Heute geht es um ein sehr aktuelles und gleichzeitig doch auch irgendwie altes Thema. Gemeint sind die Google Fonts und ihre Schwierigkeiten in Verbindung mit der DSGVO. Doch betroffen sind im Grunde nicht nur Google Fonts, sondern vielmehr Einbindungen aller Art, unter anderem auch die Nutzung von einem CDN oder ähnlichen Techniken.
Wann immer etwas von US-Servern bzw. US-Diensten abgerufen wird, stellt dies im Sinne der DSGVO ein Problem dar. Warum das so ist, was ihr tun müsst und warum ihr am besten augenblicklich handeln solltet, um keine Schwierigkeiten zu bekommen, erkläre ich euch nun gerne noch einmal etwas ausführlicher.
Außerdem zeige ich euch, wie ihr die Google Fonts in WordPress deaktivieren könnt und erkläre weiter unten zusätzlich, wie diese lokal eingebunden werden können. Als lokale Dateien stellen die Google Fonts nämlich kein Problem dar.
Warum sind Google Fonts ein DSGVO-Problem?
Seit der DSGVO dürfen Nutzerdaten nicht mehr ohne Weiteres an Services aus den USA übertragen werden. Vor allem nicht ohne vorherige Einwilligung, aber selbst mit einer solchen Einwilligung nicht immer. Dies entschied vor Kurzem das Landgericht München (Az. 3 O 17493/20).
Denn geschieht dies ohne Einwilligung der Nutzer, stellt es eine »Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar«, wie das Gericht klarstellte. Gemeint war in dem Urteil ein Fall, bei dem die IP-Adresse des Nutzers an Google übertragen worden war.
Warum? Weil die entsprechende Website Google Fonts nutzte und die IP-Adresse beim Abruf vom US-Dienst automatisch mit übertragen wurde. Bei jeder Verbindung zu den Google Fonts wird nämlich ebenfalls die IP-Adresse gesendet. Und genau das ist seit der DSGVO nicht mehr erlaubt. Auch deshalb, weil die betreffende Website vorab keine Einwilligung diesbezüglich von den Nutzern eingeholt hatte.
https://t3n.de/news/google-fonts-illegal-urteil-dsgvo-1447698/
Sind Google Fonts mit einer Einwilligung immer legal?
Nun wird der ein oder andere denken, dass eine sogenannte Cookie-Benachrichtigung bzw. eine Consent-Banner ihn vor etwaigen Klagen schützen wird. Dem ist aber nicht zwangsläufig so. Zwar bezieht sich das Gerichtsurteil auf einen Fall ohne eine solche Einwilligung, doch der Betreiber argumentierte auch hier mit einem »berechtigten Interesse« im Sinne der DSGVO. Diese Ausnahme gibt es, sie ist jedoch nicht klar formuliert. Was also ist überhaupt ein berechtigtes Interesse im Sinne der DSGVO?
Bei dem Urteil und im Falle der Google Fonts lag dieses »Berechtigte Interesse« nach DSGVO nicht vor. Google Fonts können problemlos heruntergeladen werden, um sie lokal einzubinden. Der Kontakt zu den Google-Servern wäre somit nicht notwendig und deshalb besteht auch kein berechtigtes Interesse einer Verwendung, die mit der DSGVO in Einklang zu bringen wäre.
Ob die Google Fonts mit einem Cookie-Banner und Hinweis darauf, der eine aktive Zustimmung der Nutzer erfordert, automatisch legal werden, steht ebenfalls in den Sternen. Vor allem deshalb, weil die Einbindung problemlos anders möglich ist. Nicht alles wird automatisch legal, nur weil Nutzer darüber informiert wurden. Diesbezüglich gibt es bislang aber zumindest noch kein Urteil.
Update: https://t3n.de/news/google-fonts-illegal-urteil-dsgvo-1447698/
Wie findet man heraus, ob Google Fonts genutzt werden?
Wer WordPress als Content Management System einsetzt, der weiß oft gar nicht so genau, wie das alles funktioniert. Kein Wunder, schließlich soll WordPress euch die Sache einfacher machen und somit bleiben viele technische Aspekte im Hintergrund versteckt. Ob Cookies gesetzt oder Google Fonts geladen werden, wird da im Einzelfall gar nicht erst kontrolliert.
Um als Anfänger zu prüfen, ob Cookies gespeichert oder eine Verbindung zu Google Fonts stattfindet, kann ich euch das folgende Tool empfehlen. Einfach eure Website eintragen und unter »Drittanfragen (Third Party)« schauen, welche Domains dort aufgeführt werden. Theoretisch könnt ihr dies auch mit den Dev-Tools im Browser erledigen, doch das dürfte für unerfahrene Anwender ungleich komplizierter sein.
Sind hier die Domains »gstatic.com« oder »googleapis.com« zu finden, stellt dies bereits ein Problem in Bezug auf die DSGVO dar. Es sei denn, ihr seid euch dessen bewusst, nutzt einen Cookie-Banner und aktiviert die Verbindung erst nach Zustimmung eurer Nutzer. Selbst dann könnte dies aber, wie oben erwähnt, weiterhin problematisch sein.
Wie kann man die Google Fonts in WordPress deaktivieren?
Nun ist es bei WordPress so, dass Google Fonts nicht immer über das Theme integriert werden. Auch Plugins fügen selbige gerne mal automatisch hinzu. Sie sind oft dort, wo sie nicht vermutet werden, weshalb der eben erwähnte Test so viel Sinn ergibt. Viele Blogger wissen gar nicht, dass über von ihnen verwendete Plugins auch Google Fonts hinzukommen und somit geladen werden.
Die einfachste Lösung ist das Disable an Remove Google Fonts Plugin. Nach der Installation könnt ihr den Test von oben abermals durchführen und dort sollten dann keine Domains mehr von Google bzw. Google Fonts auftauchen. Auch Autoptimize hat inzwischen eine Option hinzugefügt, um Google Fonts gänzlich abzuschalten. Letztere funktioniert leider nicht immer.
Händisch ist dies nur für Profis möglich. Lasst lieber die Finger davon, wenn ihr nicht wisst, wie es geht, weil der Schaden sonst ungleich höher ausfallen kann. Wer sich in diesem Bereich nicht auskennt, darf mich jederzeit um Hilfe bitten, damit ich seinen Blog entsprechend überprüfe. Gerne sorge ich auch für eine lokale Speicherung der Google Fonts. Auf diese Weise könnt ihr die Schriftarten weiter in eurem Blog verwenden, ohne Probleme mit der DSGVO zu bekommen.
Weitere Plugins wären noch:
Wie werden die Google Fonts lokal eingebunden?
Um Google Fonts lokal einzubinden, müsst ihr diese zunächst einmal herunterladen. Da die Google Fonts Open Source Schriftarten sind, könnt ihr dies direkt auf der Website selbst erledigen. Google bietet dafür inzwischen auch eigene Buttons an. Früher war der Vorgang etwas komplizierter.
Wählt dazu die von euch gewünschte Schriftart aus. Oben rechts könnt ihr die gesamte Schriftfamilie anschließend per Button herunterladen. Alternativ ist es möglich, verschiedene Styles zu aktivieren, um im nächsten Punkt mit »Download all«, nur die ausgewählten Typen herunterzuladen.
Wie ihr die Schriftart anschließend in euren WordPress Blog bringt, bleibt euch überlassen. Am einfachsten ist die Integration via Stylesheet. Die Schriftarten können dabei in den Ordner eures Themes geladen werden. Kompliziert ist das nicht, wenn ihr die Grundlagen von WordPress und CSS beherrscht. Wer Hilfe benötigt, darf mich aber auch gerne kontaktieren.
Was muss im Sinne der DSGVO sonst noch beachtet werden?
Problematisch werden neben Google Fonts sicherlich auch alle anderen Dienste, die aus den USA stammen und bei denen kein ernsthaft »Berechtigtes Interesse« nach DSGVO vorliegt. Egal ob Captcha, Hosting oder CDN. Hier muss sich noch zeigen, wie sich die Lage entwickelt. Grundsätzlich sollten für alle externen Services aber Zustimmungen über einen Cookie-Banner eingeholt werden. Was alles nötig ist, hatte ich euch in diesem Artikel schon einmal aufgezeigt.
Für weniger erfahrene Nutzer ist all das eine große Hürde. Selbst Experten wissen in vielen Bereichen derzeit nicht, wie sich die Regeln bezüglich DSGVO entwickeln werden. Eine Menge ist dabei noch völlig unklar und wird sich erst mit weiteren Urteilen oder Klarstellungen und Änderungen zeigen.
Videos dürften beispielsweise ein »Berechtigtes Interesse« darstellen, da das Hosten auf dem eigenen Server nicht sinnvoll ist und YouTube im Marketing relevant sein kann. Auch hier müssen Videos dann aber über Zwei-Klick-Lösungen integriert werden. An dieser Stelle findet ihr mehr dazu.
Damit ihr auf der sicheren Seite seid, helfe ich euch gerne bei der Umsetzung, Aktualisierung und Wartung eurer Blogs. Schreibt mir eine Mail oder ruft sofort an, wenn euch etwas unsicher erscheint oder ihr ganz allgemein Hilfe und Unterstützung mit WordPress benötigt. Bis dahin.
1 Kommentar
Felix Martins
Ich finde es komisch, dass Unternehmen sich beschweren und dabei aber oftmals Google Analytics ohne Einwilligung verwenden. Die Hälfte der Cookie-Banner funktioniert auch nur pseudomäßig.
Ich habe meine Seiten alle mit einem Google Font Checker geprüft und dann richtig eingebunden. Problem gelöst!
Google-Fonts-Checker: https://happyworx.de/google-fonts-checker
Danke für den Beitrag, weiter so 😀