Google Fonts & Abmahnungen: Was wirklich problematisch ist!

Google Fonts und die dazu gehörenden Abmahnungen sind ein großes Thema für viele Website-Betreiber. Doch worum es wirklich geht, wissen nur die Wenigsten!

Andre Wolf, 1. September 2022

Eine Abmahnung wegen Google Fonts bekommen? Zumindest normale Internetnutzer, die fröhlich durchs Netz surfen, müssen sich an dieser Stelle keine Gedanken machen. Betroffen sind grundsätzlich die Betreiberinnen und Betreiber von Websites, welche Google Fonts nutzen. Doch gehen wir das Ganze einmal Schritt für Schritt durch. Schauen wir erstmal, was genau in der jüngeren Vergangenheit passiert ist.

Bei Google Fonts handelt es sich um Schriftarten, die der Internetriese Google bereitstellt, um sie beispielsweise auf Websites nutzen zu können. Diese können entweder direkt auf der Seite eingebettet oder beim Betreten einer Seite vom Google-Server nachgeladen werden. Letzteres wiederum ist nun zu einem Problem geworden.

In den letzten Wochen hat ein Rechtsanwalt aus Niederösterreich für Aufsehen gesorgt, weil er eine (bis dato nicht bezifferbare) Anzahl an Schreiben an Website-Betreiberinnen und -Betreiber versendet hat, bei deren Websites angeblich genau eben jene Schriftarten vom Google-Server nachgeladen werden (laut Quelltext der Seiten).

Genauer gesagt wird in den Schreiben erklärt, dass eindeutige Beweise vorlägen, dass der Abgemahnte auf seiner Webseite „Google Fonts“ einsetze und dies dazu führe, dass die IP-Adresse besagter Mandantin an Alphabet (Google) übertragen werde. Die genannte Firma Alphabet befindet sich außerhalb der EU und ist somit ein sogenanntes EU-Drittland. Besser: In dem Schreiben geht man nun davon aus, dass das darin abgemahnte Verhalten der Website gegen die Datenschutzgrundverordnung (kurz: DSGVO) verstoße.

Medien sprechen teilweise von zehntausenden Unterlassungserklärungen. Als Auslöser für diese Schreiben dürfte ein einzelnes Urteil aus Deutschland gedient haben. Das Landgericht München stellte vor geraumer Zeit fest, dass die Einbettung von Google Fonts auf der eigenen Website, sofern sie direkt über den Google-Server verläuft, gegen die Datenschutzgrundverordnung verstoße.

Auf dieser Grundlafe wurden nun Websites von dem niederösterreichischen Anwalt (Anmerkung: Nach eigenen Angaben im Auftrag einer Mandantin) angeschrieben und 190 € als Vergleichszahlung eingefordert. Dieser Betrag setzt sich aus 100 Euro Schadenersatz für die Mandantin und 90 Euro „für die Rechtsverfolgung“ zusammen. Wir haben eine Kopie eines solchen Originalbriefes zur Verfügung gestellt bekommen.

Besonders betroffen von dem Problem sind wiederum Homepage-Baukasten wie WIX oder JIMDO, sowie Templates für CMS Systeme (WordPress, Joomla etc.), bei denen standardmäßig meist Google Schriftarten verwendet werden. Häufig können Website-Betreiber auch gar nicht auswählen, ob sie diese Schriftarten nutzen wollen oder nicht. Die Google Fonts „schleichen“ sich häufig

Prinzipiell dürfen externe Dienste aus Drittländern, die in eine Website eingebunden werden, nur dann aufgerufen werden, wenn der Nutzer sie bei Betreten der Seite manuell akzeptiert.

über den Editor in das endgültige Ergebnis ein.

Warum Google Fonts

Warum geht es um Google Fonts und was ist das eigentliche Problem? „Prinzipiell ist es so, dass externe Dienste aus Drittländern, wenn diese in eine Website eingebunden werden, nur dann aufgerufen werden dürfen, wenn von einem User, der diese Seite betritt, diese auch manuell bestätigt worden sind“ erklärt Web-Entwickler und Online Marketing-Experte Alexander Webernig Mimikama gegenüber. Das bedeutet, es darf ohne diese Zustimmung nichts über Drittanbieter auf der Website angezeigt werden.

Da liegt wiederum das Hauptproblem begraben, welches in der DSGVO auch verschriftlicht ist. Zum Unbehagen von Webernig: „Wenn es irgendwie möglich gewesen wäre, hätte man die IP-Adresse als besonders schützenswert aus der DSGVO herausnehmen sollen. Der aktuelle Fall, der nun in Österreich durchschlägt, ist genau das Resultat daraus.“ Laut Webernig können dadurch in Zukunft noch weitere Probleme entstehen, auf die wir später im Artikel eingehen.

Google Fonts ist also gar nicht das Problem. Es geht darum, dass Website-Betreiber Inhalte aus EU-Drittländern, sprich: außerhalb der EU, ohne das Einverständnis der Besucherinnen und Besucher laden. Um juristisch unproblematisch zu arbeiten, würde man im Idealfall externe Quellen wie Schriftarten oder Grafiken ausschließlich lokal von eigenen Server zur Verfügung stellen. Alternativ aber dürften bei Aufruf einer Website zunächst keine Inhalte wie Google Fonts geladen werden, sondern nur eine Basic-Standardschrift (Arial, Verdana, Times, etc.). Erst nach der Einwilligung dürften dann die entsprechenden Features geladen werden. Vorher sähe die Website dann jedoch sehr müde aus.

Das technische Problem mit den Abmahnungen

„Wir als Techniker haben das Problem jedoch schon lange erkannt und vor längerer Zeit in Angriff genommen“, sagt Webernig weiters. Es gibt daher verschiedene Möglichkeiten, das Problem zu umgehen. Am Beispiel von Google Fonts erklärt wäre dies das lokale Zurverfügungstellen der Schriftarten auf dem eigenen Server. Der Verweis im Quellcode würde dann eben nicht in die USA zu Google führen, sondern bleibt „zu Hause“.

Eine zweite Möglichkeit wäre das „Mapping“. Kurz und einfach erklärt: Google Fonts werden zwar vom Google-Server nachgeladen, allerdings nicht durch den Besucher, sondern durch die Seite selbst und dann von dieser an den Besucher weitervermittelt. Der Server in den USA bekäme nicht die IP des Besuchers, sondern die des Servers des Website-Betreibers.

Der springende Punkt ist nämlich: Es geht gar nicht um Google Fonts, sondern um die Weiterleitung der anfragenden IP-Adresse an einen Server in einem Drittland. Grundsätzlich ist es nicht verboten, die IP-Adresse zu protokollieren. Ein Provider (Anmerkung: Anbieter von Kommunikationsdiensten, wie dem Zugang zum Internet) oder Webseiteninhaber, der Statistiken aufzeichnet, handelt nicht illegal. Jedoch muss dies VOR der Erfassung angekündigt werden und Erfordert eine nutzerseitige Zustimmung.

Passiert dies nicht oder werden durch einen technischen Fehler Daten (wie etwa die IP-Adresse) vor der Einwilligung oder der Deklaration verarbeitet, geht es um einen „Kontrollverlust“, der im Sinne der DSGVO nicht geschehen soll. Die DSGVO verlangt, dass Userinnen und User jederzeit die Kontrolle über ihre Daten haben sollen.

Es geht im Grunde um die „Natur des Internets“

Wenn also ein Besucher ein Interesse an einer Website hat und diese besucht, wird die IP immer übertragen. Es ist nur die Frage, was bei dieser Übertragung passiert. Geht es um eine reine Protokollierung auf dem Server oder wird sie weitergeleitet. Alexander Webernig hegt nun starke Bedenken. „Weitergedacht geht es um die Natur des Internets. Um Ping und Pong.“

Eine Datenabfrage muss am Ende immer mindestens zwei Adressen haben. Einmal die Seite, die abfragt, dann die Seite, die sendet. Unweigerlich müssen IP-Adressen zumindest kurzfristig protokolliert werden. Anders geht es nicht. Wenn nun Gerichte entscheiden (so wie das oben angeführte Urteil aus Deutschland), dass es sich bei IP-Adressen um schützenswerte personenbezogene Daten handelt (was auch der Verfassungsgerichtshof in Österreich behauptet), wird der Aufbau einer jeglichen Verbindung im Netz problematisch! Selbst im sogenannten „Erwägungsgrund 30“ der DSGVO ist festgehalten, dass IP-Adressen personenbezogene Daten darstellen:

(30) Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

https://dejure.org/gesetze/DSGVO/Erw%C3%A4gungsgr%C3%BCnde.html

Und da sind wir fernab von Google Fonts beim Kernproblem angekommen. Und in einem Gewirr von Gesetzen, die sich mitunter nicht vertragen. Technisch gesehen ist die zumindest kurzfristige Speicherung von IP-Adressen zwingend notwendig. Sie ist der Grundbaustein der Onlinekommunikation. „Das haben dann am Ende jedoch nicht Techniker, sondern Politiker entschieden, dass die IP-Adresse im DSGVO-Paket gelandet ist. Und das kommt dann dabei heraus.“ merkt Webernig dazu an.

Google Fonts ist an dieser Stelle ein Beispiel von vielen Problemen, die sich aus dieser Situation ergeben. Webernig sieht hier eine düstere Zukunft auf die Branche zukommen: „Wobei wir an dieser Stelle noch nicht mal von der italienischen Form der DSGVO reden, die erst noch in Kraft treten wird! Dieses Thema wird uns noch sehr lange beschäftigen.“ Hier verweist der IT-Experte auf 6 weitere länderspezifische Varianten der DSGVO an (international GDPR für (General Data Protection Regulation)..

In diesen Verordnungen wird noch schärfer reglementiert, wie gewisse Angaben protokolliert werden müssen und was weitergegeben werden darf. Die italienische Version sieht Webernig als sehr problematisch dabei an, denn für international agierende Firmen wird es kaum möglich, all diese Bestimmungen einzuhalten.

Wie sich das entwickeln wird, steht daher noch in den Sternen. Gerade in Bezug auf die Gegenwart, da es noch keine eindeutige Rechtssprechung gibt, da selbst der genannte Fall aus München eben nicht grundsätzlich gilt, sondern die Gerichte im Einzelfall entscheiden müssen.

Google Fonts: Aktueller Fall betrachtet

Umso wichtiger ist es, korrekt funktionierende Consent Banner vorzuschalten und externe Dienste aus Drittländern bis zu einer manuellen Einwilligung durch den Seitenbesucher zu blockieren. Damit können viele Probleme umgangen werden. Webernig betont, dass viele Website-Betreiber ihre Onlineauftritte genau unter die Lupe nehmen, bzw. die verantwortlichen Firmen (sofern diese beauftragt wurden) dies machen sollten. „Man sollte sich im letzteren Falle auch unbedingt schriftlich absichern, dass man den Auftrag erteilt hat!“ meint Webernig, denn so wäre die Haftung geregelt.

Ob nun im aktuellen Fall in Österreich ein Urteil zugunsten der Klägerin ausfallen wird, steht noch nicht fest. Hierbei sind viele weitere Aspekte zu beachten, unter anderem auch die schiere Masse der ausgesendeten Abmahnungen, bzw. auf welche Weise die Abmahnung zustande gekommen sind. Wurden die Websites persönlich oder automatisiert (mit Hilfe eines sogenannten Crawlers) angesteuert, um im Quelltext nach Nennungen von Google Fonts zu suchen?

Für exakt diese Analyse werden wir den Artikel weiterführen und mit Juristen und Juristinnen sprechen, die zum einen den konkreten und aktuellen Fall anschauen, aber auch eine Bewertung der generellen Lage in Bezug auf die IP-Weitergabe von Websites und Inhalten in das EU-Ausland abgeben.

Das könnte ebenso interessieren: Winnetou und Karl May nicht verboten! Weiterlesen …




Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

MimikamaPLUS-Inhalte