Seit einigen Wochen werden Abmahnungen wegen Verstöße gegen die DSGVO verschickt. Schuld daran ist der Dienst Google Fonts, welcher bei Tausenden Websites in Verwendung ist. In diesem Artikel zeige ich dir, wie du dich gegen unangenehme Post schützen kannst und wie du grundsätzlich mit dem Thema Cookies umgehen solltest.
Disclaimer: Ich bin kein Datenschutzbeauftragter oder Anwalt für IT-Recht. Diesen Artikel schreibe ich nach bestem Gewissen und umfangreicher Recherche und Gesprächen mit Anwälten. Beauftrage zur Sicherheit stets einen Experten* auf diesem Gebiet, um dich vor Abmahnungen zu schützen.
2016 führte die Europäische Union die Datenschutz-Grundverordnung, kurz DSGVO, ein. Das selbst ernannte Ziel ist dabei, den Datenschutz der EU-Bürger sicherzustellen und zu vereinheitlichen. Klingt erst einmal logisch, denn Zustände wie in den USA gilt es definitiv zu vermeiden. Jedoch sind die Verordnungen teilweise so schwammig, dass Laien große Probleme bei der Umsetzung haben. Gerade kleine private Webprojekte können oder wollen sich keinen externen Datenschutzbeauftragten zur Beratung heranziehen.
Nach zweijähriger Übergangsfrist trat die DSGVO schließlich in Kraft. Wenn du ebenfalls digitaler Dienstleister bist, wirst du dich wahrscheinlich noch an die Tage im Mai 2018 erinnern. Mein Telefon stand zu dieser Zeit kaum still, denn je näher der Tag X rückte, desto panischer wurden die Webseitenbetreiber. In den Medien wurde das Thema DSGVO enorm gepusht. Kein Wunder, denn es standen astronomische Strafsummen im Raum. Teilweise war die Rede von bis zu 20 Millionen Euro Strafe beim Verstoß gegen die neuen Regeln. Datenschutzbeauftragte rieben sich die Hände dieser Tage, denn ihre Leistungen waren gefragter denn je.
Eine der wohl größten Änderung mit der DSGVO ist der Cookie-Banner, welcher den Besucher auf den meisten Webseiten begrüßt und nach Zustimmung fragt. Cookies sind dabei kleine Dateien, welche auf deiner Festplatte gespeichert werden und dienen zur Wiedererkennung des Nutzers. Wahrscheinlich kennst du das aus dem Shoppen im Internet. Du besuchst einen Onlineshop, klickst dich durch die Artikel und verlässt die Seite, ohne dass du etwas gekauft hast. Ein paar Tage später bist du wieder auf der Website unterwegs und dir werden alle Artikel, die du dir angeschaut hast, erneut vorgeschlagen - ohne dass du einen Account in diesem Shop angelegt hast.
Cookies sind per se erst einmal überhaupt nichts Schlimmes. Sie sorgen für eine positive User Experience, denn sie erhöhen den "Bequemheitsfaktor". Warum gibt es dann einen Aufschrei, wenn die kleinen Kekse doch so gut sind? Natürlich geht es dabei um Datensicherheit. Mit der Zustimmung der Cookies erhält der Betreiber der Website umfangreiche Daten über unser Surfverhalten auf der Internetseite, kann uns auf diesem Wege beispielsweise ähnliche Produkte vorstellen. Es findet also ein großer Austausch an Daten aus, was vielleicht nicht jeder Nutzer möchte.
Wichtig zu wissen: Cookies werden gerne in verschiedene Kategorien eingeordnet. Es gibt die essenziellen Cookies, welche technisch notwendig sind, um die Webseite grundsätzlich laufen zu lassen. Sie speichern Nutzereinstellungen, Log-ins oder aber den Inhalt des Warenkorbs. Diese lassen sich in den aufpoppenden Boxen auch nicht demarkieren. Die Website von Amazon schreibt beispielsweise:
"Cookies zur Gewährleistung der Betriebsbereitschaft können nicht deaktiviert werden, soweit wir sie verwenden, um unsere Dienste bereitzustellen."
Neben den technisch notwendigen Cookies gibt es zudem die Werbe-Cookies. Hier ist das Ziel ganz klar: Möglichst viel über den Nutzer erfahren. Mit der Einwilligung gibt es kaum noch Grenzen. Schaut man sich beispielsweise die Liste der verwendeten Cookies bei Amazon an, so wird der Nutzer eine lange Zeit brauchen, um die Seite überhaupt durch zu scrollen. Verstehen wird er sowieso nur einen Bruchteil.
Die EU sagt daher: "Der User sollte Herr über seine eigenen Daten sein!!11". Um dies zu gewährleisten, brachte der Rat ein paar verbindliche Rahmenbedingungen ins Rollen. Die Webseitenbetreiber dürfen weiterhin ihre Cookies platzieren, benötigen dafür aber die aktive Zustimmung der Nutzer.
Diese holen sie sich mit einer sogenannten Cookie-Box ein. Das sind kleine sichtbare Elemente, die beim Aufrufen der Webseite erscheinen. Die meisten Cookie-Tools haben drei Funktionen:
Wichtig: Vor der ausdrücklichen Zustimmung dürfen keine Werbe-Cookies verwendet werden. Dies haben viele Administratoren von Websites nicht verstanden und fühlen sich mit der einfachen Implementierung der Cookie-Boxen auf der sicheren Seite. Diese müssen in der Regel jedoch noch konfiguriert werden. Manche Anbieter dieser Tools haben mittlerweile auch einen Auto-Scan eingerichtet, welcher die gesamte Seite nach Cookies durchsucht und automatisch in die Abfrage einfließen lässt.
Werden Cookies vor Zustimmung gespeichert, verstößt dieses gegen die gültige DSGVO und du machst dich für IT-Anwälte abmahnbar / belangbar. Ob Verstöße gegen die DSGVO überhaupt abmahnbar sind, ist derzeit noch nicht final entschieden. Die Gerichte in Deutschland sind sich uneinig und bisher gab es komplett gegensätzliche Grundsatzentscheidung. Mein Tipp also: Sorge dafür, dass du gar kein Futter für Anwaltspost lieferst. Hole dir zur Not Hilfe von einem Experten in Sachen Datenschutz oder IT-Recht.
Um deine eigene Internetseite nach Cookies zu überprüfen, benötigst du keine speziellen Tools oder gar Expertenwissen. Nahezu jeder Browser kann dir genau zeigen, welche Cookies wann und wo gesetzt wurden. In dieser Anleitung verwende ich den Chrome-Browser aus dem Hause Google. Dieser ist mit einem weltweiten Marktanteil von fast 70 Prozent unangefochtener Marktführer.
Ist diese Leiste bei deiner eigenen Website leer? Perfekt! Dann werden keinerlei Cookies vor Zustimmung gespeichert. Wie bereits gesagt, gibt es jedoch auch Internetseiten, die ohne technisch notwendige Cookies nicht funktionieren. Solltest du einen Onlineshop betreiben, solltest du dich nicht wundern, wenn dort ein paar Cookie-Informationen aufgelistet werden.
Schaue dir die gesetzten Kekse einmal genauer an, um deren Funktion kennenzulernen. Wenn die angezeigten Daten nicht aussagekräftig genug sind, kannst du den Namen problemlos in die Suchmaschine deiner Wahl eintippen und dich über dieses Cookie informieren. Folgende Cookies sollten vor Zustimmung auf keinen Fall gespeichert werden:
Achtung: Dies ist nur ein kleiner Auszug an Diensten, welche gerne Daten auf den Webseiten abgreifen und in Deutschland besonders häufig eingebunden werden. Die Liste ist quasi unendlich lang und würde diesen Artikel hier komplett sprengen. Informiere dich ausgiebig über die Funktionalität deiner Cookies und hole dir bei Bedarf Hilfe von einem Experten.
Testweise kannst du eine Website deiner Wahl aufrufen und dir die Cookies vor Zustimmung anschauen. Klicke anschließend (ohne die Entwickler-Tools zu schließen) auf "Alle Cookies annehmen" (oder ähnliche Benennung) und schau, was passiert. Je nach Website-Typ werden zig Cookies geladen und auf deiner Festplatte gespeichert.
Gut zu wissen: Cookies lassen sich schnell und unkompliziert löschen. Dafür musst du nur die Einstellungen deines Browsers aufrufen und in der Suchfunktion nach "Cookies" suchen. Meist heißt die Funktion "Browserdaten löschen". Neben Cookies lassen sich hier auch der Browser-Cache und Browserverlauf löschen.
Derzeit hast du gar kein Cookie-Tool im Einsatz, hast beim Check aber gemerkt, dass Werbe-Cookies gespeichert werden? Dann solltest du sofort handeln und eine Software für die Zustimmung deiner Webseitenbesucher implementieren. Folgende (kostenpflichtige) Tools kann ich dir dabei ans Herz legen:
Die Einrichtung ist bei allen Tools ähnlich und kinderleicht. Die Preisspanne reicht von kostenlos bis hin zu 250 Euro im Jahr. Der Preis hängt hauptsächlich von der Anzahl der Unterseiten der Website ab. Für kleinere private Internetseiten sollten die kostenfreien Varianten vollkommen ausreichend sein.
Auch hier gilt: Hole dir im Zweifel immer einen Experten in Sachen Datenschutz oder IT-Recht zurate. Diese können dich individuell beraten und vor Abmahnungen schützen.
Digitale US-Konzerne wie Google oder Facebook sind in Deutschland nicht gerade für ihren strengen Datenschutz bekannt. Immer wieder wurde der Konzern aus Mountain View in Kalifornien zu enormen Summen verdonnert, weil sie gegen die Datenschutzverordnung der EU verstießen. Die Tools von Google sind heute auf fast allen eingebunden. Google Analytics ist dabei wohl der bekannteste Player auf dem Markt der Tracking-Tools. Hierbei erhält der Webseitenbetreiber umfangreiche Informationen über Website-Zugriffe und weitere Statistiken.
Der Einsatz von Analytics ist per se kein Verbrechen. Es bedarf lediglich der Zustimmung seitens des Nutzers, ehe Daten erfasst und verarbeitet werden. Dadurch erhält der Besucher die Kontrolle über seine eigenen Daten. Was der EU indessen ein Dorn im Auge ist: Diese Informationen werden an Server in den USA übermittelt und dort verarbeitet. Da die Vereinigten Staaten leider kein richtiges Datenschutzgesetz haben, können ganze Datensätze weiterverkauft werden. Auch die staatlichen Geheimdienste können bei Bedarf auf diese zugreifen. Dieser Fakt ist einer der Gründe dafür, dass in der EU die IP-Adresse anonymisiert werden muss. So lassen sich die gesammelten Informationen keiner eindeutigen Person zuweisen, da die letzten Teile der IP-Adresse verfälscht werden.
Wichtig: Dieses Vorgehen ist seit einigen Jahren Pflicht und sollte dringend überprüft werden! Öffne dafür den Quellcode deiner Website und suche nach dem Google Analytics-Script. Nutze alternativ die Suchfunktion im Code und suche nach "anonymize" - ergibt deine Suche einen Treffer im Zusammenhang mit deinem GA-Script, hast du höchstwahrscheinlich alles richtig gemacht. Weitere Informationen zum Thema Anonymisierung von Google Analytics findest du hier: IP-Anonymisierung (oder IP-Maskierung) in Universal Analytics
Den vorläufigen Showdown erlebte Google dieses Jahr in Österreich. Hier entschied man, dass die Verwendung von Google Analytics rechtswidrig ist. Dadurch wird das Tool zwar nicht grundsätzlich verboten, jedoch sollten Betreiber einer eigenen Website dringend ihre Datenschutzerklärungen überarbeiten. Mehr zum Thema Analytics und Österreich findest du hier: traffic3 - Google Analytics in Österreich verboten?
Ein weiterer Google-Dienst sorgt seit Sommer 2022 für Aufruhr in Deutschland: Google Fonts. Dabei handelt es sich um eine große Sammlung an Schriftarten, welche Google für Nutzer bereitstellt. Für gewöhnlich werden diese über einen Code im Head-Bereich der Website eingebunden. Der Nutzer lädt diese Fonts mit dem Seitenaufruf vom Google-Server herunter, sofern diese noch nicht lokal verfügbar sind. Beim Verbindungsaufbau und Datenaustausch mit den US-Servern wird die IP-Adresse des Nutzers an Google übertragen. Ohne vorherige Zustimmung verstößt diese Vorgehensweise laut dem Landgericht München gegen die DSGVO.
Das Landgericht sprach dem Kläger einen Schadensersatz von 100 Euro zu. Ein Grund hierfür: Kontrollverlust und das damit einhergehende "Unwohlsein" - Sachen gibts.
Das Problem hierbei liegt auf der Hand: Ohne aktive Zustimmung seitens des Nutzers, werden die Google Fonts nicht geladen und dargestellt. Dies kann zu drastischen Problemen bei der Darstellung der Internetseite führen, sofern keine Fallback-Schriftart im CSS-Dokument definiert ist. In diesem Fall lädt der Browser die interne Standard-Font - Hallo "Times New Roman"!
Für einen Betreiber ohne großes IT-Team oder Budget im Rücken eine schier unendliche Aufgabe. Daher empfehle ich die lokale Einbindung der Schriftarten. Im Abschnitt Google Fonts: Abmahnung verhindern zeige ich dir, wie du das machst.
In den vergangenen Wochen schwappte eine regelrechte Abmahnwelle über Deutschland hinweg. Viele Webseitenbetreiber erhielten Post von einer Anwaltskanzlei aus dem Rheinland oder aus Berlin. Laut verschiedenen Berichten wurden bis zu 60.000 Abmahnungen verschickt. Das "Vergehen" war stets dasselbe: die dynamische Einbindung von Google Fonts.
Dass hinter diesen Abmahnungen ein persönliches Interesse eines Individuums besteht, darf wohl angezweifelt werden. Bei der Anzahl an Schreiben ist es doch sehr unwahrscheinlich, dass ein einzelner Mensch diese Websites aufgerufen hat. Vielmehr spricht diese Masche für den Einsatz eines Crawlers, der das Internet nach entsprechenden Seiten durchsucht. Anwälte raten daher ab, die geforderte Schadensersatzsumme (kleiner dreistelliger Betrag) zu zahlen, sich stattdessen rechtlichen Beirat zu suchen und sich gegen die Anschuldigungen zu wehren.
Für die meisten Unternehmen ist diese Summe nicht nennenswert und die Sache lässt sich mit der Zahlung sofort aus der Welt schaffen. Das Vorgehen muss am Ende des Tages jeder selbst entscheiden. Die Masche dahinter sollte meiner Meinung nach jedoch nicht unterstützt werden, um weitere Kanzleien auf den Plan zu rufen.
Eine Einschätzung von Fachanwälten findest du in diesem Artikel von anwalt.de
Google Fonts lassen sich über zwei Wege auf eine Website integrieren: statisch und dynamisch. Die dynamische Einbettung habe ich in diesem Artikel bereits erklärt. Im Head-Bereich der Website wird ein Code-Snippet eingebaut, welcher die Schriftart referenziert. In der Regel sieht dieser Schnippsel so aus:
<link rel="preconnect" href="https://fonts.googleapis.com">
<link rel="preconnect" href="https://fonts.gstatic.com" crossorigin>
<link href="https://fonts.googleapis.com/css2?family=Roboto&display=swap" rel="stylesheet">
In diesem Code wird die Schriftart "Roboto" vom Google-Server heruntergeladen, zu erkennen an der URL im letzten <link>-Tag. Die Einbindung ist kein Hexenwerk, kann Laien jedoch trotzdem vor Herausforderungen stellen.
Tools wie Webflow haben diese Problematik erkannt und machen den Import von Google Fonts extrem einfach. In den Projekteinstellungen kann der Nutzer sich die gewünschten Schriften auswählen und mit einem Klick in das Projekt einbinden.
Vorsicht: Die derzeit verschickten Abmahnungen münzen genau auf diese Einbettung ein. Beim Laden der Font kann ein Datenaustausch zwischen den US-Servern und dem Browser des Nutzers entstehen, weshalb du lieber die folgende Methode anwenden solltest.
Mit der statischen Einbindung der Schriftarten gehst du auf Nummer sicher. Hierbei lädst du die gewünschte Font(s) auf deine Festplatte herunter und lädst sie auf deinem Server wieder hoch. Anschließend wird diese in die CSS-Datei deiner Website eingebunden. Das kann beispielsweise so aussehen:
@font-face {
font-family: "Roboto";
src: url(roboto-regular.woff2) format("woff2");
font-style: normal;
font-weight: normal;
}
Anschließend noch das Typeface in den Body implementieren und du bist auf der sicheren Seite:
body {
font-family: Roboto, Arial, sans-serif;
}
Im Beispiel haben wir die Font "Roboto" Regular in die CSS-Datei integriert und sie als Standardschrift für den Body ausgezeichnet. Da Schriftarten in CSS vererbt werden, musst du nichts weiter machen, sofern du keine spezifischen Änderungen an den Elementen / Klassen oder IDs vorgenommen hast.
Webflow macht es dir noch einfacher. In den Projekteinstellungen kannst du im Tab "Fonts" unter "Custom Fonts" die gespeicherten Schriftarten hochladen. Anschließend hast du die Möglichkeit, die Namen zu ändern und Fallback-Schriftarten zu benennen. Diese kommen zum Einsatz, wenn die definierte Font nicht geladen werden kann. Ist keine definiert, greift der Internetbrowser auf den Standard zurück, für gewöhnlich ist dies Times New Roman in der Schriftgröße 16 Pixel.
Um den Upload abzuschließen, musst du für jede Schriftart den grünen Button "Upload Font File" drücken. Erst danach wird der Upload angestoßen und die Schriftart ist verfügbar. Danach noch das Projekt aktualisieren und du kannst zurück in den Webflow-Designer.
Gestern, am 17. Oktober, erhielt ich eine Mail von Fabian, einem Leser dieses Artikels. Er schrieb mir Folgendes:
"Hey Steve,
vielen Dank für deinen umfangreichen Eintrag zum Thema Google Fonts und den umgehenden Abmahnungen. Ich nutze bei verschiedenen Kundenprojekten ebenfalls Webflow und habe in der Vergangenheit immer wieder auf Google Fonts gesetzt. Bei einem Auftrag habe ich die Schriftarten getauscht, trotzdem werden weiterhin die Fonts vom Google-Server heruntergeladen.
Hast du eine Ahnung, warum das so ist? In den Projekteinstellungen sind alle Google Fonts gelöscht und nur manuelle Schriftarten hinterlegt."
Damit ich mir einen Überblick über die Problematik machen konnte, sendete Fabian mir Screenshots und einen Link zu seinem Kundenprojekt. Schnell konnte ich den Fehler ausfindig machen. Zwar waren die Fonts nicht mehr in den Projekteinstellungen in Webflow verknüpft, jedoch gab es noch viele Klassen, die diese Font-Family trugen.
Dieses Problem kommt dir bekannt vor? So kannst du vorgehen, um Google Fonts ein für alle Mal loszuwerden:
01. Öffne die Website deiner Wahl.
02. Markiere ein Element, Rechtsklick und wähle "Untersuchen" (Browser: Google Chrome). Es werden sich automatisch die Entwickler-Tools öffnen.
03. In der oberen Spalte wählst du "Sources" aus. Daraufhin wird sich eine Spalte auf der linken Seite öffnen.
04. Wird dir hier ein Ordner mit dem Namen "fonts.gstatic.com" angezeigt, werden Schriftarten vom Google-Server heruntergeladen.
05. In diesem Ordner kannst du sehen, welche Typefaces geladen werden.
06. Mit dem Wissen müssen nun die CSS-Klassen gefunden werden, die mit der Typo verknüpft sind. Öffne dafür die CSS-Datei im Browser oder lokal. Bei Webflow ist dies einfach gestaltet. In den Entwickler-Tools wählst du wieder "Sources" aus. In der linken Spalte anschließend "uploads-ssl.webflow.com" - in einem der sich öffnenden Unterordner findet sich der Ordner "css" und die gesuchte Datei.
07. Mit der Tastenkombination command + F (macOS) oder STRG + F (Windows) kannst du die CSS-Datei nach dem Namen der zuvor angezeigten Google Fonts durchsuchen. Schreibe dir die Klassen auf, um diese im nächsten Schritt griffbereit zu haben.
08. Öffne den Webflow Designer und gehe in den Style-Manager (Tastenkürzel "G"), suche hier nach den notierten CSS-Klassen und ändere die Schriftart manuell.
Sind alle Klassen durchgearbeitet, kannst du die Seite neu veröffentlichen und prüfen, ob weiterhin Google Fonts geladen werden. Sollte das Problem weiterhin auftauchen, musst du dich durch den eingebettenden Code durchschlagen, welcher eventuell eine Verbindung zur Google Fonts API aufbaut. Das könnten beispielsweise Dienste wie Google Maps sein.
In einigen Foren bin ich auf folgende Problematik gestoßen: Es wurden alle Änderungen vorgenommen und trotzdem werden die Fonts immer noch vom Google-Server heruntergeladen, obwohl diese lokal eingebunden sind. In diesem Fall solltest du die Schriftart erneut manuell hochladen und den Schriftnamen umbenennen (Beispiel: von Montserrat zu Mustermann).
Anschließend veröffentlichst du die Seite, springst in den Designer und änderst die Klassen auf die neu hinterlegte Schriftart. Idealerweise hast du dir ein Design System aufgebaut, sodass du nicht in alle Webseiten prüfen musst. Nachdem du alle Klassen geändert hast, published du die Seite und checkst nun, ob es eine Verbindung zum Google-Server gibt.
Ist dies weiterhin der Fall, musst du in deine CSS-Datei gehen und schauen, welche CSS-Klasse noch mit der alten Font verknüpft ist. Dafür kannst du problemlos die Suchfunktion verwenden und nach dem alten Typeface-Namen suchen (Montserrat). Alle Suchtreffer zeigen dir, wo du nachbessern musst.
Ist alles erledigt, kann es keine Verbindung zu den US-Servern mehr geben, da sämtliche Schriftarten lokal geladen werden. Spätestens jetzt bist du offiziell DSGVO-konform unterwegs - jedenfalls was die Fonts angeht.
Tipp: Was ich sehr häufig gelesen und gehört habe, ist die Verknüpfung über das eingebundene Logo. Wie du sicherlich weißt, kannst du ein Logo als Bild- oder Vektordatei einbinden. Die häufigsten Dateiformate sind: JPEG, PNG oder SVG. Manche Websites binden ihr Logo jedoch als reinen Text ein, sodass die Schriftart hier auch zum Einsatz kommen kann.
Falls deine Website ebenfalls auf diese Methode setzt, solltest du dein Logo ebenfalls prüfen.
Solltest du in den letzten Wochen ein Schriftstück einer Kanzlei erhalten haben, solltest du auf keinen Fall in Panik verfallen. Hole dir anwaltliche Unterstützung und gehe dagegen an. Laut mehreren Quellen stehen die Chancen sehr gut, dass die Google Fonts-Geschichte ein Rohrkrepierer ist.
Nichtsdestotrotz solltest du deine Website stets im Auge behalten. Prüfe, ob und welche Cookies du derzeit im Einsatz hast. Lasse deine Datenschutzerklärung von einem Experten checken, um unnötige Kosten durch Abmahnungen zu vermeiden. Größere Unternehmen sollten dringend langfristig mit einem Datenschutzbeauftragten zusammenarbeiten, da die Gesetze sich schnell ändern oder Regeln angepasst werden. Dies bekommst du als Webseitenbetreiber oftmals überhaupt nicht mit.
