Update 25.7.2022 // Zur Zeit werden massenhaft Abmahnungen an Website-Betreiber versendet, in welchen 100,- EUR Schadensersatz gefordert wird, wenn diese Google Fonts auf ihrer Website einsetzen. Die Abmahnung erfolgt häufig in Verbindung mit der Aufforderung zur Abgabe einer Unterlassungserklärung in Höhe von 3.000 EUR pro Datenschutzverstoß.
Zunächst heisst es, bitte einen kühlen Kopf bewahren! Die Abmahnungen erfolgen in der Regel automatisiert, per E-Mail und ohne anwaltliche Vertretung. Hier sind Geschäftemacher am Werk.
Im Übrigen ist dieser Artikel keine anwaltliche Beratung! Vielmehr fokussieren wir uns auf die technischen Aspekte der datenschutzkonformen Einbindung von Google Fonts.
Die bereits genannte Abmahnung liest sich in etwa wie folgt:
Sehr geehrte Damen und Herren,
am 13.06.2022 / 17:00 Uhr besuchte ich Ihre Website (XXX) und musste erschreckend feststellen, dass diese ohne meine Zustimmung Schriftarten von Google Fonts beziehungsweise deren Server geladen hat.Wie ich mich erkundigt habe, wird dabei meine IP-Adresse, wodurch ich zumindest teilweise identifizierbar bin und auch mein Verlauf nachvollzogen werden kann, an Google und deren Server in den USA übermittelt.
Dieses dürfte nicht nur nach der DSGVO nicht zugelassen sein, vielmehr sehe ich mich auch in meiner informellen Selbstbestimmung verletzt, da ich nicht mehr weiß, was Google nun mit meinen Daten anfangen kann.
Ähnlich ging es auch einem anderen Nutzer, hier urteilte bereits das Landgericht München 1 – Aktenzeichen 3 O 17493/20.
Ich habe mir erlaubt, einen entsprechenden Nachweis über die Einbindung der externen Google Fonts Ihrer Website abzuspeichern.
Damit es nicht weiteren Nutzern so geht wie mir, fordere ich Sie hiermit auf, unverzüglich bis SPÄTESTENS 18.06.2022 sämtliche Google Fonts, die über die Server von Dritten geladen werden, dauerhaft zu entfernen und mir hierüber Rückmeldung zu geben.
Das Landgericht München hat entschieden, dass dem Nutzer ein Schadensersatz in Höhe von 100,00 Euro zusteht ist.
Das sehe ich auch hier für angemessen an. Bitte überweisen Sie diesen ebenfalls bis zum 18.06.2022 auf mein KontoSollte ich jedoch bis dahin keine Widergutmachung erhalten haben, muss ich mich bei meinem Rechtsanwalt über weitere Schritte erkundigen, damit ich weiß, wer wie wo was über Ihre Website mit meinen Daten gemacht hat.
Das Landgericht München hat ebenfalls entschieden, dass bei Zuwiderhandlung ein Ordnungsgeld von 250.000 Euro, ersatzweise Haft, fällig wird. Auch wenn ich mich nicht dabei wohl fühle, wo meine Daten nun sind und was Google damit anstellt, möchte ich aber auch nicht, dass Sie eine solche Strafe tragen müssen, weil Ihnen ein Fehler unterlaufen ist.
Ich finde, jeder hat eine zweite Chance verdient, einen Fehler widergutzumachen, und biete Ihnen dies hiermit an.
Vielleicht hilft es Ihnen, über Google finden Sie nützliche Anleitungen zum sicheren Einbinden von Google Fonts und auch diverse Anbieter, die Ihnen sicherlich dabei helfen können.Nutzen Sie die Chance, ich habe bereits mit meiner Rechtschutzversicherung telefoniert, die mir im Zweifel volle Kostenzusage für eine Klage erteilt hat.
Mit freundlichen Grüßen
Mauß Datenschutz [3] schreibt hierzu:
Wer solche Massenschreiben versendet, kann u.E. einen Schaden auch deshalb nicht geltend machen, weil die im Rahmen der Nutzung von Google Fonts stattgefundene Datenübermittlung in die USA gerade nicht ohne das Wissen und gegen den Willen der (den Fehler geradezu suchenden) Person, sondern gerade mit ihrem Wissen und mit ihrem Willen geschah.
[…] Sofern jemand nach Fehlern sucht und das Übermitteln seiner Daten an Google nicht nur in Kauf nimmt, sondern – um an die erhoffte Schadensersatzzahlung zu kommen – regelrecht beabsichtigt, verliert nicht die Kontrolle über seine Daten. Damit ist sein allgemeines Persönlichkeitsrecht auch nicht verletzt. Folglich kann auch ein Schadensersatzanspruch nicht begründet werden.
Damit es erst gar nicht soweit kommt, habe ich Dir folgende Anleitung erstellt, wie du Google Fonts datenschutzkonform einbinden kannst [Update Ende]:
Warum Du Google Fonts datenschutzkonform auf Deiner WordPress Website einsetzen solltest: Laut der jüngsten Rechtssprechung des Landgerichts München ist die Einbindung von Google Fonts über die Google Font API nicht datenschutzkonform. [1] Das Laden von Google Fonts über die Fonts API bedarf einer vorherigen, expliziten Zustimmung der Besucher. In diesem Artikel will ich Dir aufzeigen, wie Du Google Fonts selber datenschutzkonform einbinden kannst.
Wieso ist die herkömmliche Einbindung von Google Fonts nicht datenschutzkonform?
Grund ist, dass bei der Einbindung über die Google-Server die IP-Adresse der Besucher in die USA gesendet wird. Die USA zählen zu den Ländern, die den europäischen Anforderungen an den Datenschutz nicht genügen. Somit ist die Einbettung von externen Diensten wie Google Fonts oder auch Google Analytics nicht datenschutzkonform.
Der Einsatz von Schriftartendiensten wie Google Fonts kann nicht auf Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden, da der Einsatz der Schriftarten auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss.
— aus der Urteilsbegründung des LG München
Ein weiterer Grund, der auch die Einbettung von anderen Google-Diensten wie z.B. Google Analytics betrifft: Nach dem Urteil des EuGH vom 16. Juli 2020, Rs C-11/18 („Schrems II“), können sich Webseitenbetreiber nicht mehr auf eine sogenannte „Angemessenheitsentscheidung“ („Privacy Shield“ und vorher „Safe Harbor“) berufen.
Betroffen sind mehr als 880.000 Websites in Deutschland:
Laut Builtwith sind unter anderem Webseiten wie spiegel.de, heise.de, zeit.de betroffen sowie viele andere tausende Websites, welche Google Fonts auf die herkömmliche Art und Weise eingebunden haben:
Wie kann ich Google Fonts datenschutzkonform einbinden?
Google Fonts lokal auf dem Server hosten
Wer Google Fonts über den Google Server bzw. die Fonts API eingebunden hat, muss in Kauf nehmen, dass die Nutzerdaten seiner Besucher an Google weitergegeben werden. Das ist jedoch nur zulässig, wenn hierfür eine Einwilligung des Besuchers vorliegt.
Als Alternative hierzu kannst Du die Google Fonts lokal einbinden. Das heisst, dass die Google Fonts direkt vom eigenen Server und nicht mehr über die Fonts API geladen werden. Auf diesem Wege werden also keine Nutzerdaten an Anbieter außerhalb der EU gesendet, solange sich der Server-Standort Deiner Website auch in der EU befindet.
Hier nun die einzelnen Schritte:
Schritt 1: Google Fonts runterladen
Dazu gehst Du auf die Seite der gewünschten Schriftart. In unserem Fall ist das die Schriftart „Source Sans Pro“. Oben rechts kannst Du mit „Download Family“ die Schriftart mit all ihren einzelnen Schnitten herunterladen.
Problem hierbei: Bei Google Fonts kannst Du die Schriftschnitte nur im TTF-Format herunterladen. Google ist nunmal eine Datenkrake und möchte, dass Du deren Font API benutzt.
Das Format, das wir für den Einsatz auf der Website brauchen, ist jedoch Woff2. Woff2 (für „Web Open Font Format“) ist das Dateiformat für Webfonts, das am wenigsten Speicherplatz und damit auch Ladezeit für Deine Website beansprucht. Es wird von allen gängigen Browsern unterstützt:
Schritt 2: TTF in Woff2 umwandeln
Um die TTF-Dateien in das Woff2-Format umzuwandeln, kannst Du den Service Cloudconvert verwenden, ein Service der von der Lunaweb GmbH in München angeboten wird. Die Daten kannst Du per Drag & Drop herüberziehen. Bis zu fünf Dateien gleichzeitig sind kostenlos.
Nach der Umwandlung kannst Du die Dateien dann einfach herunterladen.
[Update Juni 2022] Als Alternative zu Cloudconvert kannst du auch den Dienst Google Webfonts Helper (Link) einsetzen. Über dieses Tool kannst du direkt unter den Google Fonts auswählen und bekommst diese im WOFF und WOFF2-Format heruntergeladen. Das passende CSS erhältst du obendrein auch noch mit, sodass du das CSS nur noch in deine Custom CSS oder in die Webfonts API einbinden musst, wie im Folgenden beschrieben:
Schritt 3: Woff2-Dateien auf den eigenen Server hochladen
Mit einem FTP-Programm wie Filezilla kannst Du dann diese Woff2-Dateien hochladen in einen Ordner Deiner Wahl. Wenn Du WordPress im Einsatz hast, sollte sich der Ordner normalerweise im Unterorder „/wp-content/“ befinden. In unserem Beispiel liegt der Ordner in /wp-content/uploads/assets/fonts/ .
Schritt 4: Die lokalen Schriftart per CSS einbinden
Sind die Font-Dateien im richtigen Ordner abgelegt, kannst Du sie über das Custom CSS in WordPress einbinden. Das Custom CSS findest Du in WordPress unter Design > Customizer > Zusätzliches CSS.
Für die Einbindung verwendest Du dann folgende Syntax. Je nach Schriftart und Dateinamen muss Du hier die Dateinamen und den Namen der Schriftart anpassen. Bitte achte auch darauf, dass die Groß- und Kleinschreibung bei den Dateinamen jeweils genau übereinstimmen:
@font-face {
font-family: "SourceSansPro Regular";
font-display: swap;
src: url(/wp-content/uploads/assets/fonts/SourceSansPro-regular.woff2) format("woff2");
}
Schritt 5: Die lokalen Google Fonts im CSS referenzieren
Sobald Du die Google Fonts über den @font-face Codeschnipsel eingebunden hast, kannst Du sie auch entsprechend im CSS referenzieren, etwa so:
body {
font-family: "SourceSansPro Regular", system-ui, -apple-system, sans-serif;
}
Auch hier musst Du darauf achten, dass die Referenzierung des Namens der Schriftart bzw. deren Schnitte genau übereinstimmen. Ferner ist es üblich, den Namen der Schriftart immer in geraden Anführungszeichen anzugeben. Die Anführungszeichen braucht es, sobald der Name ein Leerzeichen enthält, wie das etwa bei „SourceSansPro Regular“ der Fall ist.
Alternative: Google Fonts datenschutzkonform nach Zustimmung laden
Für den Fall, dass Du die Fonts lieber weiterhin direkt über einen Google Server laden möchtest, musst Du dafür die Einwilligung Deiner Besucher einholen. Das kannst Du z.B. über die Cookie-Lösung „Real Cookie Banner“ tun, die Dir eine Hilfestellung für diesen Prozess anbietet.
Für andere Plugins wie z.B. Borlabs Cookie stellen die Entwickler hier eine Dokumentation bereit. Je nach Cookie-Lösung wirst Du dann in der Dokumentation des jeweiligen Anbieters eine entsprechende Anleitung finden.
Laden Google Fonts nicht schneller als selbstgehostete Fonts?
Nein. Seit Chrome 86 (Oktober 2020) auf die HTTP-Cache-Partitionierung umgestellt hat, müssen Google Fonts für jede Website neu heruntergeladen werden, unabhängig davon, ob die Schriftarten im Browser des Nutzers zwischengespeichert sind. Auch bei Safari und Firefox (ab Version 85, Januar 2021) wird dies so gehandhabt.
Die Folge: Google Fonts selber zu hosten verbessert als die Ladezeit deiner Website, da ein DNS-Lookup eingespart wird im Vergleich zur Bereitstellung über die Google Fonts API.
Benötigst Du Hilfe bei der datenschutzkonformen Einbindung von Google Fonts? Schreibe mir eine E-Mail an hallo@drweb.de
Nachweise
[2] Caniuse.com
[3] Mauß Datenschutz
Beitragsbild: Depositphotos
20 Antworten zu „Google Fonts sind nicht mehr datenschutzkonform. Was nun?“
— was ist Deine Meinung?
Hallo,
das Thema kam mit der DGSVO auf. Da es damals schon Zweifel daran gab, ob das Verwenden von Google Fonts DGSVO konform ist, habe ich bereits seit damals ein Plugin namens „Self Hosted Google Fonts“ aktiv. Meine Google Fonts lade ich lokal.
Mein Theme erlaubt sehr einfach die Fonts lokal einzubinden.
Welches Theme verwendest du denn?
Hallo Gabriele, hier eine Auswahl an WordPress-Themes, die wir je nach den Anforderungen an die Website empfehlen können: https://www.drweb.de/beste-wordpress-themes-kostenlos/
Hallo,
Das Astra Theme bietet das zb an. Aber auch andere Theme’s .
Der Einsatz von Google-Fonts per Direktverbindung zum Google-Server war seit der DSGVO noch nie datenschutzkonform. Dazu brauchte es nicht das aktuelle Urteil. Denn seit es gerichtlich entschieden wurde, dass die IP-Adresse ein personenbezogenes Datum ist und es technisch nicht zwingend ist, die Schriften auf diese Weise einzubinden, war klar, dass das kein rechtlich sauberer Weg sein kann. Ich habe alle Kundenprojekte bereits vor 2 Jahren entsprechend umgestellt.
Als dann noch der Privacy Shield gekippt wurde, fehlte zudem die saubere rechtliche Grundlage für die Datenübertragung in die USA. Solche rechtlichen Entwicklungen sollte man als Webdesigner/-programmierer auf dem Schirm haben, damit die Kunden nicht in offene Messer laufen. Das gehört zum Job dazu!
Der Artikel erklärt zwar wie die Schrift geladen werden kann, aber das geht besser (Kommentar von Georg) und rechtlich sicherer (Kommentar von Frank) und zusätzlich fehlt komplett, dass im Falle von WordPress die Themes und Plugins die Fonts ja immer noch laden. Es wird also noch ein Snippet oder Plugin benötigt, um Google Fonts zu blocken:
https://de.borlabs.io/borlabs-font-blocker/
https://de.wordpress.org/plugins/disable-remove-google-fonts/
https://de.wordpress.org/plugins/disable-google-fonts/
Optimizer bieten sowas gelgentlich auch an:
https://de.wordpress.org/plugins/autoptimize/
https://wordpress.org/plugins/clearfy/
Oder es wird ein Tool genutzt, was beides anbietet:
https://de.wordpress.org/plugins/host-webfonts-local/
Aber selbst dann muss das kontrolliert werden, denn veraltete Einbettungsvarianten, wie ein hartgecodeter Link im Theme/Plugin kann so nicht ausgefiltert werden. Dann hilft ggf. nur ein Theme-oder Plugin-Wechsel.
Danke für den Hinweis, Torsten! Borlabs hat in der Tat eine eigene Seite zum Thema Google Fonts (und Adobe Typekit):
https://de.borlabs.io/kb/google-fonts-und-adobe-typekit/
Hallo Torsten!
“ dass im Falle von WordPress die Themes und Plugins die Fonts ja immer noch laden“
genau das meinte ich im Kommentar vom 31.01.22!
Uns geht es nämlich nicht um das 1000x beschriebene selbst hosten von GF, sondern ums Blocken vor Zustimmung.
(Weiters kann man in den von uns verwendeten Themes GF einfach deaktivieren, man muss keinen hardcodeten Link ausbauen.)
Wir haben viele Plugins getestet, doch keines schaffte es, das Laden der GF zu blocken (wenn es im Theme aktiviert ist). Wie ich meine, ist das keine hardcodierter Einbau – und dennoch konnte kein Plugin das Versprechen halten: Blocken dieser GF URL’s vor Zustimmung.
Borlabs war nicht dabei, weils da ja keine Free oder Testversion gibt?
Die anderen genannten Plugins teste ich demnächst, das wird spannend!
Danke!
Hallo Rainer, klingt spannend, dass du alle Plugins daraufhin durchtestest, ob sie Google Fonts blocken. Wo kann ich denn deinen Testbericht nachlesen? Gibt’s einen Blogpost oder Ähnliches? Liebe Grüße, Gabi
Ich kapiere überhaupt nichts mehr. Ich bin am Ende mit meinem Datenlatein. Was nützt mir eine Schritt für Schritt-Anleitung, wenn ich spätestens ab Schritt 2 passen muss., weil ich es nicht verstehe. Ich blogge seit 2005. Für mich bedeutet Bloggen Schreiben. Die Technik dahinter blicke ich nicht, und es interessiert mich auch nicht. Die Welt ist voll schöner Sachen, ich kann mich nicht für alles interessieren. Und nun? Meinen Bruder fragen?
Genau.
Nicht missverstehen. Ihr könnt ja gar nichts dafür, wenn ein deutsches Gericht eine Entscheidung fällt, mit dessen Folgen der einzelne User evtl überfordert ist. Andererseits hab ich (hier) das Gefühl, ihr unterhaltet euch nur noch untereinander, auf einem über die Jahre gewonnenen Niveau, bei dem viele andere Internet-Teilnehmer nur noch am Platzrand stehen und dumm in die Gegend gucken.
TTF-Dateien einfach nur in das Woff2-Format umzuwandeln ist rechtlich nicht ganz sauber.
„Hier kommt die Fußangel der SIL Open Font Licence
Auf gut deutsch: die Umwandlung der Schrift in ein anderes Format wird als Modifikation gewertet. Diese wiederum ist nur zulässig wenn nicht der gleiche Name intern wie extern verwendet wird. Extern ist simpel: Datei umbenennen, entsprechend im Stylesheet einbinden, fertig. Aber das ist eben nur die halbe Wahrheit, weil in der Schrift selbst eben noch Meta-Informationen verbleiben, die den ursprünglichen Namen referenzieren. Und damit wäre der Lizenzverstoß auch noch sauber dokumentiert.“
Quelle: https://nairobi-notes.de/2020/11/google-fonts-dsgvo-und-sil-ofl-open-font-license/
Danke für die Ergänzung, ist natürlich ein wichtiger Hinweis!
Was wäre denn die Lösung um es rechtlich sauber zu machen? Umbenennen und Meta-Daten entfernen oder wie ist das richtige vorgehen? wird ja leider gar nicht drauf eigegangen im Artikel. Schade eigentlich, wenn alles immer nur oberflächlich behandelt wird.
Hallo Alex, wenn Du auf Nummer sicher gehen willst, dann kannst Du eine Lizenz für eine oder mehrere Schriftarten *kaufen*. Das ist die sicherste aller Lösungen und meist sogar recht erschwinglich.
Ob jetzt die Umwandlung einer Open Source Schriftart bereits als Verstoß nach der SIL Open Font Licence gewertet wird, weiss ich nicht. Zumal die Frage ist, wer in so einem Fall der Kläger wäre? Jemand, der eine Schriftart „open sourced“ hat? Scheint mir unwahrscheinlich.
Deswegen: Ein abstraktes Restrisiko bleibt. Muss jeder für sich abwägen.
Wer 100 % Sicherheit haben möchte, muss sich die Schriftart(en) kaufen. Ist ähnlich wie bei kostenlosen Bildern. Da gibt es ja auch immer ein Restrisiko, dass eine Agentur sich die Bildrechte kauft und dann alle abmahnt, die das Bild angeblich unrechtmäßig einsetzen.
Wir brauchten Jahrzehntelang keine Google Fonts, weder in den klassischen Eigenbau Sites von damals noch in WP basierten Sites. Da verwenden wir Themes, wo man das einfachst abschalten kann.
Also Methode 1: Darauf verzichten, man kann auch mit Standardschriftarten schöne Sites machen.
Nebst dem 1000x beschriebenen Möglichkeiten des selbst hosten der Fonts sollte es noch eine dritte Möglichkeit geben, welche aber niemand beschreibt, vmtl. weil die nirgends funktioniert: Blocken, bis zugestimmt wird.
Leider schafft dies kein Dienst, keine Script, kein Plugin, … niemand. Auch wenn man alle Verbindungen zu Google mit den gängigen Methoden blockt: Die kommen dennoch durch! Getestet mit allen bekannten „Cookie-Plugins“.
Erst wenn man die bekannten URLs abschaltet (zb. im Theme) oder wo das nicht geht, manuell löscht, dann ist Ruhe.
Mir ist halt unklar, wieso moderne Cookie Plugins alles solange blocken können, bis zugestimmt wurde – nur GF lässt sich so nicht aufhalten. Warum?
„Wir brauchten Jahrzehntelang keine Google Fonts […] man kann auch mit Standardschriftarten schöne Sites machen.“ Den Oldies-Witz hau ich mal so raus: Die 2000er haben angerufen und wollen für ihre Websites ihre Standardfonts Times New Roman und Arial zurück.
Einfach die Fonts-Server in die Datei hosts eintragen, dann kommen die nicht mehr durch. Beispielsweise:
127.0.0.1 fonts.googleapis.com
127.0.0.1 fonts.gstatic.com
Bei Windows ist die hosts-Datei typischerweise hier:
C:\Windows\System32\drivers\etc\hosts
Bei anderen Betriebssystemen müsste es Ähnliches geben.
@fewe: Und das bringt (alle jenen Besuchern meiner Site, die das nicht tun) was?
Bequemer geht das lokale Vorbereiten über folgende Webseite:
https://google-webfonts-helper.herokuapp.com/fonts
Hierbei werden sämtliche Browser beachet und die Dateiformate „.eot“, „.woff2“, „.woff“, „.ttf“ und „.svg“ zur Verfügung gestellt.
Danke Dir für die nützliche Ergänzung.