Was sind Google Fonts?
Wenn wir Webseiten designen, dann legen wir viel Wert auf das große Ganze. Alles muss stimmig sein und zueinander passen. Das gilt selbstverständlich auch für die Schriftart. Doch da die unterschiedlichen Betriebssysteme von Microsoft, Apple und Co. kaum Überschneidungen bieten, die Webseiten überall aber gleich aussehen sollen und unsere Designer sich gerne austoben, müssen wir als Entwickler irgendwie die Schriftarten für jeden verfügbar machen.
Neben zahlreichen anderen erfolgreichen Diensten bietet Google ebenfalls die wohl beliebteste Sammlung an kostenlosen Open Source Schriftarten über ein so genanntes CDN an. Um die Entwicklung einfacher zu machen und so Geld zu sparen, binden viele Webseiten diese Schriften von Google ein. Bei dem ersten Besuch der Seite lädt dann der Browser ohne große Umwege die Datei mit der Schriftart von den Servern von Google herunter. Extra „Keks-Punkte“, wer hier schon das Problem sieht.
Was ist passiert?
Am 1.2.2022 hat das Landgericht München in einem Urteil (Az. 3 O 17493/20) beschlossen, dass diese Praxis, zumindest für Fonts, rechtswidrig ist.
„Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar.“ (Quelle)
Die IP-Adresse gelte hierbei als personenbezogenen Datum, welches ohne vorherige Zustimmung des Klägers weitergegeben wurde. Zudem fehlte es an berechtigtem Interesse im Sinne der Datenschutzgrundverordnung (DSGVO), da der Einsatz der Fonts auch ohne den externen Server und damit ohne Verbindung zum Google Server genutzt werden könnten.
Dieser Verstoß kann teuer werden. Dem Beklagten kann ein Ordnungsgeld in Höhe von bis zu 250.000 € auferlegt werden. Ersatzweise ist auch eine Ordnungshaft von bis zu 6 Monaten möglich, sollte der Betreiber das Weitergeben der IP-Adressen nicht einstellen. Zusätzlich muss der Beklagte 100 € Schadensersatz zahlen.
Was bedeutet das Urteil?
Google Fonts sind tot, lang lebe Google Fonts! Am einfachsten umgeht man solche Probleme, in dem man komplett drauf verzichtet und nur vorinstallierte Fonts benutzt. Arial und Helvetica sind ja ähnlich genug, oder? Alternativ kann man natürlich auch den Hinweis darauf im Cookie-Banner mit integrieren und bis der Nutzer zugestimmt hat nur die Default Fonts anzeigen.
Die dritte und beste Vorgehensweise ist allerdings, die Fonts selbst zu hosten. Die Dateien aus Googles CDN sind alle mit einer Open Source Lizenz versehen und können so frei heruntergeladen und selbst ausgespielt werden. Apps wie zum Beispiel der google-fonts-webhelper unterstützen einen dabei und reduzieren den Aufwand enorm.
Doch nicht nur Fonts werden über CDNs ausgeliefert, sondern auch eingebundene Werbung oder Skriptbibliotheken wie JQuery. Denkt man das Urteil der Münchener weiter, so ist auch das Laden dieser ohne vorherige, explizite Zustimmung verboten.
Status quo bei Weder & Noch
Wir hosten selbstverständlich seit Jahren solche Inhalte selbst. Wenn wir externe Dienste wie Karten oder eine Anbindung an einen externen Dienstleister verwenden, dann schleusen wir dies durch den Server und verschleiern so die IP des Nutzers, oder wir Fragen explizit im Cookie Banner nach der Zustimmung und laden bis dahin die Inhalte nicht.
Sollten Sie Fragen zu Ihrer eigenen Webseite haben oder unsicher sein, ob Sie von diesem Urteil selbst betroffen sind, nehmen Sie gerne Kontakt zu uns auf.
PS.: Mehr zu diesem Thema lesen Sie hier.