Was ist die Datenschutz-Grundverordnung? Die Allgemeine Datenschutzverordnung (GDPR), die am 25. Mai 2018 in Kraft getreten ist, bietet einen rechtlichen Rahmen für den Schutz der personenbezogenen Daten aller Menschen. Indem sie von Unternehmen verlangt, dass sie robuste Verfahren für die Verarbeitung und Speicherung personenbezogener Daten einrichten.
Immer wieder erhalten viele Website-Betreiber aus Europa Abmahnungen wegen Verletzung der Datenschutz-Grundverordnung. Es geht um die Nutzung von „Google Fonts“, einem Dienst von Google, mit dem eine große Auswahl an Schriftarten kostenlos in Webseiten eingebettet werden kann. Millionen von Websites auf der ganzen Welt nutzen Google Fonts, ohne sich über die datenschutzrechtlichen Folgen im Klaren zu sein.
Der Grund für die Warnung ist die unerlaubte Übertragung von IP-Adressen einzelner Nutzer/innen in die USA. Beim Laden der Schriftarten stellt das Gerät des Nutzers eine Verbindung zu den Google-Servern her und überträgt so seine eigene IP-Adresse. Da die USA nach der DSGVO als unsicheres Drittland gelten und IP-Adressen als personenbezogene Daten betrachtet werden, ist die Übertragung ohne die ausdrückliche Zustimmung der Nutzer/innen nicht erlaubt.
Anfang 2022 sprach das Landgericht München den Klägern Schadensersatz wegen der Nutzung von Google Fonts ohne Zustimmung zu. In vielen Fällen stützen sich die Abmahnungen auf dieses Urteil. Ob die Abmahnwelle auf der Grundlage dieses Urteils gerechtfertigt ist und den Forderungen nachgegeben werden sollte, ist jedoch umstritten. Klar ist jedoch, dass auf der technischen Seite Maßnahmen ergriffen werden sollten.
Überprüfung der eigenen Website
Um zu überprüfen, ob deine eigene Website betroffen ist, kannst du im Quellcode nach „fonts.googleapis.com“ und „fonts.gstatic.com“ suchen. Den Quellcode einer Webseite kannst du mit „Rechtsklick – Seitenquellcode anzeigen“ oder durch Drücken der Tastenkombination „Strg + U“ einsehen. Wenn eine dieser Domains im Quellcode auftaucht, ist die Wahrscheinlichkeit groß, dass auf der Website Schriftarten von Google Fonts verwendet werden. Alternativ können dir kostenlose Dienste wie der Google Fonts Checker direkt sagen, ob eine bestimmte Website betroffen ist. Falls Google Fonts verwendet werden, solltest du die entsprechenden Einbettungen sofort blockieren und Google Fonts lokal einbetten.
Auch wenn du bereits eine Abmahnung erhalten hast, ist es wichtig, in jedem Fall zu prüfen, ob der Vorwurf gerechtfertigt ist. Angesichts der anscheinend sehr großen Anzahl von Abmahnungen kann nicht ausgeschlossen werden, dass automatisierte Software wie sogenannte Crawler eingesetzt wurde, um potenzielle Verstöße zu erkennen.
Alternativen zu Google Fonts
Der einfachste Weg, die Verwendung von Google Fonts auf der eigenen Website zu vermeiden, ist die lokale Einbindung der Schriftart. In diesem Fall wird keine Verbindung zu externen Servern hergestellt und somit auch nicht die IP-Adresse des Nutzers übertragen.
Dazu wird die Schriftart einfach von der Google Fonts-Website heruntergeladen und dann direkt auf dem eigenen Webserver zur Verfügung gestellt. Die Schriftarten können nun wie gewohnt über einen <link>-Tag im Kopfbereich der Webseite geladen werden. Du musst nur die URL fonts.googleapis.com durch die URL der Schriftart auf deinem eigenen Webserver ersetzen. Wenn du ein Content Management System (CMS) verwendest, empfiehlt es sich, nach einem Google Fonts Blocker Plugin zu suchen. Für WordPress gibt es zum Beispiel das kostenlose Plugin Borlabs Font Blocker.
Google Fonts und reCAPTCHA
Auch wenn Google Fonts nicht direkt in die Website integriert wurde, werden die Schriftarten von bestimmten Google-Integrationen von den Google-Servern geladen. Wenn also reCAPTCHA verwendet wird, werden auch Schriftarten von Google Fonts geladen. reCAPTCHA ist eine Lösung von Google, die von Website-Betreibern zur Bekämpfung von Spam-Attacken, Bots und Ähnlichem eingesetzt wird.
Wenn also reCAPTCHA auf einer Website verwendet wird, verstößt es auch gegen die DSGVO, wenn keine ausdrückliche Zustimmung der Nutzer/innen vorliegt. Abgesehen von der Einbettung von Google Fonts durch reCAPTCHA ist seine Verwendung auch aus Sicht der DSGVO schwer zu rechtfertigen.
Um in diesem Zusammenhang auf der sicheren Seite zu sein, sollte die Verwendung sowohl von Google Fonts als auch von Google reCAPTCHA daher vermieden werden.
Wenn die Lösung nicht selbst umgesetzt werden kann
Wem die Lösung zur Umsetzung einer datenschutzkonformen Webseite zu kompliziert ist, kann sich an uns, der neu-protec Mediendesign-Agentur wenden. Wir schauen uns gemeinsam den Aufbau deiner Seiten an und bieten dir eine schnelle und unkomplizierte Lösung, damit es möglichst zu keinen Abmahnungen kommen kann.