Immer wieder erhalten viele Webseiten-Betreiber aus Deutschland, Österreich und der EU Abmahnschreiben wegen Verstößen gegen die DSGVO. Es geht um den Einsatz von „Google Fonts“, ein Service, der von Google bereitgestellt wird und genutzt werden kann, um eine große Auswahl an Schriftarten kostenlos auf Webseiten einzubinden. Millionen von Webseiten auf der ganzen Welt setzen Google Fonts ein, ohne über die Konsequenzen im Hinblick auf den Datenschutz Bescheid zu wissen.
Begründet wird die Abmahnung durch eine unzulässige Weitergabe der IP-Adressen einzelner Nutzer in die USA. Beim Laden der Schriftarten stellt das Gerät des Nutzers eine Verbindung zu Google Servern her und übermittelt somit die eigene IP-Adresse. Da die USA laut DSGVO als unsicheres Drittland und IP-Adressen als personenbezogene Daten gelten, ist die Weitergabe ohne explizite Einwilligung des Nutzers unzulässig.
Das Landgericht München sprach Anfang 2022 Klägern einen Schadensersatz aufgrund der Verwendung von Google Fonts ohne Einwilligung zu. In vielen Fällen stützen sich die Abmahnschreiben auf dieses Urteil. Ob die Abmahnwelle basierend auf diesem Urteil gerechtfertigt und den Forderungen nachgegeben werden sollte, ist allerdings umstritten. Klar ist jedoch, dass auf der technischen Seite gehandelt werden sollte.
Prüfung der eigenen Webseite
Um zu prüfen, ob die eigene Webseite betroffen ist, kann im Quelltext nach „fonts.googleapis.com“ und „fonts.gstatic.com“ gesucht werden. Der Quelltext einer Webseite kann durch „Rechtsklick – Seitenquelltext anzeigen“ oder durch die Tastenkombination „Strg + U“ eingesehen werden. Sollte eine der beiden Domänen im Quelltext auftauchen, ist die Wahrscheinlichkeit groß, dass Schriftarten von Google Fonts auf der Webseite eingesetzt werden. Alternativ können Ihnen kostenlose Dienste wie der Google Fonts Checker direkt mitteilen, ob eine bestimmte Webseite betroffen ist. Im Falle eines Einsatzes von Google Fonts sollten Sie die betreffenden Einbindungen umgehend blockieren und Google Fonts lokal einbinden.
Auch wenn bereits eine Abmahnung erhalten wurde, ist in jedem Fall zu prüfen, ob es sich um einen gerechtfertigten Vorwurf handelt. Bei der offenbar sehr großen Menge an verschickten Abmahnschreiben ist nicht auszuschließen, dass automatisierte Software wie sogenannte Crawler eingesetzt wurden, um potenzielle Verstöße festzustellen.
Alternativen zu Google Fonts
Die einfachste Möglichkeit, um die Nutzung von Google Fonts auf der eigenen Webseite zu vermeiden, ist die lokale Einbindung der Schriftart. Dabei wird keine Verbindung zu externen Servern aufgebaut und so auch nicht die IP-Adresse des Nutzers übermittelt.
Um dies zu erreichen, kann die Schriftart ganz einfach von der Google Fonts Webseite heruntergeladen und dann direkt auf dem eigenen Webserver bereitgestellt werden. Die Schriftarten können nun wie gewohnt über einen Link-Tag im Head-Bereich der Webseite geladen werden. Hierbei muss nur die fonts.googleapis.com URL durch die URL der Schriftart auf dem eigenen Webserver ersetzt werden. Wenn Sie ein Content Management System (CMS) einsetzen, empfiehlt sich die Recherche nach einem Google Fonts Blocker Plugin. Für WordPress existiert beispielsweise das kostenlose Plugin Borlabs Font Blocker.
Google Fonts und reCAPTCHA
Selbst wenn Google Fonts nicht direkt auf der Webseite eingebunden wurde, werden die Schriftarten dennoch durch bestimmte Google-Integrationen von den Google-Servern geladen. So werden beim Einsatz von reCAPTCHA ebenfalls Schriftarten von Google Fonts geladen. reCAPTCHA ist eine Lösung von Google, welche von Webseiten-Betreibern für die Bekämpfung von Spam-Angriffen, Bots und ähnlichem eingesetzt wird.
Wird also reCAPTCHA auf einer Webseite eingesetzt, verstößt dieses ohne explizite Einwilligung des Nutzers ebenfalls gegen die DSGVO. Auch abgesehen von der Einbettung von Google Fonts durch reCAPTCHA ist der Einsatz unter den Gesichtspunkten der DSGVO schwer vertretbar.
Um diesbezüglich auf der sicheren Seite zu sein, sollte also die Nutzung sowohl von Google Fonts als auch von Google reCAPTCHA vermieden werden.
Alternativen zu reCAPTCHA
Eine DSVGO-konforme Alternative zu reCAPTCHA ist Friendly Captcha. Friendly Captcha ist auf die Privatsphäre der Nutzer fokussiert und sammelt keine personenbezogenen Daten, die über die bereitgestellte Funktionalität hinausgeht. Es wird von einem Entwickler-Team in Deutschland entwickelt und läuft auf Servern in Deutschland. So müssen keine Daten in Drittländer übermittelt werden.
Friendly Captcha ist zudem eine nutzerfreundliche Lösung, um Spam, Massenangriffe und Bots abzuwehren. Nutzer müssen in keinem Fall manuell ein Puzzle lösen. Die Verifizierung findet vollautomatisch im Hintergrund statt und basiert auf kryptographischen Puzzles, die vom Browser gelöst werden. So ist der Eingriff für den Nutzer minimal und das Captcha ist barrierefrei für alle Benutzergruppen.
Wenn Sie Friendly Captcha selbst ausprobieren möchten, können Sie sich die Live-Demo ansehen. Weitere Informationen über Friendly Captcha finden Sie hier.
