Was ist die Datenschutz-Grundverordnung? Die Allgemeine Datenschutzverordnung (GDPR), die am 25. Mai 2018 in Kraft getreten ist, schafft einen rechtlichen Rahmen für den Schutz personenbezogener Daten aller Menschen, indem sie von Unternehmen verlangt, dass sie verlässliche Verfahren für die Verarbeitung und Speicherung dieser Daten einrichten.
Immer wieder erhalten viele Website-Betreiber aus Europa Abmahnungen wegen Verletzung der Datenschutz-Grundverordnung. Im Mittelpunkt steht die Nutzung von „Google Fonts“, einem Dienst von Google, mit dem eine große Auswahl an Schriftarten kostenlos in Webseiten eingebunden werden kann. Millionen von Websites weltweit setzen Google Fonts ein, ohne sich der möglichen datenschutzrechtlichen Konsequenzen bewusst zu sein.
Der Auslöser für die Abmahnungen ist die unerlaubte Übermittlung von IP-Adressen einzelner Nutzer/innen in die USA. Beim Laden der Schriftarten baut das Gerät des Nutzers eine Verbindung zu den Google-Servern auf und überträgt dabei seine eigene IP-Adresse. Da die USA nach der DSGVO als unsicheres Drittland gelten und IP-Adressen als personenbezogene Daten eingestuft werden, ist diese Übertragung ohne die ausdrückliche Zustimmung der Nutzer/innen nicht zulässig.
Anfang 2022 sprach das Landgericht München den Klägern Schadensersatz wegen der Nutzung von Google Fonts ohne Einwilligung zu. In vielen Fällen stützen sich die Abmahnungen auf dieses Urteil. Ob die Abmahnwelle auf Grundlage dieses Urteils gerechtfertigt ist und den Forderungen nachgegeben werden sollte, ist allerdings umstritten. Klar ist jedoch, dass auf technischer Ebene geeignete Maßnahmen ergriffen werden sollten.
Überprüfung der eigenen Website
Um zu prüfen, ob deine eigene Website betroffen ist, kannst du im Quellcode nach „fonts.googleapis.com“ und „fonts.gstatic.com“ suchen. Den Quellcode einer Webseite kannst du mit „Rechtsklick – Seitenquellcode anzeigen“ oder durch Drücken der Tastenkombination „Strg + U“ einsehen. Wenn eine dieser Domains im Quelltext auftaucht, ist es sehr wahrscheinlich, dass auf der Website Schriftarten von Google Fonts eingebunden sind. Alternativ können dir kostenlose Dienste wie der Google Fonts Checker direkt anzeigen, ob eine bestimmte Website betroffen ist. Falls Google Fonts verwendet werden, solltest du die entsprechenden Einbettungen umgehend blockieren und Google Fonts lokal einbinden.
Auch wenn du bereits eine Abmahnung erhalten hast, ist es wichtig, in jedem Fall zu kontrollieren, ob der Vorwurf berechtigt ist. Angesichts der offenbar sehr großen Zahl an Abmahnungen kann nicht ausgeschlossen werden, dass automatisierte Software wie sogenannte Crawler eingesetzt wurde, um mögliche Verstöße aufzuspüren.
Alternativen zu Google Fonts
Der einfachste Weg, die Nutzung von Google Fonts auf der eigenen Website zu vermeiden, ist die lokale Einbindung der Schriftart. In diesem Fall wird keine Verbindung zu externen Servern hergestellt und damit auch nicht die IP-Adresse des Nutzers übermittelt.
Dazu wird die Schriftart direkt von der Google Fonts-Website heruntergeladen und anschließend auf dem eigenen Webserver bereitgestellt. Die Schriftarten können dann wie gewohnt über einen <link>-Tag im Kopfbereich der Webseite geladen werden. Du musst lediglich die URL fonts.googleapis.com durch die URL der Schriftart auf deinem eigenen Webserver ersetzen. Wenn du ein Content Management System (CMS) verwendest, lohnt es sich, nach einem Google Fonts Blocker Plugin zu suchen. Für WordPress gibt es zum Beispiel das kostenlose Plugin Borlabs Font Blocker.
Google Fonts und reCAPTCHA
Auch wenn Google Fonts nicht direkt in die Website eingebunden wurden, werden die Schriftarten von bestimmten Google-Integrationen von den Google-Servern geladen. Wenn also reCAPTCHA verwendet wird, werden ebenfalls Schriftarten von Google Fonts geladen. reCAPTCHA ist eine Lösung von Google, die von Website-Betreibern zur Abwehr von Spam-Attacken, Bots und ähnlichen automatisierten Zugriffen eingesetzt wird.
Wenn also reCAPTCHA auf einer Website verwendet wird, verstößt dies auch gegen die DSGVO, wenn keine ausdrückliche Zustimmung der Nutzer/innen vorliegt. Unabhängig von der Einbindung von Google Fonts durch reCAPTCHA ist seine Nutzung zudem aus Sicht der DSGVO nur schwer zu rechtfertigen.
Um in diesem Zusammenhang auf der sicheren Seite zu sein, sollte die Verwendung sowohl von Google Fonts als auch von Google reCAPTCHA daher möglichst vermieden werden.
Wenn die Lösung nicht selbst umgesetzt werden kann
Wenn dir die technische Umsetzung einer datenschutzkonformen Webseite zu komplex erscheint, kannst du dich an uns, die neu-protec Mediendesign-Agentur wenden. Wir schauen uns gemeinsam den Aufbau deiner Seiten an und bieten dir eine schnelle und unkomplizierte Lösung an, damit es nach Möglichkeit gar nicht erst zu Abmahnungen kommt.
