Momentan rollt eine Abmahnwelle durch Deutschland, bei der es um die Verwendung von Schriftarten geht, die durch Google bereitgestellt werden. Sogenannte Google Fonts.
Werden diese Google Fonts beim Aufruf einer Website von den Servern von Google in den USA geladen, wird die IP-Adresse (ein persönliches Datum) des Website-Besuchers in die USA (ein unsicheres Drittland) übertragen.
Das Laden dieser Google Fonts von den Servern von Google ist bisher ein übliches Vorgehen. Auch der Text, den Sie gerade lesen, wird in der von Google bereitgestellten Schriftart Poppins dargestellt. Allerdings wird diese Schriftart von unserem eigenen Server und nicht von Google’s Server in den USA bereitgestellt. Und genau darum geht es.
Was ist passiert?
Das Landgericht München urteilte, dass der Beklagte das Recht des Klägers auf informationelle Selbstbestimmung verletzt hat, indem er die IP-Adresse des Klägers an Google weiterleitete, als dieser dessen Website aufrief. Grund dafür war die oben beschriebene, bisher gebräuchliche Einbindung von Google Fonts von Google’s Servern in den USA.
„Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist.“
Das Gericht sprach dem Kläger einen immateriellen Schadensersatz in Höhe von 100 Euro zuzüglich Zinsen zu (Az. 3 O 17493/20). Dieses Urteil wird von einigen Kanzleien (u. a. Anwaltskanzlei RAAG für Herrn Wang YU, Anwaltskanzlei Kilian Lenard für Herrn Martin Ismail IG Datenschutz) dafür genutzt, massenhaft Abmahnungen zu verschicken, in denen zur Zahlung eines Schadenersatzes in Höhe von 170 Euro, bzw. 226,10 Euro aufgefordert wird.
Ob diese Abmahnungen Erfolgsaussichten haben, wird allgemein als eher gering eingestuft. Wir dürfen keine Rechtsberatung geben, aber können prüfen, ob Ihre Website betroffen ist und ob es noch weitere Dienste gibt, die die IP-Adresse Ihrer Besucher unerlaubt weitergeben.
Was sollte jetzt getan werden?
Das Urteil sollte zum Anlass genommen werden, die eigene Website vollständig auf die Verwendung von Diensten zu überprüfen, die die IP-Adresse des Besuchers ohne dessen Zustimmung in ein unsicheres Drittland weiterleiten.
Ebenso sollte in diesem Zuge geprüft werden, ob von diesen Diensten Cookies gesetzt werden. Cookies sind kleine Textdateien, die beim Besuch einer Webseite auf dem Rechner des Besuchers gespeichert werden. Auch dies darf nur nach der Zustimmung des Besuchers passieren.
Wie erkenne ich, ob meine Website betroffen ist?
Ob auf Ihrer Website eine Karte (Google Map) eingebunden ist oder ob bei Ihnen ein Video eingebunden ist, auf dem das Logo von YouTube zu erkennen ist, ist für Sie relativ einfach selbst zu erkennen, wenn Sie auf Ihre Website schauen. Bei anderen Diensten ist dies schon schwerer, da diese nicht direkt erkennbar auf Ihrer Website eingebunden sind.
Dennoch dürfen diese nur nach vorheriger Zustimmung bzw. lokal eingebunden werden. Zu den bekanntesten und am häufigsten verwendeten Diensten, die bei falscher Verwendung abmahnfähig sind, gehören die folgenden:
- Google Fonts (Schriftarten, die von Google bereitgestellt werden)
- Google Maps (eingebundene Kartenansicht auf Ihrer Website)
- Google reCaptcha (zur Vermeidung von Spam bei Kontaktformularen)
- Google Analytics (Analysetool zum Messen des Verhaltens von Besuchern)
- YouTube (Einbindung von YouTube-Videos auf Ihrer Website)
- Facebook-Pixel (überträgt verschiedene Daten an Facebook)
- FontAwesome (Schriftart, die Icons auf Ihrer Website darstellt)
Hierzu können Sie gerne Kontakt zu uns aufnehmen, sodass wir Ihre Website auf solche Einbindungen überprüfen. Welche Möglichkeiten Sie dann haben, erläutern wir im nächsten Abschnitt.
Welche Möglichkeiten gibt es?
Wenn auf Ihrer Website die genannten Dienste oder auch hier nicht genannte Dienste verwendet werden, gibt es prinzipiell 4 Möglichkeiten zu handeln. In jedem Falle muss nach einer Anpassung auch Ihre Datenschutzerklärung aktualisiert werden. Sofern Sie noch keine Datenschutzerklärung haben, sollte diese dringend erstellt und eingebunden werden.
1. Auf den Einsatz solcher Dienste vollständig verzichten
Sofern Sie die verwendeten Dienste nicht unbedingt benötigen, können diese vollständig von Ihrer Website entfernt werden.
2. Dienste einsetzen, die datenschutzrechtlich unbedenklich sind
Diese gibt es teilweise, aber auch bei anderen Anbietern und insbesondere bei denen, die ebenfalls in den USA beheimatet sind, muss vor der Verwendung eine Zustimmung eingeholt werden.
3. Die Zustimmung des Besuchers einholen
Dies geschieht abhängig vom Dienst durch ein Cookie-Consent-Tool oder eine Zwei-Klick-Lösung. Bei beiden Optionen muss der Besucher der Verwendung seiner Daten zustimmen, bevor eine Verbindung zu externen Servern hergestellt wird und / oder ein Cookie gesetzt wird. Er hat somit die Möglichkeit die Weitergabe seiner IP-Adresse oder das Setzen von Cookies abzulehnen.
Hintergrundinformationen zu einzelnen Diensten und Möglichkeiten, diese so einzusetzen, dass es erlaubt ist, zeigen wir in den folgenden Abschnitten auf.
Google Fonts lokal einbinden
Ist in der Programmierung Ihrer Website eine Zeile wie auf dem folgenden Bild enthalten, wird die Schriftart „Open Sans“ von einem Server von Google geladen. Dadurch wird die IP-Adresse Ihres Besuchers in die USA übertragen, was in dem oben beschriebenen Fall zu der Zahlung von Schmerzensgeld und in der Folge zu der Abmahnwelle geführt hat.
Eine solche Zeile ist allerdings nur der offensichtlichste Weg der Einbindung. Es können auch an anderen, schwieriger ausfindig zu machenden Stellen Google Fonts von Google’s Servern geladen werden.
Lösung: Die Verbindung zu Google’s Servern trennen und die Schriftarten lokal auf dem eigenen Server einbinden.
FontAwesome lokal einbinden
So wie auch bei der Einbindung von Google Fonts, ist bei vielen Websites die Icon-Schriftart „FontAwesome“ eingebunden, über die verschiedenste Icons dargestellt werden können. Auch hier werden diese Icons oft direkt von Servern geladen, die in den USA stehen. Da auch hier eine Weitergabe der IP-Adresse in ein unsicheres Drittland erfolgt, darf FontAweseome so ebenfalls nicht mehr verwendet werden.
Lösung: Die Verbindung zu FontAwesome’s Servern trennen und die Icon-Schriftart lokal auf dem eigenen Server einbinden.
Cookie-Consent-Tool für Google Analytics und Facebook-Pixel
Für Dienste, die in der Regel im Hintergrund laufen und meistens für Statistik- und Marketing-Zwecke eingebunden sind, gibt es das mittlerweile allseits bekannte Cookie-Consent-Tool.
Erst, wenn der Besucher der Verwendung seiner Daten zugestimmt hat, dürfen die dort angegebenen Dienste aktiviert werden. Die korrekte Einrichtung ist hierbei sehr wichtig. Die am häufigsten verwendeten Dienste sind die von Google Analytics zur Messung des Verhaltens Ihrer Besucher und das Facebook-Pixel, welches Daten an Facebook überträgt.
Honeypot statt Google reCaptcha
Google reCaptcha verhindert das Versenden von Spam über Ihre Kontaktformulare nahezu vollständig, lädt aber u. a. auch Google Fonts nach und überträgt die IP-Adresse Ihrer Besucher ebenfalls in die USA.
Lösung: Als Ersatz kann ein sogenannter Honeypot (Honigtopf) verwendet werden. Dieses Feld ist für Ihre Besucher unsichtbar und wird daher nicht ausgefüllt. Spam-Bots (zusammengesetzt aus Spam = „unerwünschte elektronische übertragene Nachrichten“ und Bot = „weitgehend autonom agierendes Computerprogramm“) füllen dieses Feld in der Regel aus, wodurch sich das Formular nicht mehr abschicken lässt. Wahlweise kann auch eine Matheaufgabe oder die Aufforderung zur Eingabe einer Zeichenfolge eingebunden werden. Hiermit erschwert man aber auch echten Besuchern die Kontaktaufnahme.
Hier darf allerdings nicht zu viel versprochen werden. Die Erfahrung hat gezeigt, dass die Menge an Spam-Mails trotz anderer Methoden ansteigt.
YouTube – Externe Verlinkung oder Zwei-Klick-Lösung
Ist ein YouTube-Video auf Ihrer Website eingebunden, wird beim Aufruf Ihrer Website eine direkte Verbindung zu den Servern von Google hergestellt. Die IP-Adresse wird dabei an die Server von Google übertragen, ohne, dass der Besucher die Möglichkeit hatte, dies zu verhindern.
Lösung: Die einfache Lösung ist die Verlinkung des Videos direkt auf YouTube. Hierbei verlässt der Besucher allerdings Ihre Seite und ist damit unter Umständen für Sie „verloren“.
Mit der Zwei-Klick-Lösung bleibt der Besucher auf Ihrer Website und hat die Wahl, selbst darüber zu entscheiden, ob seine IP-Adresse übermittelt wird oder nicht.
Google Maps – Externe Verlinkung oder Zwei-Klick-Lösung
Auch bei der Verwendung von Google Maps, wird beim Aufruf Ihrer Website eine Verbindung zu den Servern von Google hergestellt. Sofern Sie auf Ihrer Website eine Google Map sehen, die ohne Zustimmung geladen wird, sollte dies unterbunden werden.
Lösung: Zum einen kann man auch hier einen Link setzen, über den der Besucher Ihre Seite verlässt und Ihren Standort direkt bei Google Maps sieht. Hier ein Beispiel: Hier finden Sie unseren Standort auf Google Maps.
Eine andere Lösung, bei der der Besucher auf Ihrer Website verbleibt, ist die Zwei-Klick-Lösung für Google Maps. Auch hier kann der Besucher selbst entscheiden, ob seine Daten an Google übertragen werden oder nicht.
Nehmen Sie Kontakt auf
Wir überprüfen, ob auf Ihrer Website Google Fonts eingesetzt werden, die von Google’s Servern geladen werden. Bei Webseiten, die auf keinem System basieren (reine HTML-Websites) und bei den Content-Management-Systemen (CMS) Joomla! und WordPress, binden wir Ihnen diese Schriftarten gerne lokal ein.
Wenn Sie YouTube-Videos oder Google Maps auf Ihrer Website sehen, ohne, dass diese zuerst freigeschaltet werden müssen, besteht ebenfalls Handlungsbedarf. Ob Sie weitere Dienste verwenden, für die Anpassungen notwendig sind, überprüfen wir in diesem Zuge gerne.