Abmahnwelle Google Fonts

Vielen Unternehmen und Vereinen in Österreich passiert gerade dasselbe: Sie bekommen Post von „einem Anwalt aus Niederösterreich“, wie es in der Presse heißt, der sie im Auftrag einer Mandantin wegen der Verwendung von Google Fonts im Rahmen der Datenschutzgrundverordnung (DSGVO) abmahnt und zu einer Zahlung auffordert. Soweit, so ärgerlich. Wie sich diese Sache rein rechtlich darstellt, können wir nicht beurteilen, werden aber ggf. an dieser Stelle darauf hinweisen, sollte sich da was tun.

Vorerst wollen wir vor allem Missverständnisse ausräumen und Lösungswege anbieten. Daher hier ein kleiner Abriss, was diese Google Fonts eigentlich sind, warum man die verwendet und wie man einer datenschutzrechlichen Beschwerde vorbeugen kann.

Was sind „Google Fonts“

Google Fonts ( https://fonts.google.com/ ) sind Schriftarten, die von Alphabet / Google unter Lizenz abgabefrei angeboten werden (z.b. unter Apache License, Version 2.0.). Google hostet diese Schriftarten zum Einbinden für alle, die sie nutzen wollen, auf eigenen Servern. Alternativ kann man diese aber auch kostenlos herunterladen und verwenden. Benutzt werden diese Schriftarten meist zur Gestaltung von Websites und Apps.
Das tolle an diesen Schiftarten ist, dass sie frei angeboten werden, also gratis sind, und Zeichen für verschiedenste Länder bzw. Sprachen unterstützen. Neben Zeichen des lateinischen Alphabets auch Kyrillisch, Griechisch etc. Es gibt auch andere Anbieter, wie zum Beispiel Adobe mit Typekit, die Schriftarten auf diese Weise zur Verfügung stellen, dafür aber meist eine Lizenzgebühr kassieren. Auch das macht Google Fonts so attraktiv.

Wie funktioniert das?

Eingebunden werden Google Fonts über den Code ihrer Website. Das kann auf verschiedene Arten passieren. Ein Website besteht heutzutage fast immer aus zwei unterschiedlichen Teilen, dem sog. HTML-Teil und dem sog. CSS-Teil. HTML überträgt dabei den Inhalt der Website, also das Was, der CSS-Teil übermittelt das Wie, also wie die Inhalte angeordnet werden und wie sie aussehen sollen. Google Fonts können über beide Teile angefordert werden. Konkret könnte das zB so aussehen:

HTML:

<link rel=“preconnect“ href=“https://fonts.googleapis.com„>
<link rel=“preconnect“ href=“https://fonts.gstatic.com“ crossorigin>

CSS:

<style>
</style>

 

Als Suchbegriff im eigenen Code würde sich also zB „googleapis“ anbieten. Befindet sich dieses Wort in ihrem Code, verwendet ihre Website mit an Sicherheit grenzender Wahrscheinlichkeit Google Fonts. Es gibt aber auch Tools, die das für einen erledigen, etwa dieses da: https://google-fonts-checker.54gradsoftware.de/

Warum ist das ein Problem?

Nun ja, grundsätzlich ist das kein Problem, es stellt sich aber eine datenschutzrechtliche Frage, die zumindest rechtlich nicht präzise geklärt ist. Wenn jemand ihre Website aufruft, wird diese Person nicht davon informiert, dass sie Google Fonts verwenden und es wird auch keine Erlaubnis für die Verwendung eingeholt, anders als das etwa bei Cookies der Fall ist. Das heißt, dass über ihren Server eine Weiterleitung an Google stattfindet, ohne dass das für den Besucher / die Besucherin erkenntlich ist. Das ist technisch nicht immer gleich ausgestaltet. Manchmal besorgt sich ihr Server die Schriftart für den Browser des Users, manchmal wird ihre IP an Google weiter geschickt, manchmal besorgt sich der Browser des Users selbst die Schriftarten. Das ist also nicht eindeutig, was eine rechtliche Einordnung auch so schwierig macht und deswegen versuchen wir uns darin auch erst gar nicht. Schon richtig ist, dass eine Weitergabe der IP der Person, die ihre Website besucht, ohne Zustimmung oder Kenntnis der Person stattfinden kann. Wohin diese IP dann verschickt wird, ob sie in Europa verbleibt, oder in die USA geht, ob die irgendwo mitgespeichert wird etc, liegt weder in ihrer, noch in der Hand der Person, die eigentlich nur ihre Website ansurfen wollte.

Und kann man das verhindern?

Ja! Sie können nämlich diese Schriftarten weiter nutzen wie bisher, indem sie die benötigten Schriftarten einfach selbst „hosten“, also von Google herunter laden und sie auf ihren Server für ihre Besucher*innen bereitstellen. Damit hat sich der datenschutzrechtliche Graubereich erledigt. Wie das geht, können sie zB hier nachlesen: https://google-webfonts-helper.herokuapp.com/fonts

Auf dieser Website finden sich links am Bildschirm alle Google Fonts und man bekommt den entsprechenden Code generiert. Darunter ist dann der jeweilige Download-Link zu finden. Die Schriftart muss dabei auf ihrem Webserver im möglicherweise zu erstellenden Ordner „Fonts“ abgelegt werden.

Noch einfacher wird die Sache, wenn man ein Content Management System in Verwendung hat, also zB WordPress. Da gibt es unzählige Plugins, die Google Fonts mit wenigen Klicks auf ihren Server bringen. Ein sehr einfaches wäre zB das hier: https://wordpress.org/plugins/easy-google-fonts/

Was ist der Vorteil?

Also abgesehen davon, dass sie rechtlichen Schwierigkeiten und damit auch solchen Abmahnschreiben aus dem Weg gehen, ist es bestimmt auch in ihrem Sinne, ihre Kund*innen nicht etwaigen Datensammlern auszusetzen. Das ist einfach umsichtiges Handeln. Darüber hinaus kann es einen kleinen Geschwindigkeitsvorteil bringen, weil die Schriftarten nicht von was weiß der Kuckuck her herangekarrt werden müssen, sondern eben schon vor Ort auf ihrem Server bereit liegen. Nicht zuletzt verhindern sie damit auch, dass Google sie ausspioniert, weil natürlich mit jeder Weiterleitung ihres Servers auch mitgelogged wird, wer sich wann auf ihrer Website die Zeit vertreibt.

Es ist also jedenfalls eine gute Sache, wenn sie das entweder selbst erledigen oder erledigen lassen. Da es sich um eine sehr kleine Anpassung handelt und es eben auch rechtliche Unwegbarkeiten gibt, erledigt ihnen das ihr Anbieter meist sogar gratis. Weisen sie ihn einfach in freundlichem Ton darauf hin, dass sie als Kunde davon ausgehen, dass ihr Dienstleister sie vor solchen Dingen bewahrt und dass sie das gerne so gemacht haben wollen, also als „selbst-gehostete Google Fonts“.

Und was ist jetzt mit dem Abmahnschreiben?

Diese Sache ist leider mit Stand heute 23.8.2022 noch ungeklärt. Wir können keine Rechtsberatung stellen, raten aber ohne Gewähr dazu, erstmal nichts zu machen. Falls sie dennoch aktiv werden möchten, gibt es hier (https://www.dataprotect.at/musterschreiben/auskunft-google-web-fonts/) ein Musterschreiben, um die Abmahnung zu beeinspruchen. Der Streitwert ist aber nicht so hoch, dass wir finden würden, dass man sich damit belasten müsste. Wenn sie insofern aktiv werden, dass sie Google Fonts in Zukunft lokal einbinden, kann ihnen jedenfalls kein Vorsatz unterstellt werden und damit wird sich die Sache wahrscheinlich erledigt haben. Ob es dann so kommt, wird hier zur Zeit nachgetragen. Zwar ist die DSGVO nicht bloß eine Handlungsempfehlung, sondern gültiges Recht, aber gerade in diesem Fall sind noch so viele Dinge ungeklärt, dass Entspannung hier sicher erstmal angebracht ist. Die Frist für eien DSGVO Auskunft, wie das in diesem Schreiben auch gefordert wird, liegt bei einem Monat, unter Angabe von Gründen bei 3 Monaten. Also da rinnt noch viel Wasser die Donau hinab.

Wir halten sie am Laufenden!

Update 06.09.2022

Der erwähnte Anwalt war bis 2016 im Bundesvorstand der Piratenpartei. Die Piratenpartei hat erst durch Pressemeldungen und über abgemahnte Personen aus dem Umfeld oder von direkt abgemahnten Parteimitgliedern davon erfahren. Er handelt unabhängig als Anwalt.

Piratenpartei abonnieren:
Facebook
Twitter
RSS

4 Kommentare

  1. 1
    Verpisst Euch

    Dass der liebe Herr Anwalt mit seinen automatisierten Abmahnverfahren ein Bundesvorstand der Piratenpartei war, erwähnt ihr nicht?

    • derHolo

      Weiß ned was es zur Sache tut dass er sich mal in der Partei engagiert hat. Ich mein, er hat selbst einen ehemaligen Piraten BV abgemahnt. Ich persönlich finds gut dass die DSGVO stärker ins Bewusstsein rückt, aber mit der Art und Weise, wie das geschehen soll, bin ich absolut nicht einverstanden.

  2. 2
    Matthias

    Ist besagter Anwalt eigentlich noch in ihrer Partei engagiert?

    • petertheone

      Wir geben grundsätzlich keine Auskunft über das Engagement oder die Mitgliedschaft von Einzelpersonen in der Partei. Öffentlich bekannt ist seine Aktivität im Bundesvorstand bis 2016.