Ich will in diesem Beitrag versuchen, mich so verständlich wie möglich auszudrücken. Da ich mehr Gestalter als IT-Techniker bin, kann ich nicht jedes gefundene Problem einwandfrei analysieren, aber meine Beobachtungen schildern. Klar ist, dass das vorliegende Problem deutlich komplexer ist und viel weiter geht oder gehen kann, als derzeit diskutiert und daher auch die Konsequenzen deutlich weiter gehen müssen.

Die Ausgangslage

Seit einigen Wochen geistern die Abmahnungen durch Google-Schriften durch die Republik. Zur Einführung noch einmal, worum es geht. Viele Webseiten beinhalten Schriften, die Google kostenlos zur Verfügung stellt. Diese Schriften liegen auf den Servern des Internetriesen, und sobald eine Website aufgerufen wird und die Schriften nachlädt, werden persönliche Daten des Webseiten-Besuchers an Google übermittelt. Das widerspricht der DSGVO, und weil dieses Nachladen in der Regel bereits sofort beim Start der Seite erfolgt, sind auch Hinweise in der Datenschutzerklärung offenbar nicht aktiv.

Das Landgericht München hat entschieden, dass die Verwendung von Google-Fonts, die von deren Servern nachgeladen werden, nicht der Datenschutzgrundverordnung entspricht und einem Kläger Schadenersatz in allerdings geringer Höhe zugesprochen. Das war das Signal für die lange wartenden Abmahnvereine und -anwälte. Die Rechtssituation will ich nicht ausführen, das ist das Metier von Anwälten, beispielsweise findet man dazu mehr auf der Seite https://www.e-recht24.de/google-fonts-scanner und vielen anderen Anwaltsseiten.

Ungenaue Font-Scanner

Nun werden Links verschickt, auch wir haben das gemacht, mit denen man die eigene Website prüfen kann. Zeigt die Prüfseite eine rote Karte, muss man schleunigst aktiv werden. Zeigt sie eine grüne Karte, ist angeblich alles in Ordnung. Aber wie eigene Prüfungen und Erfahrungen zeigen, ist dies nicht ganz so eindeutig und eine Lösung auch nicht ganz so einfach, wie es gern versprochen wird. Ich habe in der Zwischenzeit mehrere Scanner getestet und folgendes festgestellt:

• Die Scanner arbeiten unterschiedlich und sind nicht zwingend verlässlich. Nachdem ich teilweise unterschiedliche Ergebnisse bei Scans bekommen hatte, habe ich zwar bei wenigen, aber doch einigen Seiten festgestellt, dass einzelne Scanner trotz des eindeutigen Eintrages eines Google-Fonts keine Warnung ausgegeben haben.
• Die Scanner scheinen im Allgemeinen, nur nur den Quellcode der Seite zu untersuchen, aber nicht die Seite während der Laufzeit. Manchmal werden bestimmte Techniken benutzt, die Inhalte während des Aufrufs der Seite von externen Seiten nachladen. Wenn dort externe Schriften verwendet werden, können die Scanner das nicht finden. Dennoch werden Schriften nachgeladen und auch das verstößt in Deutschland gegen die DSGVO. Dieses Nachladen geschieht offenbar auch bei Einbindung beliebter Google Anwendungen.
• Die Scanner suggerieren oder suggerierten – auf manchen Seiten findet man mittlerweile entsprechende Zusätze und Einschränkungen – dass ein einfacher Test der Domain vollständige Gewissheit brächte. Der Scan untersucht jedoch nur die eingegebene Seite, also üblicherweise die Startseite. Unterseiten werden nicht geprüft, sondern jede einzelne Seite und jeder einzelne Beitrag muss eingegeben und durchsucht werden. Das wird kaum jemand getan haben.
• Die Scanner untersuchen eine Seite nicht während der Laufzeit, wodurch nicht alle missbräuchlichen Schrift-Verwendungen gefunden werden.
• Und schlussendlich untersuchen die Scanner die Seite nur nach Google-Schriften. Es gibt jedoch noch andere Anbieter von Schriften und Symbolbibliotheken. Es geht in diesem Fall ja nicht darum, dass es sich um Google-Schriften handelt, sondern dass an den Anbieter persönliche Daten übertragen werden. Das tun andere Anbieter eben auch.

Auch professionelle Erweiterungen helfen nur bedingt

Abhilfe soll die lokale Einbindung der Google-Fonts bringen. Dazu finden sich im Netz zahlreiche Anleitungen. Es gibt auch Programme, dies tun. Ich beziehe mich in diesem Beitrag ausschließlich auf das weitverbreitete CMS WordPress.

Eines der einfachsten Plug-ins ist der BORLABS-Font-Blocker. Er ist sehr einfach zu installieren, ist kostenlos und tut im Wesentlichen das, was der Name verspricht: Er blockiert zunächst einmal Google-Fonts. Allerdings habe ich auch hier erlebt, dass Seiten-Checker noch anschlugen. Ob die Scanseite fehlerhaft ist oder der Font-Blocker nicht hundertprozentig arbeitet, kann ich nicht sagen. Die Website des renommierten Anbieters Borlabs aus Deutschland ist aber schon interessant für die umfangreiche deutschsprachige Anleitung, wie man Google-Fonts lokal einbindet.

Eines der bekanntesten Plug-ins ist OMGF aus den Niederlanden, das man in einer kostenlosen Version aus dem WordPress-Repository laden kann. Zusätzlich gibt es dazu eine kostenpflichtige Ergänzung, die für 19 € pro Jahr in der Einzelversion mehr Möglichkeiten und Analysen bietet. OMGF analysiert in der Pro-Version Webseiten während der Laufzeit, das ist ein ganz erheblicher Pluspunkt. Probleme werden erkannt und kommuniziert – und dabei kommt es vor, dass das Plug-in ein Problem nicht automatisch lösen kann. Allerdings wird die Gefahr gemeldet und man kann versuchen, das Problem manuell zu lösen. Die Erweiterung ist leider nur englischsprachig erhältlich, bietet viele Optionen, ist allerdings recht technisch. Die Entwickler versprechen in dieser Hinsicht Abhilfe.

Eine deutschsprachige Alternative testen wir gerade. Die Erweiterung nennt sich Automatic Google-Fonts Embedder und verspricht, für 39 € pro Jahr als Einzellizenz binnen Sekunden Google-Fonts lokal zu installieren. In der Praxis funktioniert dies auch, allerdings in einem Testfall nicht sauber. Das Tool ist einfach und übersichtlich, scheint aber im Detail nicht so weit zu gehen wie OMGF. Beispielsweise werden bei Einbindung von Youtube oder Google Maps lediglich vorgefertigte Shortcodes angeboten, um über einen Content-Blocker den Aufruf dieser Seite erst nach einem Datenschutzhinweis zu ermöglichen.

Jedes dieser Tools, und es gibt noch etliche weitere, sind in jedem Fall besser als gar nichts und minimieren das Risiko einer Abmahnung. Am Schluss bedeutet es aber immer: Ohne intensiveren Einstieg in die Technik kommt man nicht weiter.

Technische Fallen und der Stein, den man ins Wasser wirft

Manchmal werden trotz lokaler Einbindung Schriften nach wie vor nachgeladen, sei es über integrierte Scripte, sei es über zusätzliche Erweiterungen oder beliebte Funktionen wie Google Maps, Youtube, ReCapcha und etliche andere: Auch sie laden ggf Schriften nach und tun dies nicht lokal, sondern von externe Quellen. Und nicht immer geht es um Schriften, denn der Kern der Unvereinbarkeit mit der DSGVO ist das unerwünschte Übertragen von personalisierten Informationen an Anbieter, das können Name, Geschlecht, aufgerufene Inhalte sein, es reicht aber auch schon die Übermittlung der IP-Adresse.

Das bedeutet, dass man viel gründlicher vorgehen muss, um auch späteren Abmahnungen vorzubeugen. Bekannte Erweiterungen wie das genannte Google Maps und andere müssen möglichst vermieden und durch andere ersetzt oder zumindest wirksam durch Content-Blocker abgesichert werden.

Ein Hoffnungsschimmer zum Schluss

Ich halte die DSGVO vom Grundsatz her für eine gute Regelung. Sie schützt uns vor hemmungslosem Missbrauch persönlicher Daten und hat in Europa schon zu erheblichen Veränderungen und selbst für die Giganten empfindliche Strafen geführt. Die aktuelle Abmahnwelle empfinde ich, wie viele andere auch, als eine der unangenehmen und missbräuchlichen Folgen, die von Juristen als Rechtsbeugung gesehen wird. So sieht es wohl auch das Landgericht Baden-Baden, dass auf Antrag einer Anwaltskanzlei eine einstweilige Verfügung gegen einen der aktivsten Abmahnungsbetreiber erlassen hat. Mehr dazu kann man in einem Beitrag der Kanzlei LHR lesen. Im Übrigen ist die Kanzlei der Meinung, dass die meisten aktuellen Abmahnungen in den Papierkorb gehörten. Weitere interessante Ratschläge mit FAQ, Beispielen und Musterantworten finden sich auf der Seite Datenschutz-Generator.