Ich will in diesem Beitrag versuchen, mich so verständlich wie möglich auszudrücken. Da ich mehr Gestalter als IT-Techniker bin, kann ich nicht jedes gefundene Problem einwandfrei analysieren, aber meine Beobachtungen schildern. Klar ist, dass das vorliegende Problem deutlich komplexer ist und viel weiter geht oder gehen kann, als derzeit diskutiert und daher auch die Konsequenzen deutlich weiter gehen müssen.
Seit einigen Wochen geistern die Abmahnungen durch Google-Schriften durch die Republik. Zur Einführung noch einmal, worum es geht. Viele Webseiten beinhalten Schriften, die Google kostenlos zur Verfügung stellt. Diese Schriften liegen auf den Servern des Internetriesen, und sobald eine Website aufgerufen wird und die Schriften nachlädt, werden persönliche Daten des Webseiten-Besuchers an Google übermittelt. Das widerspricht der DSGVO, und weil dieses Nachladen in der Regel bereits sofort beim Start der Seite erfolgt, sind auch Hinweise in der Datenschutzerklärung offenbar nicht aktiv.
Das Landgericht München hat entschieden, dass die Verwendung von Google-Fonts, die von deren Servern nachgeladen werden, nicht der Datenschutzgrundverordnung entspricht und einem Kläger Schadenersatz in allerdings geringer Höhe zugesprochen. Das war das Signal für die lange wartenden Abmahnvereine und -anwälte. Die Rechtssituation will ich nicht ausführen, das ist das Metier von Anwälten, beispielsweise findet man dazu mehr auf der Seite https://www.e-recht24.de/google-fonts-scanner und vielen anderen Anwaltsseiten.
Nun werden Links verschickt, auch wir haben das gemacht, mit denen man die eigene Website prüfen kann. Zeigt die Prüfseite eine rote Karte, muss man schleunigst aktiv werden. Zeigt sie eine grüne Karte, ist angeblich alles in Ordnung. Aber wie eigene Prüfungen und Erfahrungen zeigen, ist dies nicht ganz so eindeutig und eine Lösung auch nicht ganz so einfach, wie es gern versprochen wird. Ich habe in der Zwischenzeit mehrere Scanner getestet und folgendes festgestellt:
Abhilfe soll die lokale Einbindung der Google-Fonts bringen. Dazu finden sich im Netz zahlreiche Anleitungen. Es gibt auch Programme, dies tun. Ich beziehe mich in diesem Beitrag ausschließlich auf das weitverbreitete CMS WordPress.
Eines der einfachsten Plug-ins ist der BORLABS-Font-Blocker. Er ist sehr einfach zu installieren, ist kostenlos und tut im Wesentlichen das, was der Name verspricht: Er blockiert zunächst einmal Google-Fonts. Allerdings habe ich auch hier erlebt, dass Seiten-Checker noch anschlugen. Ob die Scanseite fehlerhaft ist oder der Font-Blocker nicht hundertprozentig arbeitet, kann ich nicht sagen. Die Website des renommierten Anbieters Borlabs aus Deutschland ist aber schon interessant für die umfangreiche deutschsprachige Anleitung, wie man Google-Fonts lokal einbindet.
Eines der bekanntesten Plug-ins ist OMGF aus den Niederlanden, das man in einer kostenlosen Version aus dem WordPress-Repository laden kann. Zusätzlich gibt es dazu eine kostenpflichtige Ergänzung, die für 19 € pro Jahr in der Einzelversion mehr Möglichkeiten und Analysen bietet. OMGF analysiert in der Pro-Version Webseiten während der Laufzeit, das ist ein ganz erheblicher Pluspunkt. Probleme werden erkannt und kommuniziert – und dabei kommt es vor, dass das Plug-in ein Problem nicht automatisch lösen kann. Allerdings wird die Gefahr gemeldet und man kann versuchen, das Problem manuell zu lösen. Die Erweiterung ist leider nur englischsprachig erhältlich, bietet viele Optionen, ist allerdings recht technisch. Die Entwickler versprechen in dieser Hinsicht Abhilfe.
Eine deutschsprachige Alternative testen wir gerade. Die Erweiterung nennt sich Automatic Google-Fonts Embedder und verspricht, für 39 € pro Jahr als Einzellizenz binnen Sekunden Google-Fonts lokal zu installieren. In der Praxis funktioniert dies auch, allerdings in einem Testfall nicht sauber. Das Tool ist einfach und übersichtlich, scheint aber im Detail nicht so weit zu gehen wie OMGF. Beispielsweise werden bei Einbindung von Youtube oder Google Maps lediglich vorgefertigte Shortcodes angeboten, um über einen Content-Blocker den Aufruf dieser Seite erst nach einem Datenschutzhinweis zu ermöglichen.
Jedes dieser Tools, und es gibt noch etliche weitere, sind in jedem Fall besser als gar nichts und minimieren das Risiko einer Abmahnung. Am Schluss bedeutet es aber immer: Ohne intensiveren Einstieg in die Technik kommt man nicht weiter.
Manchmal werden trotz lokaler Einbindung Schriften nach wie vor nachgeladen, sei es über integrierte Scripte, sei es über zusätzliche Erweiterungen oder beliebte Funktionen wie Google Maps, Youtube, ReCapcha und etliche andere: Auch sie laden ggf Schriften nach und tun dies nicht lokal, sondern von externe Quellen. Und nicht immer geht es um Schriften, denn der Kern der Unvereinbarkeit mit der DSGVO ist das unerwünschte Übertragen von personalisierten Informationen an Anbieter, das können Name, Geschlecht, aufgerufene Inhalte sein, es reicht aber auch schon die Übermittlung der IP-Adresse.
Das bedeutet, dass man viel gründlicher vorgehen muss, um auch späteren Abmahnungen vorzubeugen. Bekannte Erweiterungen wie das genannte Google Maps und andere müssen möglichst vermieden und durch andere ersetzt oder zumindest wirksam durch Content-Blocker abgesichert werden.
Ich halte die DSGVO vom Grundsatz her für eine gute Regelung. Sie schützt uns vor hemmungslosem Missbrauch persönlicher Daten und hat in Europa schon zu erheblichen Veränderungen und selbst für die Giganten empfindliche Strafen geführt. Die aktuelle Abmahnwelle empfinde ich, wie viele andere auch, als eine der unangenehmen und missbräuchlichen Folgen, die von Juristen als Rechtsbeugung gesehen wird. So sieht es wohl auch das Landgericht Baden-Baden, dass auf Antrag einer Anwaltskanzlei eine einstweilige Verfügung gegen einen der aktivsten Abmahnungsbetreiber erlassen hat. Mehr dazu kann man in einem Beitrag der Kanzlei LHR lesen. Im Übrigen ist die Kanzlei der Meinung, dass die meisten aktuellen Abmahnungen in den Papierkorb gehörten. Weitere interessante Ratschläge mit FAQ, Beispielen und Musterantworten finden sich auf der Seite Datenschutz-Generator.