DSGVO-Risiko, das Schadensersatzforderungen nach sich ziehen kann
Es gibt praktisch keine Unternehmenswebseite ohne Text. Das wäre auch kontraproduktiv, weil Texte nicht nur Ihre User informieren und ihnen Ihre Waren und Dienstleistungen verkaufen, sondern Ihre Seite auch für Suchmaschinen auffindbar macht – und damit für potentielle Kunden. Ohne Texte hat Ihre Seite also keinen praktischen Wert. Dass Webseitentexte zum Sicherheitsrisiko werden und – jenseits des Urheberrechts – Schadensersatzforderungen nach sich ziehen können, leuchtet auf den ersten Blick nicht unbedingt ein.
Dies ist jedoch dann der Fall, wenn für die Darstellung Ihrer Webseitentexte der Dienst Google Fonts benutzt wird. Dieser übermittelt bei dynamischer Einbindung nämlich die IP-Adresse des Users an Google in die USA. Bereits im Januar 2022 hat das Landgericht München reagiert, einem privaten Kläger in einem Urteil (Az. 3 O 17493/20) Recht gegeben und ihm einen Schadensersatz von 100 Euro zugesprochen. Nach Auffassung des Gerichts gehört auch die IP-Adresse zu den persönlichen Daten und gilt daher als schützenswert im Sinne der DSGVO.
Leicht zu lösendes Problem
Schadensersatzansprüche müssen aktiv gestellt werden, was bei normalem Nutzungsverhalten sehr unwahrscheinlich ist. Da sich durch sie jedoch leicht Geld verdienen lässt, haben einige findige Mitmenschen sie als Geldquelle entdeckt und formulieren eigenständig Briefe mit entsprechenden Forderungen. Dies kann schnell zu hohen Kosten führen, die sich zum Glück relativ leicht vermeiden lassen.
Die erste Möglichkeit besteht darin, dynamisch eingebundene Google Fonts im Consent Banner aktiv freischalten zu lassen, bevor sie von Google-Servern geladen werden. Dies ist jedoch kaum praktikabel, da dann ohne die aktive Zustimmung des Users unformatierter Text auf Ihrer Webseite angezeigt wird, der den optischen Eindruck und die Usability deutlich reduziert. Im Falle der Datenübermittlung in ein Drittland außerhalb der EU muss dann jedoch über die Einwilligung hinaus ein berechtigtes Interesse bestehen, was bei der Nutzung von Google Fonts bestenfalls fragwürdig ist.
Besser (und häufig auch einfacher) ist es, Google Fonts nicht dynamisch zu laden, sondern auf Ihrem Server zu hinterlegen. Die Eigenschaften von (Webseiten-)Texten, d. h. Schriftart, Größe und Formatierung, sind in Dateien hinterlegt. Da die meisten dieser Schriftarten-Dateien jedoch nicht Google gehören, sondern über die sogenannte ‚SIL Open Font License‘ zur freien Nutzung zur Verfügung stehen, können sie einfach heruntergeladen und auf dem eigenen Server eingebunden werden. In diesem Fall erfolgt keine Datenübermittlung an Google, was das Problem schlagartig löst.
Plug-ins und Designs prüfen!
Sofern Sie Google-Plugins nutzen, sollten Sie diese sehr kritisch prüfen! Häufig laden sie Google-Schriften nach und gewähren einem vermeintlich gelösten Datenschutzproblem dadurch Zutritt durch die Hintertür. Prüfen Sie aber auch Plugins, die nicht von Google stammen, um dieses Risiko auszuschließen, und suchen Sie im Verdachtsfall nach sicheren Alternativen!
Auch einige vorformatierte Designs in gängigen CMS (Content Management Systemen) binden Google Fonts standardmäßig mit ein und müssen entsprechen angepasst werden. Sollten Sie nicht sicher sein, ob Ihre Webseite Google Fonts nutzt, dann machen Sie unseren kostenlosen Webseiten-Scan. Dieser ermittelt im Rahmen einer oberflächlichen Prüfung bereits, ob Google Fonts geladen werden.