werden. Mit hoher Wahrscheinlichkeit kommt man mit dieser Strategie um die Abmahnung herum.
Handlungsempfehlung – das Digitalsyndikat hilft bei Google Fonts Abmahnungen
Die Prüfung ob ihre Webseite Google Fonts von Google Fonts Servern lädt, können sie relativ einfach selbst durchführen. Öffnen sie die Webseite in Google Chrome und prüfen sie in den Entwicklertools, ob unter dem Reiter Sources Verbindungen zu google.fontsapi oder google finden. Wenn ja, so besteht eine Verbindung zu diesen Servern und die Webseite verletzt die Datenschutzrechte der Besucher. Eine andere Option ist eines der zahlreichen online Tools zu nutzen, wobei deren Ergebnisse nicht mit 100% Sicherheit gelten. Das Digitalsyndikat hilft gerne bei der Analyse der Webseite und bindet ihnen gerne Google Fonts lokal ein. Kontaktieren sie uns einfach über eine E-Mail an sascha@digitalsyndikat.com oder über das Kontaktformular. Wir freuen uns über Kommentare und Anmerkungen zum Thema DSGVO und Google Fonts.