Profis mit Erfahrung
Google Fonts Abmahnungen
Inhaltsverzeichnis
- Was sind Google Fonts
- Google Fonts und die DSGVO
- Google Fonts Abmahnungen in Österreich
- Was ist zu tun
- Google Fonts lokal einsetzen
- Weitere Quellen
- Funfact
Was sind Google Fonts
Google stellt den Betreiber/innen von Websites auf https://fonts.google.com/ eine breite Auswahl von Schriftarten unter Apache Lizenz (Version 2.0) zur Verfügung. Diese Schriftarten, also Fonts, können kostenlos genutzt werden. Beliebte Google Fonts sind u.a.
- Roboto
- Noto Sans
- Open Sans
- Montserrat
- Lato
- Source Sans Pro
- Merriweather
- Oswald
- Raleway
- und etliche mehr.
Um die Google Schriftarten nutzen zu können, kann man das entweder mit eigenen Layout-Anweisungen (CSS-Anweisungen) umsetzen, oder – wesentlich simpler – die gewünschten Schriftarten in Einstellungen von WordPress-Themes oder -Plugins wählen. Dabei werden aber überwiegend die Schriften direkt vom Google Server in den Browser der Website-Besucher/innen geladen. Seit Inkrafttreten der DSGVO wird diese sogenannte Dynamische Variante als problematisch angesehen.
Google Fonts und die DSGVO
Einerseits
Nach Art.45 – EU-DSGVO – Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses dürfen nur dann personenbezogene Daten in ein Drittland übermittelt werden, wenn “die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlungen bedarf keiner besonderen Genehmigung.”
- Die USA (von dort aus werden Google Fonts ausgeliefert) werden solchen Drittländern nicht zugeordnet.
- Die IP-Adressen von Computern, Tablets und Smartphones gelten als personenbezogene Daten, auch wenn diese dynamisch immer wieder neu diesen Geräten zugeteilt werden.
Darauf begründet sich die vorherrschende Rechtsmeinung, dass der Einsatz von Google Fonts dann einen Verstoß gegen die DSGVO darstellt, wenn diese Fonts beim Besuch einer Website direkt vom US-Server abgerufen werden, ohne dass die Besucher:innen vorab zugestimmt hätten.
Andererseits
Es gibt aber auch Art.46 – EU-DSGVO – Datenübermittlung vorbehaltlich geeigneter Garantien:
Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in […] Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden.
Art.46 – EU-DSGVO
Google – als Empfänger der personenbezogenen Daten im Drittland – teilt zur Nutzung der IP-Adresse mit, dass diese nur zur Zusendung der Schriftart (das ist eine technische Notwendigkeit) benötigt, und die IP-Adresse gar nicht gespeichert würde.
Die Google Fonts-API protokolliert die Details der HTTP-Anfrage einschließlich des Zeitstempels, der angeforderten URL und aller HTTP-Header (einschließlich Verweis-URL und User-Agent-String), die in Verbindung mit der Verwendung der CSS API bereitgestellt werden.
IP-Adressen werden nicht protokolliert.
Google Fonts FAQ (2022-08-29)
Die Datenschutzbehörde in Österreich hat das amtswegige Prüfverfahren gegen Google wegen Google Fonts noch nicht abgeschlossen. Sie gibt daher aktuell (Bekanntmachungen, 2022-08-29) keine Stellungnahme dazu ab, ob die Einbindung von Google Fonts direkt vom Google Server tatsächlich gegen die DSGVO verstößt.
Meiner Meinung nach (Anm.: Heinz Duschanek) ist der Einsatz der Schriftarten direkt vom Google Server aktuell gar kein Verstoß gegen die DSGVO, jedenfalls gibt es dazu in Österreich noch keine Entscheidung. Diese Ansicht wird auch von Anwälten und dem Verein Digital Society geteilt, ist allerdings derzeit nicht die überwiegende Rechtsmeinung.
So hatte etwa das Landgericht München Monate kurz zuvor einer Klage auf Unterlassung stattgegeben. Dem Kläger stehe gegen die Websitebetreiberin ein Anspruch auf Unterlassung der Weitergabe seiner IP-Adressen an Google zu. Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers an Google verletze dessen allgemeines Persönlichkeitsrecht in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB (deutsches Recht). Zusätzlich sprach das Landgericht München dem Kläger Schadensersatz in Höhe von 100 Euro zu.
Bitte merken Sie sich kurz diese Zahl.
Google Fonts Abmahnungen in Österreich
Der Rechtsanwalt Marcus Hohenecker hatte im Auftrag seiner Mandantin Eva Z. (Name der Redaktion bekannt) Anfang August mutmaßlich tausende Websitebetreiber/innen gebührenpflichtig abgemahnt.
“Der erfolgte Kontrollverlust über ein personenbezogenes Datum an Google, also ein Unternehmen, das bekanntermaßen massenhaft Daten über seine Nutzer sammelt, verursacht meiner Mandantin erhebliches Unwohlsein und nervt sie massiv. Die Datenweitergabe an gerade ein solches Unternehmen stellt für meine Mandantin einen tatsächlichen und spürbaren Nachteil dar”.
Abmahnschreiben RA Marcus Hohenecker
Das Unwohlsein könne durch eine Zahlung von 100,- Euro behoben werden (Sie erinnern sich an das Landgericht München?). Für seine Dienstleistung verlangte der Anwalt 90,- Euro, macht also insgesamt 190,- Euro aus, ohne Trinkgeld.
Mittlerweile werden keine weiteren solche Schreiben von RA Hohenecker ausgesendet. Der Betroffenen-Anwalt Peter Harlander will dagegen mit seiner Kanzlei Strafanzeige wegen gewerbsmäßigen Betrugs einbringen, an der man sich gegen geringes Entgelt beteiligen kann. Es sollen hinreichend Beweise vorliegen, dass die Mehrzahl der betroffenen Websites nicht persönlich von der Mandantin Hoheneckers besucht, sondern vollautomatisiert ausgelesen worden sei. Und eine Software habe keinen Anspruch wegen Verletzung des Datenschutzes.
Die österreichische Datenschutzbehörde hält mit Stand 23.08.2022 fest:
Es wird aber ausdrücklich klargestellt, dass die Feststellung von Rechtsverstößen in Datenschutzangelegenheiten in Österreich ausschließlich in die Zuständigkeit der Datenschutzbehörde oder der österreichischen Gerichte fällt, jedoch keinesfalls von privaten Einrichtungen oder Privatpersonen vorzunehmen ist. Die Feststellung einer Datenschutzverletzung kann somit immer erst nach Durchführung eines gesetzlich bestimmten, formgebundenen Verfahrens erfolgen.
Zur Klärung des Sachverhalts hat die Datenschutzbehörde zwischenzeitig ein amtswegiges Prüfverfahren gegen Google wegen Google Fonts eingeleitet.
Datenschutzbehörde
Auch das sagt aktuell die Datenschutzbehörde zum Thema “Google Fonts in Websites”:
Eine lokale Einbindung ist empfehlenswert.
Datenschutzbehörde, Bekanntmachungen
Die österreichische Datenschutzbehörde sagt also nicht: “… muss erfolgen”.
Wichtig auch zu wissen: München ist eine Stadt in Deutschland, nicht in Österreich. Die beiden Staaten haben zwar eine ähnliche, aber nicht exakt dieselbe Rechtslage.
Eine Chronologie der Ereignisse können Sie hier nachlesen.
Was ist zu tun
Sind Sie betroffen? Was sollten Sie tun, um etwaigen Google Fonts Abmahnungen gelassen entgegentreten zu können?
Seit der Entscheidung des Landgerichts München, das die fehlende Datenverarbeitung durch Google leider außer Acht gelassen hat, kursieren in Deutschland und langsam auch in Österreich die Abmahnschreiben und Wünsche nach finanzieller Abgeltung von Unwohlsein in einer Größenordnung wie die Erbschafts-Scam-Mails. Hinz und Kunz gestatten sich ihr liebevoll gepflegtes, kontinuierliches Unwohlsein durch gezieltes Aufsuchen von mutmaßlichen DSGVO Verstößen vergolden zu lassen.
Ich gebe hier keine Rechtsberatung ab, aber es scheint sich für mich nach dem Lesen vieler Artikel von Rechtsanwälten in dieser Angelegenheit herauszukristallisieren, dass eine Zahlung der gewünschten Summe nicht angebracht ist. Lesen Sie bitte weiter.
Google Fonts lokal einsetzen
Sie können auf die Nutzung von Google Fonts verzichten, und nutzen stattdessen Systemschriften. Das sind Schriften, die in der Regel bei der Erstinstallation und bei Updates (Softwareaktualisierungen) des Betriebssystems durch den jeweiligen Hersteller (z.B. Apple®, Microsoft® oder Google®) installiert werden. Diese Fonts können daher bedenkenlos von Websites angesprochen werden:
- Verdana
- Arial
- Times
- Times New Roman
- Segoe UI (Windows)
- Tahoma
- Corbel
- San Francisco (MacOS)
- Georgia
Sie können aber auch Google Fonts lokal auf Ihrem Server ablegen und von da aus in die Website einbinden. Das erreichen Sie durch:
- Theme-Einstellungen (wenn vorhanden)
- Plugin-Einstellungen (wenn vorhanden)
- Das Plugin OMGF (Anleitung)
- Das Plugin Embed Google Fonts
- Das Plugin Local Google Fonts
- Manuelle Arbeit 1 (Ernst Michalek)
- Manuelle Arbeit 2 (Kopf & Stift)
Vorteil der “Lokalisierungs”-Plugins: Sie unterbinden das Laden der externen Google Fonts, und binden die gewünschten Schriftarten gleichzeitig lokal ein. Es ändert sich daher nichts am Aussehen der Website. Die Google Fonts sind lokal gespeichert und werden nicht mehr vom Google Server geladen.
Nachteil der “Lokalisierungs”-Plugins: es könnten immer noch Google Fonts vom Google Server geladen werden, weil sich manche Themes oder Plugins nicht an bestimmte Standards halten, und diese zusätzlichen Schriftarten daher nicht erkannt werden.
Nachteil der manuellen Arbeit: auf die bequeme Auswahl von Schriftarten in WordPress müssen Sie ab nun verzichten.
Google Fonts Test Tools
Test-Tools unterstützen Sie dabei herauszufinden, ob Ihre Website noch Google Fonts vom Google Server lädt. Hier eine Auswahl:
- SICHER3
- Website-Bereinigung
- CCM19
- Google Fonts Checker 54gradsoftware
- e-recht24.de
- Webbkoll.dataskydd.net (Profi-Tool)
Sie können auch selbst in den Quelltext Ihrer Website sehen (alle Seiten ansehen!).
Öffnen Sie im Browser Chrome eine Seite und rufen Sie mit “Strg + Umschalttaste + I (Buchstabe i)” das Entwicklermenü auf. Hier klicken Sie den Reiter “Sources” (“Quellcode”) an, darunter “Page” (“Seite”). Suchen Sie nach Begriffen wie “fonts.googleapis.com” oder “fonts.gstatic.com”.
Wenn Sie diese finden, dann binden Sie die Google Schriftarten immer noch vom Google Server aus in Ihre Website ein. In unserem Beispiel wird etwa die Schriftart Merriweather noch vom Google Server eingebunden.
Bei lokaler Einbindung sollten diese Serverbezeichnungen nicht mehr erscheinen.
Bitte beachten Sie, dass manche Einbindungen, wie Google Maps oder Google ReCaptcha (aber auch etwaige andere Einbettungen durch Plugins), immer Google Fonts von einem US-Server abrufen. Dem lässt sich nur abhelfen, indem Sie
- die Einbettung erst nach einem Klick anzeigen, oder
- diese Dienste in Ihrer Website gar nicht erst nutzen.
Natürlich unterstützen wir Sie gerne bei Recherche und Behebung.
Auskunftsanspruch nach Art. 15 DSGVO
RA Hohenecker hatte mit allen Abmahnschreiben auch einen Auskunftsanspruch gemäß Art 15 DSGVO geltend gemacht. Diese Auskunft sollte in jedem Fall erteilt werden.
- Überprüfen Sie zuerst, ob eine Vertretungsvollmacht der betroffenen Person vorliegt.
- Sofern eine Vertretungsvollmacht der betroffenen Person vorliegt, ist zu überprüfen, ob Sie personenbezogene Daten der betroffenen Person zum Antragszeitpunkt gespeichert haben.
- Suchen Sie in Ihrem Unterlagen abseits des Auskunfstbegehrens nach dem Namen der Antragstellerin.
- Optional: lassen Sie sich eine Bestätigung zeigen, dass die fragliche dynamische IP-Adresse tatsächlich zur angegebenen Zeit dem elektronischen Gerät dieser Person zugeordnet war.
- Überprüfen Sie danach sorgfältig, ob Sie die IP-Adresse der betroffenen Person gespeichert haben, zB. in Log-Dateien Ihres Webservers.
Wenn der Name seiner Mandantin Eva Z. in Ihrem Unternehmen nicht bekannt und nirgendwo gespeichert ist (was wohl mehrheitlich anzunehmen ist), sowie auch die Ihnen mitgeteilte IP-Adresse zum genannten Zeitpunkt nicht in Log-Dateien Ihres Webservers aufscheint, dann kann eine Negativ-Auskunft innerhalb der Regelfrist von vier Wochen etwa der folgenden Form erteilt werden:
„Sehr geehrter Herr Mag. Hohenecker,
Über Frau Eva Z. verarbeiten wir – mit Ausnahme des Auskunftsbegehrens – keine personenbezogenen Daten.“
Im Fall der Ablehnung einer Schadensersatzzahlung:
“Wir als Betreiber der Website [DOMAINNAME ERGÄNZEN] bestreiten den von Ihnen im Schreiben vom [DATUM ERGÄNZEN] geltend gemachten Anspruch dem Grunde und der Höhe nach.”
Sollten Sie bei der Suche nach Frau Eva Z. dagegen fündig werden, müssen Sie dann doch ein umfassendes Auskunftsschreiben verfassen. In jedem Fall bewahren Sie sämtliche Korrespondenz mit der anwaltlichen Vertretung der betroffenen Person für einen angemessenen Zeitraum auf.
Weitere Quellen
Zuletzt noch weitere Artikel mit Ratschlägen:
- Linzer IT-Rechtsexperte Dr. Thomas Schweiger
- Erste-Hilfe in Sachen Google Fonts Abmahnwelle
- Mag. Thomas Fraiß, Rechtsanwalt in Wien
- Christian Solmecke, LL.M.
- Abmahnantwort – FAQs
- Ulrich Kopetzki in derStandard.at
- Musterschreiben zur Antwort auf Abmahnschreiben von Privatpersonen (Deutschland)
- Dr. Thomas Schwenke: Ratgeber mit FAQ, Beispielen und Musterantwort (Deutschland)
Die WKO (Wirtschaftskammer Österreich) hatte in einer ersten Reaktion zur Zahlung geraten. Sie hat sich damit keinen Link von diesem Artikel verdient, aber der Vollständigkeit halber zeige ich die URL zur mittlerweile aktualisierten Version der WKO Empfehlung:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/abmahnungen-wegen-google-fonts.html
Eine erste Klagebeantwortung liegt mittlerweile vor: https://www.dataprotect.at/2022/09/21/google-fonts-verfahren-die-klagebeantwortung/
Ich hoffe, dieser Beitrag ist hilfreich. Für Anregungen, Ergänzungen oder widersprüchliche Meinungen steht Ihnen der Kommentarbereich zur Verfügung.
Funfact
Auch Hildegard von Bingen wurde abgemahnt. Die Universalgelehrtin lebte von 1098 bis 1179.
Ich finde es komisch, dass Unternehmen sich beschweren und dabei aber oftmals Google Analytics ohne Einwilligung verwenden. Die Hälfte der Cookie-Banner funktioniert auch nur pseudomäßig.
Ich habe meine Seiten alle mit einem Google Font Checker geprüft und dann richtig eingebunden. Problem gelöst!
Google-Fonts-Checker: https://happyworx.de/google-fonts-checker
Danke für den Beitrag, weiter so 😀