Wissen: Google Fonts auf Webseiten, Abmahnung, Prüfung-Fallen

Stop - PixabayIm Januar 2022 erging vom Landgericht München ein Urteil, dass die Einbindung von Google Fonts von den Google-Servern ohne spezielle Einwilligung des Nutzers als unzulässig ansah und dem Kläger einen "Schadensersatz" von 100 Euro zusprach. Das ruft aktuell wohl Abmahn-Ritter verschiedener Couleur auf den Plan, die sich auf Basis dieses Urteils bei Webseitenbetreibern schadlos halten wollen. Hier eine grobe Übersicht samt Hinweisen, wie man prüft, ob eine Seite Google Fonts von deren Webservern verwendet und welche Fallen ggf. lauern.


Anzeige

Google Fonts auf Websites rechtswidrig

Google Fonts sind Schriftarten, die in Webseiten verwendet und bei deren Besuch vom Browser des Benutzers von den Google Servern eingebunden werden. Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 ist das Einbinden von Google Fonts von den Google-Servern ohne besondere Einwilligung eines Webseitenbesuchers unzulässig. Hintergrund ist, dass auch eine dynamische IP-Adresse ein personenbezogenes Datum für für einen Webseitenbetreiber darstellt. Kürzlich meldete sich ein Benutzer hier im Diskussionsbereich und wies auf den Sachverhalt hin.

Einbindung von ist rechtswidrig. Zugegeben der Sachverhalt war mir bisher unbekannt.
Aus aktuellem Anlass (Relaunch unserer Website und Aufbau eines ServicePortal gemäß OZG) hat uns unser Datenschutzbeauftragter darauf hingewiesen. Berechtigt oder DSGVO zeitaufwendig und übertrieben? Aus meiner (eher konservativen) Sicht berechtigt.

Der Leser wies auf den Blogbeitrag von golem.de hin. Diese Berichterstattung geht auf das Urteil Az. 3 O 17493/20 des Landgerichts München vom 19.01.2022 zurück. Das Gericht bestätigte nochmals, dass dynamische IP-Adressen für den Betreiber einer Webseite ein personenbezogenes Datum darstellen. Beim Einsatz von Schriftartendiensten wie Google Fonts kann sich der Betreiber, laut Gericht, nicht auf Art. 6 Abs. 1 S.1 lit. f DSGVO stützen. Der Absatz regelt die rechtmäßige Verarbeitung von persönlichen Daten zur Wahrung der berechtigten Interessen des Webseitenbetreibers. Argumentation des Gerichts: Der Einsatz der Google Schriftarten sei auch möglich, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss.

In der Tat gesteht Google Webseitenbetreibern zu, seine Google Fonts lokal zu hosten und einzubinden. Auch vor dem Spruch des Landgerichts München sollte Webseitenbetreibern dieser Sachverhalt klar gewesen sein (ich erinnere mich, diesen Punkt im April 2018 in zahlreichen Artikeln zur DSGVO-Abstimmung gelesen und für die Blogs mal überprüft zu haben). Ein gewisses Problem mit dem Spruch des Landgerichts München ist aber dadurch entstanden, dass dem Kläger ein Schadensersatz von 100 Euro (neben einem Unterlassungsanspruch) zugestanden wurde. Dieser spezielle Punkt ist juristisch heftig umstritten und der Schadensersatz gilt (wegen der abstrakten Begründung des Gerichts) als überzogen.

Abmahner unterwegs

Seit Juli 2022 scheint es wohl verstärkt Abmahnungen gegen Webseitenbetreiber zu geben, die Google Fonts direkt von den Google Servern in ihren Seiten eingebunden haben. Sowohl Golem als auch heise berichten davon, dass zahlreiche "Opfer" eine Zahlungsaufforderung über 100 € wegen Verstoßes gegen die DSGVO erhalten haben.


Anzeige

Absender des Schreibens sind sowohl Privatleute, die schnell einen Hunderter kassieren möchten, als auch Abmahn-Anwälte, die ihre Gebühren aufschlagen. Es sieht für mich irgendwie nach Goldgräberstimmung auf diesem Feld aus – lange keine Abmahnwelle mehr in diesem Bereich gehabt.

Juristen gehen davon aus, dass die 100 Euro Schadensersatzforderung "wegen individuellem Unwohlsein des Klägers" durch das Landgericht München überzogen ist. Kommt die Forderung über 100 Euro Schadensersatz von einer Privatperson, die angibt, die Webseite besucht zu haben, dürften Webseitenbetreiber das ignorieren. Denn die Person müsste wegen dieser 100 Euro klagen – eher unwahrscheinlich.

Bei Abmahnschreiben von Anwälten besteht die Möglichkeit, dass diese rechtsmissbräuchlich sind – nämlich immer dann, wenn diese an mehrere Betreiber gingen. Wer in diese Falle gelaufen ist, findet bei Wilde Beuger Solmecke Rechtsanwälte diese Informationsseite samt Möglichkeit, ein Musterschreiben zur Abwehr dieser Forderungen, kostenlos herunter zu laden.

Ergänzung: Inzwischen gibt es eine Seite mit FAQ, Erklärungen und Ratgeber, wie man auf ein solches Schreiben reagieren soll und die Forderungen abwehren kann.

Prüfung auf Google Fonts

Natürlich sollte man als Webseitenbetreiber die über Google eingebundenen Fonts entfernen und durch lokal gehostete Fonts ersetzen. Viele Nutzer wissen aber nicht, ob sie Google Web-Fonts eingebunden haben – weil ein CMS benutzt oder die Seite von Dritten erstellt wurde. Man kann eine Seite mit dem Google Fonts Checker prüfen.

Google Fonts Checker

Einfach die URL der zu prüfenden Seite im Formular eingeben und das Ganze durchlaufen lassen (ggf. auch Unter-URLs bei der Prüfung beachten). Wird ein Google Web-Font gefunden, meldet die Seite dies. Dann heißt es nachbessern.

Es gibt weitere Webseiten zur Prüfung auf Google Fonts – die das Prüfvolumen pro Tag aber teilweise begrenzen. Beim Google Fonts Checker bin ich bisher noch auf kein solches Limit gestoßen.

Falle bei Content Management Systemen (CMS)

Das Ganze ist in meinen Augen ein ziemlich unerquickliches Thema. Denn die meisten Webseiten werden heute eher nicht händisch im HTML-Code gepflegt, sondern durch Builder oder Content Management Systeme wie Typo3, Drupal, WordPress etc. bereitgestellt. Oft kommen dann noch Dienstleister hinzu, die die Seiten einmalig aufbauen, damit der Anwender diese künftig betreibt. Da ist es dann schnell passiert, dass die Schriftarten unwissentlich eingesetzt werden.

Nehmen wir an, der Ersteller der Webseite hat die DSGVO-Gesichtspunkte bei der Erstellung in Bezug auf Google Web-Fonts berücksichtigt und die Google-Fonts werden lokal gehostet. Das Problem liegt dann wie immer im Detail: Du setzt das zum Stichtag x um – mit der Zeit kommen Updates der Software/der Seite – und irgendwer passt nicht auf. Schon ist es passiert, und ein Google Web-Font findet plötzlich in den Web-Auftritt Eingang.

Speziell bei WordPress verwenden manche Themes Google Web-Fonts als Fallback. Wird bei der Erstellung der Webseite ein Template xyz verwendet und ist das Ganze DSGVO-konform, kann ein simpler Wechsel des Themes (soll ja vorkommen), das Ganze kippen. Beim WordPress Theme Twenty Thirteen wird beispielsweise ein Google-Font als "Fallback" verwendet. In der CSS-Datei dieses Theme gibt es eine Option, um diese Fallback-Option abzuschalten. So rein aus praktischer Sicht fallen mir mehrere Szenarien ein, wo der Betreiber eines WordPress-Auftritts ganz schnell in die Falle tappen könnte:

  • Was passiert, wenn das Theme mal irrtümlich gelöscht und dann erneut installiert wurde? Der Google Web-Fonto ist plötzlich wieder da.
  • Was passiert, wenn das Theme mit der abgedrehten Fallback-Option für Google Font aktualisiert wird? Sobald die CSS-Datei des Themes mit den Änderungen überschrieben wird, ist der Google Web-Fonts unbeabsichtigt wieder da.
  • Was passiert, wenn der Entwickler eines Theme plötzlich Google Web Fonts ganz cool findet und diese beim nächsten Update einführt?

In allen dieses Szenarien kann es passieren, dass unbeabsichtigt ein Google Web Font in die Webseite Eingang findet. Interessiert die Welt außerhalb Deutschlands nicht die Bohne – nur in Deutschland schafft das juristisch umstrittene Urteil des Landgerichts München einen Hebel, um Geld zu kassieren.

Das zeigt für meinen Geschmack im Grunde, wie eine gut gedachte Sache wie die DSGVO ins Gegenteil verkehrt wird. Der Datenschutz wird durch diese Geschichte keinen Jota verbessert – aber im dümmsten Fall werden Juristen und Betreiber in unproduktiven Grabenkämpfen verstrickt – voran bringt uns das keinen Schritt. Großschiffe wie Facebook, Google & Co. haben dagegen die Ressourcen, genau dies über Benutzereinwilligungen zu regeln und bei juristischen Angriffen auch zu kontern. Microsoft macht mit seinen Produkten in dieser Hinsicht – zumindest aus meiner Sicht – eh, wie es Amerikanern beliebt. Wie pflegte eine deutsche Ex-Bundeskanzlerin mal zu sagen "Internet ist für uns alle Neuland" …

Ergänzung 2: Es gibt eine erste einstweilige Verfügung gegen Abmahner – siehe Einstweilige Verfügung gegen Google Font-Abmahner vom LG Baden-Baden.

Ähnliche Artikel:
Wissen: Google Fonts auf Webseiten, Abmahnung, Prüfung-Fallen
Einstweilige Verfügung gegen Google Font-Abmahner vom LG Baden-Baden
Achtung: Neue Google Fonts-Abmahn-Welle (Oktober 2022)
Neues zu Google Fonts-Abmahnungen: Razzia bei Berliner Abmahnanwalt


Anzeige

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

46 Antworten zu Wissen: Google Fonts auf Webseiten, Abmahnung, Prüfung-Fallen

  1. Jens sagt:

    Die Gruppe, die am meisten von der Umsetzung der DSGVO in Deutschland profitiert, sind die Juristen, die nun die überall notwendigen Datenschutzerklärungen erstellen oder überprüfen können.

    Der normale Bürger muss auf jeder erstmals besuchten Webseite die Cookie-Banner wegklicken, besonders auf Datenschutz bedachte Kollegen wie ich, die ihre Cookies am Ende der Browsersitzung löschen lassen, sogar bei jedem Besuch erneut.

    • John Doe sagt:

      Die Cookie-Klickerei kann komplett entfallen, wenn man nur funktionale Cookies hat. IP-Adressen loggen muss auch niemand, Subnetz reicht.
      Anonymisierte Logfiles auswerten ist auch kein DSGVO-Problem – Marketing geht also noch.

      Gibt deutlich mehr als eine Seite, die das so handhaben – klar, Werbefinanzierung ist dann nicht. Aber viele Webseiten sind auch nicht Werbefinanziert und tracken trotzden wie die großen…

      Das das Einbinden von irgendwelchen CDNs auch automatisch immer ein Datenschutzproblem ist, sollte jedem Webseitenbetreiber seit über 10 Jahren klar sein. Ich betreibe selber eine kommerzielle Webseite und sehe da eher wenig Überraschendes.
      Nur die Webentwickler und Marketingexperten bestehen auf (externem) Tracking und einbinden von Ressourcen per CDNs – alles andere macht ja Arbeit. Man stelle sich vor, man müsste externe Quellen/Bibliotheken/Fonts selbst verwalten und aktualisieren statt alles per Mausklick zu machen, schauderhaft!

    • Anonymous sagt:

      Das ist absoluter Bullshit und höre ich immer, immer und immer wieder.

      Die DSGVO ist lediglich die Anpassung des BDSG an gegenwärtige Entwicklungen. Der einzige Unterschied: Im Gegensatz zum BDSG kann bei der DSGVO empfindlich bestraft werden. Und das ist gut so!

      Keine Ahnung, wie alt / jung Du bist und in welchen Branchen Du bislang unterwegs warst, als Arbeitnehmer war ich zur DM / DM-zu-EUR / EUR-Zeit bei einigen Firmen beruflich tätig. Und so ziemlich jede hat auf das BDSG gepfiffen.

      Es gab Gesetze, die wurden aber geflissentlich ignoriert, weil die Strafen ein Taschengeld waren. Und jetzt tun die Leute so, als wären die Gesetze alle ganz dolle neu.

      Nein, sind sie nicht! Die Leute haben sie einfach nie für voll genommen!

      Ja, Cookie-Banner sind nervig. Aber so ist es eben, wenn man meint, Nutzer ausspionieren, tracken und verkaufen zu müssen. Dann muß man eine Warntafel aufstellen.

      Alternative: Entsprechende Internetpräsenzen einfach nicht mehr aufsuchen, auch dann hat man das Banner-Problem nicht.

      • Jens sagt:

        Wahrscheinlich hörst Du das deswegen immer und immer wieder, weil es eben kein Bullshit ist, sondern der häufigste Berührungspunkt jedes Menschen mit der DSGVO.
        Juristisch gesehen stimme ich Dir 100% zu, aber die praktischen Auswirkungen auf den normalen Menschen ("Nichtjuristen") sind nun einmal die geschilderten:
        Als Ersteller einer Website kann ich ohne professionelle (und somit kostenpflichtige) Hilfe kein heute übliches Werkzeug verwenden, ohne mich in die Gefahr juristischer Auseinandersetzungen zu begeben.
        Als Konsument ("Internetnutzer") werde ich ständig durch diese Banner belästigt, weil der Website-Ersteller die ganzen Querverbindungen zu externen Quellen jeder Art nicht abstellen kann oder will.
        Und das Nichtaufsuchen dieser Seiten ist genau keine Lösung, weil ich das vorher ja nicht weiß. Die Google-Suche z.B. zeigt mir nicht an, dass sich auf der Zielseite als wichtigster und exklusiv nutzbarer Inhalt ein Cookie-Banner befindet.

    • mvo sagt:

      Am meisten von der Umsetzung der DSGVO profitiert immer noch der Bürger. Was die Cookies angeht, so scheinen die Agenturen, die im Auftrag der Firmen Internetseiten erstellen, der Meinung zu sein, dass Cookies und aufwändige Cookiebanner irgendwie verpflichtend seien. Ich habe die von mir betreuten Unternehmen mit dem Thema konfrontiert und sie gebeten bei den Agenturen doch mal zu hinterfragen, welche Cookies gesetzt werden und ob diese funktionell überhaupt nötig sind bzw. überhaupt irgendeinen Zweck erfüllen. Antwort unisono: Nein. Daraufhin wurde alle Cookies und ergo auch die Cookiebanner deaktiviert und alles ist gut.

      • Günter Born sagt:

        Ich fürchte, so einfach ist es in der Praxis nicht. Hier im Blog habe ich einen Google-Partner für die AdExchange-Umsetzung, der mehr als eine Webseite betreibt. Der sitzt mit Datenschützern & Co. zusammen, um den Cookie-Consent so zu gestalten, dass er im Consent erfolgt. Da ist nichts "frei Schnautze" – ich habe einige Male mit den Leuten telefoniert. Hinzu kommt, dass da aktuell alles im Fluss ist – es gibt Klagen (erinnerungsmäßig aus den Niederlanden), ob die Cookie-Geschichte so zulässig ist – und es gibt von Google Initiativen zur Cookie-Anonymisierung. Das wird vermutlich in den kommenden 2 Jahren umgesetzt werden müssen.

        Fazit: Was vor einem halben Jahr richtig war, kann morgen schon wieder falsch sein. Du verbrätst eine Menge Zeit in recht unproduktive Sachverhalte, und kannst dir am Ende des Tages nicht sicher sein, doch alles richtig gemacht zu haben. Übermorgen kommt noch ein weiterer Wissensbeitrag – geht um Sicherheit bei einem Webportal (Vereinsseite), wo ich kürzlich eine Hilferuf erhielt. Da werden Web-Auftritte aufgesetzt und laufen dann für Jahre unsupported, bis es knallt.

        Wenn man es überspitzt formuliert: Unter den aktuellen Bedingungen gibt es nur zwei Modelle:

        – eine Firma xyz setzt eine Webseite für Kunden auf, finanziert die selbst, lässt die statisch und DSGVO-konform erstellen, bindet keine Werbung ein und hofft, dass dies funktioniert.
        – ein Dickschiff lässt seine Seite nur mit Anmeldung zur Nutzung zu – bei der Anmeldung muss der Nutzer dann alles datenschutzmäßig abnicken, oder er darf die Seite nicht betreten.

        Die ganzen kleinen Webseitenbetreiber (Vereine, Blogger etc.) können eigentlich nur den Stecker ziehen, wenn da irgend etwas in Richtung Werbeeinbindung gemacht wird. Denn ich sehe nicht, wie diese "Kleinfische" das Thema rechtssicher über die kommenden Jahre regeln könnten. Und wenn ich hier sehe, wenn wieder irgend eine Mail von Google einschlägt, weil in den USA, in Großbritannien etc. etwas datenschutzrechtlich geändert wird (meine Blogs können durch das verflixte Internet ja weltweit abgerufen werden), bin ich a) froh, das im Zweifelsfall an den Google Partner weiterleiten zu können und b) nicht so sicher, ob das jeder kleine Webseitenbetreiber geregelt bekommt.

        Ich habe es 2018 bei der DSGVO-Einführung mitbekommen, da haben eine Menge Betreiber von Webseiten schlicht den Stecker gezogen, weil denen das zu riskant, zu aufwändig erschien. Waren gute technische Blogs dabei. Das könnte künftig wieder drohen. In meinen Augen eine ungute Entwicklung – einfach als Stimme aus der Praxis.

        • Bernd Bachmann sagt:

          Es ist vielleicht etwas in Vergessenheit geraten, aber es gibt ja durchaus auch die Möglichkeit, Werbung zu schalten, ohne den Nutzer einer Webseite auszuspionieren und zu tracken. Gerade bei einem „kleinen Blog" mit einem sehr spezifischen Themenbereich wie diesem hier bietet sich das doch geradezu an. Und vermutlich ist die Werbung dann sogar relevanter als die von Google & Co. eingespielte.

  2. Oli sagt:

    War mit einer WordPress-Seite auch davon betroffen. Hatte zwar extra die Google-Fonts auf meinem Server , war aber dann, als ich das erste Mal davon hörte und meine Seite mit dem o.a. Tool prüfte mehr als überrascht, dass doch noch Fonts vom Google Server geladen werden. Nach einiger Suche stellte sich dann heraus, dass "reCAPTCHA" dafür verantwortlich war! Also weg damit und Kontaktformular anderweitig abgesichert; jetzt sieht's – bei mir zumindest – besser aus.

    Ach, was waren das doch für schöne Zeiten, als man noch Webpages bauen konnte, ohne auf diesen ganzen "Schei…" achten zu müssen, man keine 20 Semester Jura dazu brauchte und man nur aufpassen musste, dass die Besucher keinen "Augenkrebs" bekommen; was manchen leider dann doch nicht so ganz gelungen ist ;-)

    Wer kennt es noch, das Paradebeispiel: Grüne Schrift auf rotem Hintergrund, umrahmt von allerlei blinkenden GIF's, scrollenden Schriften und (meist viel zu lauten) MIDI-Sounds? Good old times …

    • Andreas K. sagt:

      Ja, das waren noch Zeiten. Damals ® ca. 2003 hatte ich die erste Webseite für die Firma erstellt, in der ich arbeite. Mit ordentlichen Kontrasten, wenig verschiedenen Schriftarten und Farben, das Menü tabellarisch links strukturiert auf jeder (Unter-)Seite gleich… Der Begriff Tracking war noch unbekannt.

      • Anonymous sagt:

        Das Tracking lief auch etwas anders: Man köderte die Leute postalisch mit: "Bestellen sie jetzt und erhalten sie dieses Set gratis.".

        Wer so doof war und darauf wiederholt reinfiel, landete in der sogenannten "Schnorrer-Kartei", die kostenpflichtig mit anderen Unternehmen getauscht wurde (und anderen personenbezogenen Daten). BDSG? Kein Risiko, war zwar verboten, aber die Strafen lächerlich.

        Man mußte schon viele, viele, viele Jahre auf Datenschutz achten (auch und vor allem im Internet). Man hat nur unwissend getan…, weil Strafen im zweistelligen bis dreistelligen Bereich nicht ernst zu nehmen waren.

  3. Thomas sagt:

    Hallo,

    um die Sache zumindest etwas zu entschärfen könntet ihr eine Content Security Policy setzen. Dann kann man zumindest argumentieren, dass man etwas getan hat, um das Nachladen externer Inhalte zu verhindern.

    https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

    Thomas

  4. Anonymous sagt:

    Ergebnis:
    *https://***.**************.***
    Wir haben keine externe Nutzung von Google Fonts erkannt :D

    War auch nicht anders zu erwarten, da ich seit jeher externe Inhalte sparsam verwende. Die Einführung der DSGVO hat die Richtigkeit meiner Entscheidung nur noch bestärkt.

  5. Luzifer sagt:

    nur das diese Abmahnwelle wohl gerechtfertigt ist und auf dem Gesetze fußt, anders als die meisten anderen Abmahnwellen welche weder Hand noch Fuß haben!

    Tja wer meint er müsse eine Webseite betreiben hat sich eben auch um geltendes Recht zu kümmern oder diese zu unterlassen. So einfach ist das. Unwissenheit war noch nie eine Ausrede vor Strafen.
    Klar hat der Hobbyseitenbetreiber jetzt darunter zu leiden das die Aasgeier ihre Kunden schamlos ausspionieren und tracken, wer aber meint alles einbinden zu müssen ohne zu wissen was er da tut … tja Kollateralschaden gibt es eben immer!
    Die DSGVO ist aber notwendig und richtig und DSGVO konforme Seiten sind problemlos möglich, erfordern halt nur mehr Aufwand und man kann sich an seinen Kunden nicht vergehen.

    Ihr wollt meine Daten? Könnt ihr haben, kostet je nach Art und Menge eben. Abo möglich, aber nein dieses gilt nur für den jeweils gebuchten Fall und nicht unbegrenzt und auch nur für den Abonehmer, Weitergabe nicht gestattet.

    • Anonymous sagt:

      "Die DSGVO ist aber notwendig und richtig."
      Definitiv. Für meinen Geschmack wird sie aber noch immer viel zu sanft umgesetzt. Ist wie bei den Bußgeldern im Straßenverkehr, davon abgesehen, daß die in D eh viel zu niedrig angesetzt sind, werden sie nicht wirklich durchgesetzt.

      Aber jammern… das tun sie alle auf dem hohen Roß.

    • Luzifer sagt:

      /Edit/

      Ja dass gilt auch für Religion, politische Meinung; sexuelle Vorlieben usw. wenn ihr den dafür notwendigen Preis bezahlen könnt ;-P Alles ist möglich nur eben nicht kostenlos und schon gar nicht indem ihr euch das einfach nehmt!

      Alles nur eine Frage des Preises. Ich habe nix dagegen mich gläsern zu machen wenn der Preis stimmt, aber klauen lass ich meine Daten nicht!

    • Günter Born sagt:

      Zu: "nur das diese Abmahnwelle wohl gerechtfertigt ist und auf dem Gesetze fußt" – sehe ich etwas differenzierter. Die Abmahnwelle ist etwas spezifisch deutsches – was jetzt wieder sinnlos vor Gerichten geklärt werden muss, ob es eine missbräuchliche Ausnutzung darstellt.

      Im Grundsatz bin ich bei dir, dass keine Google Fonts eingebunden werden dürfen. Wie ich oben im Text ausführte, kann es jedem Webseitenbetreiber drohen, dass ihm plötzlich Google Fonts untergejubelt sind, ohne dass es ihm klar wird.

      Die DSGVO (deutsche Spezialumsetzung der DSGVO) sieht klar vor, dass die Datenschutzaufsicht da Bußgelder vorsieht – diese werden aber im Einzelfall festgelegt. Eine Abmahnwelle wurde nie vorgesehen.

      So haben wir erneut ein spezifisches Deutsches Problem – und wenn wir mal tiefer graben, tun sich Abgründe auf. Wieso ist es ein Problem, wenn die IP eines Webseitenbesuchers an einen außereuropäischen Server geht, während die gleiche IP, von Software xyz oder Windows oder Android, oder iOS übertragen, keinen juckt? Gut, die lassen sich die AGB bei der Nutzung bestätigen – während die Webseitenbetreiber explizit die Einwilligung einholen müssten, und eine Auswahloption anbieten müssen. Justistisch ist m.W. noch nicht geklärt, ob ich die Leute, wenn sie nicht zustimmen, auf eine Landing Page umleiten darf.

      Ich mache mir seit 2018 eine Menge Gedanken, möglichst datensparsam in Bezug auf meine Nutzer unterwegs zu sein – bin aber auf eine Finanzierung per Werbung angewiesen. Im Moment jongliere ich an allen Ecken, um das Modell irgendwie noch zu erhalten.

      Habe es noch nicht thematisiert – im Juli 2022 sind die Werbeeinnahmen aus einem bestimmten Kanal auf 50% zusammen gefallen – meine Diskussion mit den Werbepartnern ergab, dass ich bestimmte Werbeformate von Google & Co. einführen könne, die das wieder rausreißen. Ich habe mich dagegen entschieden, da dies Werbeformate sind (Video-Ads, Vignetten beim Seitenwechsel, durch den Artikel rollende Fireplace-Anzeigen), die ich seit Jahren bei mir sperre und nicht in den Blogs haben will. Da reden wir über signifikante Einnahmen, auf die ich bewusst an dieser Stelle verzichte. Was mich dabei extrem frustriert: Es sind alles Anzeigeformate, die ich unter der Google Initiative "Better Ads" als unerwünscht angesehen hätte. Aber als kleiner Site-Betreiber sehe ich da alt aus, weil mir die Optionen bzgl. Cookie-less Ads über diese Kanäle nicht angeboten werden (oder technisch nicht funktionieren).

      Ich bin sehr für die DSGVO – aber mit Augenmaß, mit sauberen Regeln, wo man nicht ständig in Gefahr läuft, plötzlich in einen Graubereich zu fallen. Könnte am Ende des Tages dazu führen, dass die kleinen Sitebetreiber (und da zähle ich die Blogs hier auch dazu) den Stecker ziehen, während die Dickschiffe problemlos weiter fahren. Ob das erwünscht ist? Muss sich jeder selbst beantworten.

      • Knusper sagt:

        "Könnte am Ende des Tages dazu führen, dass die kleinen Sitebetreiber … den Stecker ziehen, während die Dickschiffe problemlos weiter fahren. Ob das erwünscht ist?"

        Nein!
        Und ich habe diese Gemengelage echt satt.

      • Ralf S. sagt:

        Es gibt da so eine Redensart, die mir dazu einfällt: "Die Kleinen fängt und hängt man, die Großen lässt man laufen!" Ist eben wie überall und immer das Gleiche. So gut wie jedes Gesetz entsteht im Hintergrund eben auch (in manchen Fällen sogar so gut wie nur) durch entsprechende Lobbyisten, die gezielt auf und für ihre Interessen und Bedürfnisse im Vorfeld intervenieren. Und vom Lobbyismus ist es nur ein Katzensprung zur handfesten Korruption. Deshalb nennt man Lobbyismus auch "die weiche Stelle der Demokratie"; eben weil es so gut wie immer eine gefährliche Gratwanderung ist …

  6. Steter Tropfen sagt:

    Hoffentlich macht das diesen angefressen aussehenden Webfonts den Garaus!
    Ich hoffe, die selbe juristische Argumentation wird auch auf die unsäglichen Google Captchas angewandt: Das sind ja ebenfalls Tracker pur und werden bevorzugt auf Seiten angewandt, wo es vertrauliche Angaben abzugreifen gibt. Etwa bei der Online-Terminvereinbarung beim Arzt.

    Das sollte Anlass sein, mal wieder zu bedenken, wieso Google „kostenlos" alle Welt mit seinen Gimmicks beglückt: Einzig und allein, damit unbedarfte Handlanger ganz bequem die Datenkrake füttern können. – Wenn es inzwischen schon so weit ist, dass der Seitenbetreiber gar nicht mehr weiß, wenn Google seine Seite parasitiert, dann ist es schon weit gekommen!
    Konsequenterweise müsste die DSGVO ganz Google unter Strafe stellen.

    • Anonymous sagt:

      Nichts ist kostenfrei. Man bezahlt am Ende immer. Das gilt für Konzerne wie Alphabet und Meta, ebenso wie für "gratis Spiele" (Bitcoin-Miner, Trojaner, anyone?) und sonstige Produkte.
      Und auch bei kostenfreiem OpenSource wird zumindest eine freiwillige Spende erwartet (in Form von Geld oder Entwicklungsbeteiligung).

      Leider fehlt zu vielen Leuten noch die entsprechende Denke, bzw. haben sie sie verloren (die Alten kennen das Sprichwort noch zur Genüge… "Nichts auf der Welt ist umsonst, außer der Tod… und selbst der kostet das Leben.").

      • Ralf S. sagt:

        Ist soweit ja auch total in Ordnung, dass man bezahlen sollte/muss. Aber es ist schon so, wie "Steter Tropfen" schreibt, dass Google sich wirklich wie ein Parasit verhält, den man echt nicht mehr los bekommt. Es ist einfach widerlich inzwischen, wie die unser Leben klammheimlich unterwandert haben! Das sollte jedem (auch mir selbst) zu denken geben. Und vor allem sollte solche eine gefährliche Macht "im Hintergrund" wesentlich mehr von der Politik an die Kandare genommen und überwacht werden!

    • McAlex777 sagt:

      Jede Webseite, jeder Favorit, jede lokal installierte App (eigens installierter Virenscanner inkl. Reporting) wird Out-Of-Box an Google gesendet wenn man Chrome nutzt.

      Natürlich ist da Edge unter Windows auch nicht besser.

      Wer das nicht glaubt kann sich die "Unternehmens Richtlinien" für Chrome/Edge ansehen.

      • Bernd Bachmann sagt:

        (a) Man nutzt Google Chrome nicht.
        (b) Man kann die Adressen, an die Chrome (oder irgendein anderer Browser) da etwas schickt, in der Firewall blockieren.

        Ok, ich gebe zu, außer mir macht das wahrscheinlich kaum jemand so.

  7. McAlex777 sagt:

    >> Das zeigt für meinen Geschmack im Grunde, wie eine gut gedachte Sache wie die DSGVO ins Gegenteil verkehrt wird.

    Das seh ich ein wenig anders:

    Unerlaubtes Datentracking ist m.E. nichts anderes Raubkopie von personenbezogenen Daten, und sollte genauso Schadensersatzpflichtig sein wie jede andere Raubkopie.
    Im kommerziellen Umfeld ist das m.E. gewerbliche Verbreitung von Raubkopien.

    Webdienste haben sich an geltendes Recht zu halten – wenn nicht liegts in ihrer Verantwortung.
    Nur so lernen sie, das die DSGVO ernst zu nehmen ist.

    Was im nicht privaten Bereich mit einer Ermahnung mit Schonfrist abgehandelt werden sollte, sollte im kommerziellen Umfeld empfindliche Strafen nach sich ziehen.

    M.E. müsste das Einfachheitsprinzip des Datenschutzes, sowie die nicht Koppelung von Datenerfassung/Produktnutzung noch sehrviel stärker juristisch forciert werden. Dann wär sowas wie Telemetire-Erfassung in Windows10/11/Office auch nicht mehr so ohne weiteres möglich. Das was die Industrie hier derzeit betreibt ist Erpressung des Kunden.

    • Michael Uray sagt:

      Welchen Schaden, den du ersetzt haben möchtest, erleidest du denn dadurch, dass Google deine IP Adresse in ihren Logs speichert und kannst du diesen Schaden auch beziffern und belegen?

  8. Stephan sagt:

    Solche Urteile werden nur dazu führen, dass kleine Vereine keine Lust mehr haben, Webseiten zu erstellen, da ja man permanent Angst haben muss in die Falle zu tappen.
    Man muss kein Profi sein, um sich mit WordPress schnell eine schöne Seite zu basteln, aber bei allem was man so beachten muss, macht das echt keinen Spaß mehr.

    P.S. Dieses Plugin https://wordpress.org/plugins/disable-remove-google-fonts/ in WordPress installieren. Man muss dann zwar manuell die Schriften anpassen, aber immerhin verschwinden alle google Fonts.

    • Eriwan sagt:

      Dieses Plugin funktioniert nicht bei z.B. dem Theme "The Newswire" und bei allen andere Themes und auch Plugins die Google Fonts per @import url(…) in ihrem style.css o.ä. nachladen.

      • Stephan sagt:

        OK, ist von Theme zu Theme unterschiedlich. Bei den 3 Themes, die ich bisher eingesetzt habe, hat es gefunzt.

        Empfehlung wäre dann wohl das Add-In zu installieren und über die hier verlinkten Seiten prüfen, ob die google Fonts wirklich weg sind.

        Für die nicht Profis wäre es schön, wenn man irgendwo mal übersichtlich darstellen würde, an was man alles denken muss.

        Ich denke da z.B. auch an "Reicht ein Link zu einer Datenschutzerklärung, wo drauf hingewiesen wird, dass google Fonts eingesetzt werden (evtl. sogar Cookies)?" Sieht man auch noch immer auf ganz vielen Homepages, dass es keinen Cookie Banner gibt, aber eine Seite Datenschutzerklärung mit den Hinweisen dazu, auch zu google Fonts. Ist das ausreichend??

        • Svenny sagt:

          "Nicht Profis" müssen daran denken, Profis in Boot zu holen, die mit der techn. Erklärung oben zu @import was anfangen können.

          Hinweis in Datenschutzerklärung reicht nicht.

          Viele Cookiebanner mit Zustimmung/Auswahl/Ablehnen usw. sind bei "Nicht Profis" falsch oder gar nicht technisch eingerichtet und es werden auch ohne Zustimmung viele/alle Dinge trotzdem geladen.

    • EDV-Opa sagt:

      einige Alternativen, die ich heute ausprobiert habe, da es immer vom Theme in WordPress abhängig ist, was da wie geladen wird. Der Kracher war ein Theme, das über ein Array ALLE Google Fonts einbindet. Wenn man auf so ein Theme einen Fontdownloader los lässt werden Gigabytes geladen und man denkt das Plugin hängt. Nach bereinigung des Arrays in einer Datei namens Fonts.php geht es angenehm. Hier meine Plugins:

      OMGF in der Free Version. Installieren und auf Speichern&Optimieren klicken. Man sieht welche Fonts lokal runter geladen werden und in Zukunft vom eigenen Server ausgeliefert werden. Einfacher gehts kaum. Ist die Schrift bei Cachestatus rot arbeitet das Teil noch. Hier lief das Plugin bei der besagten Webseite endlos und die Seite regierte kaum. Bei allen anderen Themes habe ich damit gute Erfolge erzielt

      Local Google Fonts von EverPress. Verwaltung über Einstellungen -> Google Font. Haken rein bei Schriften automatisch laden und im anderen Fenster auf der Seite surfen. Abwarten was passiert und ggf das Backend mal aktualisieren. Angezeigt werden die Gefundenen Font-Handles (findet auch Widgets etc) und zeigt an was wohin runtergeladen wird. Damit habe ich oben besagte Webseite gezähmt, da man hier sieht was geladen wird. Ich habe es dann auf wenige Schriften in der auslösenden php Datei begrenzt und jetzt ist alles gut.

      Das ist erst mal die schnell Lösung bei WordPress wenn man sich nicht mit Child-Themes und modifizierten Dateien rumärgern will. Alle Testseiten in Sachen Google Fonts geben jetzt grünes Licht bei den so behandelten Installationen.

      • Svenny sagt:

        Es gibt einige Themes und Plugins, wo das "Zähmen" technisch so nicht funktionieren kann, siehe Hinweise zu @import url(..) in CSS-Dateien weiter oben…

  9. Max sagt:

    Ich persönlich kann die Diskussionen teilweise nicht nachvollziehen. Schon vor gut 10-15 Jahren hat man darum gestritten, ob man Fonts, Frameworks und Co. einfach nur verlinken (z. B. zu jQuery, Google und Co.) oder selbst hosten sollte. Die Antwort war häufig dieselbe: Verlinken und Ruhe ist.

    Der Hintergrund war schlicht, dass die Verlinkung zur automatischen Aktualisierung führte. Selbst hosten? Nein, dass ist mit Arbeit verbunden. Man wollte es einfach nicht.

    Ich habe Seitenbetreibern immer empfohlen so wenig wie möglich Lösungen von Dritten zu verwenden. Die Empfehlung lautete auch so viel wie möglich selbst zu hosten (einhergehend mit der Pflege der Website). Bei statischen Websites sollte das nun wirklich kein Problem sein.

    Es war reine Bequemlichkeit. Keiner hat die Praxis kritisch hinterfragt.

    Kartendienst einbinden? Google Maps. Wer hat es gebraucht? So gut wie kaum jemand. Wetterdienst einbinden? Cool. Wer hat es gebraucht? Eigentlich niemand.

    Heutzutage sind in Websites zahlreiche Drittanbieter verlinkt: Bootstrap da, Tailwind dort, Google hier, hier und hier… Eigene Lösungen von Grund auf werden kaum noch entwickelt. Man nimmt Vorlagen (Templates), passt sie an, fertig ist. Quantität vor Qualität.

    Da kann ich viele Geschichten über Sinn und Unsinn erzählen.

  10. Adrian W. sagt:

    Mmmmm…interessante Diskussion hier, mit der Brille eines Schweizers betrachtet :-)
    Also imho ist das Problem mehrschichtig und "hausgemacht".

    1. KEIN vernünftiger "Entwickler", Webseitenprogrammierer oder wie auch immer man die nennen will, bindet fremde Ressourcen ein – egal ob dies Fonts oder Javascript usw. sein, dies aus 2 Gründen, erstens aus Security-Gründen (was hierbei noch nicht mal angesprochen wurde), zweitens wegem Datenschutz

    2. Hat dies Einzug genommen, weil diejenigen die es machen, entweder nicht wissen was sie tun und die, die es wissen aus purer Bequemlichkeit, wobei die erst genannten imho min. 80% davon sin.

    3. Diese unsäglichen Gratis-Design und die nicht wissenden Agenturen, beisst sich ja auch völlig, ein kreativer hat nun mal Mühe mit Technik….

    4. Wenn man eine Webseite betreibt, ist es nun mal Pflicht, dass man diese Webseite regelmässig prüft, das Argument was denn allenfalls künftig passiert, wenn ich ein gelöschtes Themes wieder installiere, oder was auch immer ist halt imho einfach eine sehr, sehr einfache Ausrede, wobei wir hier wieder bei Punkt 1-3 angekommen sind, plus die fehlende regelmässige überprüfung der Webseite. Setzt ihr euch auch jahrelang ins Auto und macht keinen Unterhalt? Klar kann man auch machen, wenn man will…bis es dann sehr unangenehm werden kann und Kosequenzen daraus entstehen.

    5. Betrifft die ganze Angelegenheit imho nicht nur Google-Fonts, wurde hier auch noch nicht erwähnt…

    6. JA, finde ich gut wenn jemand zahlen muss, welcher sich nicht an die Vorschriften hält, und so nebenbei "Nicht Wissen schützt vor dem Gestzte nicht", die Busse sollte nur noch viel dramatischer sein.

    7. Hört endlich damit auf diese billig Webseiten mit allen Gratis zu machen, was nichts kostet ist auch nichts Wert.

    Ich könnte nun noch wohl unendlich weiter schreiben, verschone euch aber gerne damit, nur noch soviel…

    …das erwähnte online Prüftool zeigt typisch div. der erwähnten Punkte auf, man kennt scheinbar auch im 2022 seit Jahren existiernde Web-Prüftools noch immer nicht…
    …villeicht auch besser so, denn wenn man diese "rattern" lässt wird einem bei den meisten Webseiten sehr unwohl, wenn nicht "kotz-übel" :-)

    https://webbkoll.dataskydd.net/de/

    https://www.hardenize.com

    https://securityheaders.com

    https://www.ssllabs.com/ssltest/index.html

    https://observatory.mozilla.org/

    macht euch den Spass und lasst mal diese mit ein paar Webseiten nach eurem Gusto "rattern", aber Vorsicht könnte euch dabei "kotz-übel" werden :-)

  11. Anonymous sagt:

    Wieso nur Google FONTS? Hat das Gericht sich auch mit Hosted Libraries befasst? (https://developers.google.com/speed/libraries)
    Die Datenspur ist hier imho genau die selbe.
    Was ist mit CDNs?

    So gut und richtig der Datenschutz auch ist, Da Urteil konterkariert eine wesentliche Idee von WWW – das Teilen von Infomationen.

    Imho straft das Gericht den Falschen.

    • Adrian W. sagt:

      Nur Fonts, imho ein klares nein dazu, gilt auch für anderes.
      Und ncoh ein Nein, imho werden nicht die falschen bestraft, denn es ist immer der "Eigentümer" haftbar, dieser kann dann unter Umständen denjenigen der die Webseite "unterhält" in die Pflicht nehmen, das ist in den meisten Dingen des Lebens so, wie z. B. auch wenn eine Firma einen riesen Bock baut, verschuldet durch einen Arbeiter, dann ist auch die Firma grundsätzlich haftbar, diese kann dann bei grobfahrlässigem verhalten des Mitarbeiters diesen "in die Pflicht nehmen".
      Des weiteren muss mal wieder klar festgehalten werden, dass das Internet KEIN rechtsfreier Raum ist und das hat grundsätzlich nichts mit dem Argument zu tun "dem Teilen von Informationen", das sind imho einfach völlig falsche Gedanken/Ansätze, denn man kann Informationen auch teilen ohne die Sicherheit und den Datenschutz zu gefährden/missachten, das sind alles nur bequeme Ausreden von "Schwachsinn-Web".
      Des weiten ist es imho wie schon immer gewesen, man macht zuerst wie es einem gefällt, missachtet fahrlässig Dinge die schon nur dem "gesunden Menschenverstand" (der je länger je mehr auf der Stecke bleibt) widersprechen, bis das ganze ausartet… UND DANN müssen Gesetze her, die dem Treiben einhalt gebieten, was folgt ist pure Entrüstung, ich sage selber Schuld.
      Und bzgl. Datenschutz, dies ist auch nur ein Aspekt bzgl. einbauen von fremden Ressourcen, es geht hierbei auch um Security, denn von fremden Servern eingbauter "Müll" hat man nicht unter Kontrolle, da kann so ziemlich alles passieren.

    • Adrian W. sagt:

      "…die vom Gericht aufgestellten Grundsätze gelten jedoch auch für alle anderen extern in Webseiten eingebundenen Inhalte von US-Diensten. Insofern dürfte letztlich auch jede Art von CDN (Content Delivery Network) aus den USA betroffen sein."

      Imho eigentlich mit GMV (gesunder Menschenverstand) betrachtet logisch, dass nicht nur Google-Fonts betroffen sind, ist auch völlig in Odnung so, wobei dies aber imho nicht nur die USA wie oben zitiert betrifft, was ich auch in Odnung finde.

  12. Thor sagt:

    Verstehe das Problem nicht. Das Laden fremder Inhalte aus einem CMS, kann man doch einfach in seinem Webserver unterbinden.

    Ach, ich vergass, ist ja nicht mehr En Vouge sich mit seinem Gefrickel auseinandersetzen. Stichwort security.

  13. Frank Eiger sagt:

    Dieser Herr N. aus N. will wohl dicke Kohle machen.

    Auslachen würde ich den.

  14. Michael Uray sagt:

    In Österreich schlagen auch gerade zahlreiche solcher Aufforderungsschreiben zur Zahlung auf.
    Ein Bekannter von mir, welcher auch Webhostings betreibt, wurde von vielen seiner Kunden damit konfrontiert.

    Eine der im Schreiben genannten IP Adressen, mit welcher der angebliche Zugriff erfolgt sein soll, hat er in seinen Log Files am Server für den Kunden gesucht, aber nicht gefunden.
    Das deutet für mich sehr stark auf einen Fake hin und der Versender rechnet wohl einfach damit, dass ein paar der angeschriebenen Personen/Firmen zahlen werden.

    • Michael Uray sagt:

      Manchmal hilft halt doch der einfache Besuch mit einem Baseballschläger in der Hand um freundlich nachzufragen, wo sie sich denn genau beim Besuch der Webseite so unwohl gefühlt hat um jetzt Schadensersatz zu verlangen.

      "Google-Schriftarten: "Datenschutzanwalt" will keine Mahnschreiben mehr aussenden"

      "Bereits versendete Briefe behalten ihre Gültigkeit. Der Jurist berichtet von Drohungen gegen ihn und seine Mandantin. Die Rechtsanwaltskammer prüft sein Vorgehen"

      "Besonders aufgebrachte Betroffene hätten zudem ihn und seine Mandantin Dienstagabend an ihrer privaten Wohnadresse aufgesucht und bedroht, berichtet der Anwalt."

      https://www.derstandard.at/story/2000138501720/google-schriftarten-datenschutzanwalt-will-keine-mahnschreiben-mehr-aussenden

  15. Felix Martins sagt:

    Ich finde es komisch, dass Unternehmen sich beschweren und dabei aber oftmals Google Analytics ohne Einwilligung verwenden. Die Hälfte der Cookie-Banner funktioniert auch nur pseudomäßig.

    Ich habe meine Seiten alle mit einem Google Font Checker geprüft und dann richtig eingebunden. Problem gelöst!
    Google-Fonts-Checker: https://happyworx.de/google-fonts-checker

    Danke für den Beitrag, weiter so :D

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.