Viele Webseitenbetreiber haben Google Fonts eingebunden – vielleicht auch unbewusst
Abmahnanwälte leiten aus der DSGVO Ansprüche ab, wenn Webseitenbetreiber Google Fonts benutzen
Google Fonts ist eine Sammlung von Schriften, die Webdesigner kostenlos verwenden können. Damit liefert Google den Browsern die Daten, die nötig sind, um die Schrift, die der Webdesigner oder die Webdesignerin vorsah, auf dem Bildschirm des Endgerätes darstellen zu können.
So funktionieren Google Fonts
Eine entsprechende Anweisung, Google Fonts zu verwenden, wird in den HTML-Quellcode der Website eingebaut. Im Quelltext befindet sich dann meist im <head>-Bereich eine Zeile wie die folgende:
<link rel=“stylesheet” href=“https://fonts.googleapis.com/css?family=Tangerine“>
In diesem Beispiel wird die Schriftfamilie „Tangerine“ integriert und für den Browsers des Webseitenbesuchers bereitgestellt.
Wenn man diese auf der Website verwenden will und zum Beispiel einen Text in der Schriftart „Tangerine“ ausgeben will, fügt man ein CSS-Tag ein wie:
<style>
body {
font-family: ‚Tangerine‘, serif;
font-size: 48px;
}
</style>
Die Schriftarten selbst, die unter Google Fonts zusammengestellt sind, unterliegen Open-Source-Lizenzbedingungen, dürfen also frei verwendet werden, auch zu kommerziellen Zwecken.
Der Google-Service an sich ist hier zu finden: https://developers.google.com/fonts
Google Fonts sind beliebt
Google Fonts zu nutzen, hat sich weltweit zu einer Praxis im Webdesign entwickelt. 40 Prozent der Top Million Websites nutzen Google Fonts. In Deutschland sind die Google Fonts mit 64 Prozent an erster Stelle unter den genutzten extern eingebundenen Fonts. Font Awesome und Adobe Creative Cloud WebFonts folgen erst auf dem zweiten und dritten Rang (Quelle: https://trends.builtwith.com/widgets/fonts/country/Germany) .
Selbst wer Google Fonts überhaupt nicht kennt, kann diese unbewusst nutzen, etwa in Plugins, Templates, Themes, Erweiterungen von Content Management Systemen. Es wird sich auf jeden Fall lohnen, auf der eigenen Website nachzusehen, ob irgendetwas von Google eingebunden ist, ohne dass sich das optisch bemerkbar macht.
Vorwurf: Daten werden in die USA übertragen
Der im Quelltext der Website einzubindende CSS-Link führt zu einem Server von Google mit dem Domainnamen „googleapis.com“ oder ähnlich.
Aufgrund der Tatsache, dass es sich um einen Google-Service handelt und Google als Unternehmen seinen Hauptsitz in den USA hat, könnte man annehmen, dass der Server hinter dem Domainnamen googleapis.com sich in den USA befindet.
Daraus entwickeln einige Akteure den Vorwurf, es würden beim Aufruf eines Links wie fonts.googleapis.com/css Daten in die USA übertragen. Der Link (die Adresse) wird vom Browser aufgerufen, wenn er eine Webseite anzeigen soll, die eine entsprechende Einbindung der Google Fonts hat. Dabei wird im Rahmen des technischen Prozesses wie im Internetprotokoll vorgesehen, der Zielservername in eine IP-Adresse aufgelöst. Zu dieser IP-Adresse wird Kontakt aufgenommen. Es findet eine Art Aushandlung der Übertragungsparameter statt, wobei sich auch der anfragende Computer (im weitesten Sinne) mit seiner IP-Adresse zu erkennen gibt.
Beim anfragenden Computer handelt es sich typischerweise um das Endgeräts des Users oder der Userin, der oder die die Webseite mit den Google-Fonts aufruft.
Diesen Umstand kann man als Datenübertragung begreifen, wobei diese übermittelten IP-Adressen natürlich auch gespeichert werden können. IP-Adressen, auch dynamisch vergebene, gelten im Sinne der Datenschutzgrundverordnung – man sagt wohl, „nach herrschender Meinung“ – als Daten mit Personenbezug.
Problemfall Privacy Shield
Moniert wird insbesondere auch, dass eine Datenübertragung in die USA stattfindet, wobei der Europäische Gerichtshof im sogenannten Schremps II – Urteil einen Beschluss der EU-Kommission für ungültig erklärt hat. Dieser Beschluss, der „Privacy Shield“-Beschluss, war eine Voraussetzung für ein informelles Abkommen mit den USA, mit dem sozusagen definiert worden war, dass das Datenschutzniveau in den USA dem europäischen Niveau entspricht., siehe dazu: https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Auswirkungen-Schrems-II-Urteil.html
Nach Meinung des Europäischen Gerichtshofs müsste bei einer Datenübertragung in ein „Drittland“ wie man im DSGVO-Umfeld den Rest der Welt außerhalb Europas benennt, sichergestellt sein, dass dort das gleiche Schutzniveau gilt wie in Europa. Dieses Schutzniveau wäre zudem zu überprüfen.
Datenschutz a la Europe in USA? EU-GH sagt „nein“
Dies könne, so das derzeit gängige Narrativ, aber in den USA gar nicht gewährleistet werden. Das hat uns Eduard Snowden ja vor Augen geführt. Dort würden Geheimdienste auf Daten auch europäischer Bürgerinnen und Bürger zugreifen. Anbieter wie Google könnten sich aufgrund amerikanischer Sicherheitsgesetze auch gar nicht verweigern.
Als Knackpunkt gilt die Serverlocation USA. Allerdings stellt Google viele Dienste von Google weltweit bereit und nutzt ein weltweit überspannendes Netz an Servern. Dank dieser Netze aus Servern sind die Dienste schnell genug verfügbar.
Man weiß nicht, auf welchem Server und in welchem Land sich die Daten tatsächlich befinden, wenn ein Aufruf durch einen Browser erfolgt. Es dürften weltweit sehr viele Kopien auf vielen Speicherservern zirkulieren, um zeitnah, um schnell Daten liefern zu können. Die Übertragung geschieht im Millisekundenbereich.
Im Falle von Google Analytics, ebenfalls ein Google-Service mit vieldiskutierter DSGVO-Relevanz, argumentiert die Pro-Google-Analytics-Seite, dass Google die Daten als Google Irland verarbeitet und somit personenbezogene Daten nicht in ein Drittland flössen. Zudem schließe man den Nutzungsvertrag für Analytics mit Google Irland ab.
Damit ist nicht darüber befunden, inwieweit global tätige Unternehmen Datenquellen aus verschiedenen Servicequellen nutzen, um diese mit anderen Quellen zu verbinden. Es scheint aber mitzuschwingen, dass in gewisser Weise akzeptabler ist, wenn die Daten innerhalb Deutschland oder Europa gespeichert, verarbeitet oder genutzt werden. Oder es liegt daran, dass es drastisch weniger europäische Akteure auf der Augenhöhe von Google oder Facebook/Meta gibt, die auffallend große Datenbestände verknüpfen und als Grundlage für zielgerichtete Werbung nutzen.
Wo liegen die Daten tatsächlich?
Insgesamt erscheint vielen die Argumentationskette contra Google-Fonts trotz einzelner hochrichterlicher Urteile noch nicht ganz überzeugend. Allerdings hält das die Abmahnszene unter den in Deutschland und in Europa zugelassenen Anwaltsfirmen nicht davon ab, Webseitenbetreiber serienmäßig per klassischem Brief oder E-Mail zu kontaktieren und teils wilde Forderungen zu erheben.
Die unübersichtliche Datenschutzrechtslage in Verbindung mit einer maschinell leicht zu realisierenden Testbarkeit einer Website, ob auf dieser ein „verbotener“ Link eingebaut sein könnte, lädt zu einfach skalierbaren und damit lukrativen Abmahnwellen ein. Viele bezahlen die geforderten Gebühren und wollen keinen langwierigen Rechtstreit anstoßen. Nur wenige ziehen vor Gericht.
Hinzu kommt eine technologisch vielleicht naivere bis technophobe Allgemeinbevölkerung in Deutschland und Europa. Global agierende und mittlerweile regelrecht dämonisierten Internetkonzernen steht man sehr skeptisch gegenüber. Für viele stehen Facebook und Google synonym für „das Böse im Internet“.
Offene Türen für Abmahnanwälte
Fehlende Kenntnis technologischer Zusammenhänge trifft zuweilen sicher auch Angehörige der Rechtsprechung. Folglich klagen versierte Abmahnanwälte gerne an einem Gerichtsstand, von dem bekannt ist, dass sie in beabsichtigter Tendenz urteilen.
Selbst wenn man zunächst scheitert, erhält man auf dem Weg durch die Instanzen gegebenenfalls eine Art „Musterurteil“. Darauf kann man sich in künftigen gleichgelagerten Abmahnwellen einschüchternd oder zumindest argumentativ beziehen .
In Fachkreisen gilt ein Urteil des Landgerichts München in diesem Zusammenhang als zitierwürdig. In einem so gelagerten Verfahren hatte ein Beschwerdeführer geklagt, dass auf einer Website Google Fonts eingebunden waren. Es erfolgte, so der Vorwurf, eine Übertragung der IP-Adresse in die USA, ohne dass der Beschwerdeführer vorher zugestimmt hat.
„Unwohlsein“: 100 Euro Schadenersatz
Das Gericht entschied, dass dies rechtswidrig sei und bei einer Ordnungsgeldandrohung von 250.000 Euro oder Haft zu unterlassen sei. Außerdem werde auch ein Schadensersatz fällig. Das im DSGVO-Umfeld berühmt-berüchtigte „berechtigte Interesse“ als Grund, Google Fonts zu nutzen, käme hier nicht in Frage. Der Schaden wäre ein durch den Webseitenbesuch verursachtes „Unwohlsein“ aufgrund von Kontrollverlust.
Das Urteil des Landgerichts München I hat das Aktenzeichen 3 O 17493/20 und ist hier nachzulesen:
https://openjur.de/u/2384915.html
Daneben sind viele Fälle bekannt, in denen auch irgendwelche Privatleute serienweise Briefe an Webseitenbetreiber versendeten, auf freundlich auf die zweifelhaften Einbindungen hinzuwiesen und zugleich auch eine eigene Schadenersatzforderung zu platzieren. Hier mag die Grenze der Absurdität überschritten sein.
Wie umgehen mit Umgang mit Google Fonts und vergleichbaren Diensten?
Die Rechtslage erscheint noch strittig zu sein. Juristische Ratschläge wollen und dürfen wir nicht geben. Solche könnte man sich auf spezialisierten Websites von Kanzleien wie WBS holen:
https://www.wbs-law.de/it-und-internet-recht/datenschutzrecht/google-webfont-musterschreiben-61157/
Allerdings kann man sagen, dass die gleiche Argumentation, die dieses Urteil begründet, auch für andere eingebundene Dienste gelten könnte. So gibt es auch Adobe Fonts, Mozilla Fonts etc.
Sicher hatten die Väter und Mütter der Datenschutzgrundverordnung nur Gutes im Sinn und wollten ein Instrumentarium gegen den ausufernden Datensammel- und -nutzungseifer im Internet, der insbesondere bei globalen Internetplattformen, Medien und digitalen Werbeträgern ausgeprägt ist, schaffen.
Dies ist für Deutschland nur teilweise geglückt. Denn die DSGVO schadet umso mehr eben auch den weniger potenten, aber vielleicht innovativen Akteuren, die keine so große Portokasse für juristische Auseinandersetzungen haben. Das mag daran liegen, dass hierzulande ein offenbar einträgliches Geschäft mit Serienabmahnungen überhaupt möglich ist.
Einzelselbständige und kleinste Firmen im Fadenkreuz
Abmahnanwälte (dieser Begriff hat sich als Gattungsbegriff durchaus etabliert) targetieren oftmals gerne Einzelselbständige, kleine und kleinste Firmen, da dort die Briefattacke am ehesten verfängt. Die Mittel zur Gegenwehr sind typischerweise begrenzt.
Um keine offenen Flanken zu bieten sollte man die Daten von Schriftarten idealerweise lokal laden und nicht von Servern, die schon aufgrund der Namensgebung Google zugeordnet werden können.
Wie das funktioniert ist hier schön erklärt:
https://www.drweb.de/google-fonts-datenschutzkonform-einbinden/
Folgt man den Hinweisen, erkennt man, dass die Einbindung von Schriften „zu Fuß“ gar nicht so trivial ist wie lapidarerweise gerne dargestellt Aus dieser Perspektive macht Google in diesem Sinne einen guten Job. Nicht umsonst sind Google Fonts und der Service dazu so beliebt. Leider haben Abmahnanwälte aber hier einen Ansatzpunkt gefunden. Der nächste wird nicht lange auf sich warten lassen. In Folge wird das Leben eines Websitebetreibers oder Webdesigners wieder ein bisschen schwerer: Mehr Arbeit, geringere Produktivität.
Quick Fixes
Für WordPress gibt es Plugins, die den Google-Download ersetzen und damit DSGVO-konform machen, versprechen die Anbieter.
Bei goneo easyPage 3.0 sind seit Sommer 2022 keine Google Fonts mehr integriert. Viele Open-Source-Schriften kommen zur Verwendung, sind aber lokal vorgehalten. Sie liegen auf einem eigenen Server. Wir empfehlen, die easyPage 3.0 erstelle Website sicherheitshalber neu zu veröffentlichen, sollte diese schon vor mehr als vier Monaten entstanden sein.
Ansonsten liest man im Web auf einschlägigen Seiten, dass Schriftarten aus den Google Fonts auch direkt eingebunden werden könnten, wenn man in den Datenschutzbestimmungen darauf hinweist.
Schon das rechtssichere Formulieren von Datenschutzhinweisen an sich ist schon eine Herausforderung. Zudem, so ist zu lesen, sollte sich der Websitenbetreiber die Erlaubnis des Users zu holen. Dann hätte man neben der Cookiesetz-Erlaubnis-Frage auch noch eine Frage wie: „Dürfen wir Schriftarten laden, die Ihr Browser momentan vielleicht noch nicht darstellen kann?“
Sind frugale Websites eine Lösung?
Im Grunde genommen sind die zusätzlichen Schriftarten verzichtbar. Technisch notwendig sind diese nicht. Webseiten sehen damit aber schöner aus. Als attraktiv empfundene Websites haben eine höhere Verweildauer, Interaktions- und Wiederbesuchsrate. Nachvollziehbar, denn Websites werden anders als APIs für Menschen gestaltet.
Bleibt zu hoffen, dass sich Abmahnwellen dieser Art nicht zu einem kollektiven Abmahnwahn steigern, verbunden mit einer entstehenden, diffusen Furcht.