Abmahnanwälte finden gerne auch noch die kleinste Lücke in Gesetz und Technik. Aktuell richtet sich ihr Augenmerk auf Webseiten, auf denen Google-Schriftarten im Einsatz sind. IT- und Datenschutzexperte Andreas Ilg rät zum Handeln.
Viele Betreiber von Webseiten nutzen Google Schriftarten, sogenannte „Google Fonts“ auf ihrer Website. Oft bewusst, manchmal unbewusst. Ungeachtet dessen unterliegt jeder Webseitenbetreiber aber der Pflicht, diesen Einsatz der Schriften gemäß den DSGVO-Vorgaben umzusetzen. In der EU heißt das konkret: Ohne explizite vorherige Einwilligung durch den Webseitenbesucher, dürfen Google Fonts nicht vom „Google CDN“, dem Content-Delivery-Network geladen werden.
Diese CDNs sind grundsätzlich erst einmal nichts Schlechtes. Sie bieten technisch gesehen den Vorteil, dass Inhalte wie etwa Schriftarten einfach und schnell in die Website eingebunden werden können. Allerdings erhält Google durch die Nutzung dieser CDNs mit jedem Aufruf der Internetseite personenbezogene Daten wie die IP-Adresse des Besuchers, auch wenn die Webseite ansonsten nicht mit Google in Verbindung steht. Da sich diese Server meist in den USA und anderen Nicht-DSGVO-Ländern befinden, sind die dorthin übermittelten Daten im Sinne der DSGVO nicht ausreichend geschützt.
Lokaler Host oder Einwilligung nötig
Nun kommt es seit einigen Wochen verstärkt zu Abmahnungen wegen falscher Einbindung dieser Google Fonts. Die Abmahnungen stützen sich neben der DSGVO auch auf ein Urteil des Landgerichts München vom 20. Januar 2022, mit dem einem Kläger 100 Euro Schadenersatz wegen der Übermittlung seiner IP-Adresse an Google aufgrund der Google Fonts zugesprochen wurden.
Webseitenbetreiber sollten deshalb handeln, um hier keine Angriffsfläche zu bieten. Die Empfehlung lautet: Google Fonts lokal auf dem eigenen Webseitenserver hosten, so dass beim Aufruf der Webseite wegen der Schriftarten keine Verbindung zu Google aufgebaut wird. Alternativ ist auch eine vorherige Einwilligungserklärung per Cookie-Consent-Banner durch den Seitenbesucher denkbar, allerdings darf, bis die Einwilligung erteilt ist, kein Aufruf zum CDN stattfinden.
Und: Was für Google Fonts gilt, gilt analog auch für andere Fremdinhalte, die beim Aufruf einer Webseite nachgeladen werden. Betreiber sollten genau prüfen, welche Inhalte jeweils beim Aufruf ihrer Internetseiten geladen werden und von welchen Servern diese kommen.
Text: Andreas Ilg, Digital-Hilfe, Kehl
Bild: Adobe Stock/DDimaXX