Datenschutzgrüße aus Brüssel – wenn Google Fonts in der Website verwendet werden

Eventuell haben sie ja bereits davon gehört: Eine neue Abmahnwelle weht durch die E-Mail-Konten der Nation. Diesmal handelt es sich allerdings nicht um anwaltliche Schreiben, sondern vornehmlich um solche von privaten Verfassern, deren Rechte angeblich verletzt wurden. Tatsächlich wird die Verwendung extern eingebetteter Schriften (von Google, Adobe oder anderen Anbietern) derzeit auch in Brüssel diskutiert. Werden die Schriften nämlich bereits vom Cookie-Banner ausgesperrt und erst nach Zusage durch den Seitenbesucher geladen, ist an sich erst mal nichts einzuwenden. Zu einem abschließenden Ergebnis ist man in Brüssel aber noch nicht gekommen und so lohnt es sich, den Fall einmal genauer zu betrachten und ggf. Google Fonts lokal einzubetten.

Worum geht es überhaupt?

Zahlreiche Webseitenbetreiber (darunter auch Kunden unseres Hauses) erreichte in den letzten Wochen eine E-Mail, die mit dem immer gleichen Text von verschiedenen E-Mail-Accounts scheinbar privater Personen versendet wurde. Wichtig ist dabei, zu wissen, dass die E-Mails scheinbar willkürlich an alle möglichen Empfänger gehen – ungeprüft, ob der Empfänger eine Site betreibt, die tatsächlich externe Fonts verwendet. Im Text wird dennoch zunächst darauf hingewiesen, dass es sich um keine Spam-Mail handele und man den Inhalt ernst nehmen solle. Und weiter:

Am xx.xx.2022 [MEIST DAS DATUM ZWEI TAGE VOR E-MAIL-VERSAND] habe ich Ihre Internetseite www.website-des-empfaengers.de besucht und musste leider feststellen, dass Ihre Homepage eine Schriftart von Google Fonts ohne meine Zustimmung von deren Server lädt.

In technischer Hinsicht wird diese Schrift bereits bei Google abgerufen, wenn sich Ihre Internetseite aufbaut und bevor mir überhaupt die Möglichkeit gegeben ist, in eine entsprechende Datennutzung einzuwilligen. Dabei wird auch meine IP-Adresse automatisch bereits beim Laden der Webseite an Google und deren Server übermittelt und Google ist in der Lage, mich zumindest teilweise zu identifizieren und auch meinen Verlauf nachzuvollziehen.

Einverstanden war ich hiermit nicht, im Gegenteil! Laut DSGVO ist diese Art der Übermittlung meiner IP-Adresse ohne meine Zustimmung nicht zulässig und wird völlig zu Recht seit längerem in der Fachpresse angeprangert. Denn Google Fonts kann auch genutzt werden, ohne (!) dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google (in den USA allzumal) stattfindet.

So, wie es auf Ihrer Internetseite geschieht, ärgere ich mich maßlos über die unnötige Datenschleuderei, die ich nicht kontrollieren kann. Personenbezogene Daten werden Google erreichen, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und in einem Land resisidiert, in dem kein angemessenes Datenschutzniveau gegeben ist. Und das, ich betone es nochmals, auch noch völlig unnötig und bevor überhaupt die Möglichkeit gegeben ist, in eine entsprechende Datennutzung einzuwilligen oder nicht.

Die Vorwürfe

Angemahnt wird mit obigem Schreiben die datenschutz- und damit rechtswidrige Übertragung personenbezogener – oder zumindest personenbeziehbarer – Daten an Google durch die Einbindung von Google Webfonts.

Und tatsächlich wird beim Aufruf einer Website, die Google Fonts einbindet, eine Verbindung zu Google-Servern hergestellt, um die verwendeten Schriften von dort zu beziehen. Dabei kommt es zur Übertragung von Nutzerinformationen an Google die zwei Fallstricke bedeutet:

• Mangelnde Rechtfertigung für die Übermittlung personenbeziehbarer Daten
  Eine hinreichende datenschutzrechtliche Grundlage für die Informationsübermittlung an Google ist nicht gegeben. In vielen Fällen räumt die DSGVO (mit  Art. 6 Abs. 1) zwar berechtigte Interessen für die Übermittlung von personenbezogenen oder personenbeziehbaren Daten ein, da aber der Download der Schriften vom Google-Server aus technischer Sicht nicht zwingend nötig ist, um die Website fehlerfrei darzustellen, besteht hier kein berechtigtes Interesse.
• Übertragung an Server in einem Drittstaat
  Die Google-Server, auf denen die Schriften hinterlegt sind, befinden sich in den USA. Somit wird auch die IP-Adressse des Websitebesuchers an einen Server in den USA übertragen. Und der Datentransfer an Drittstaaten ist nur nach strengen Maßgaben (Art. 44 ff. DSGVO) möglich. An die USA ist dieser Datentransfer derzeit nicht DSGVO-konform möglich, da die US-Geheimdienste zur Sichtung der Daten befugt sind, womit das Schutzniveau im Sinne der DSGVO nicht hinreichend gewährleistet werden kann.

Obiges Schreiben nimmt dabei Bezug auf ein aktuelles Urteil des LG München I. Dort wurde tatsächlich einem Webseitenbesucher ein Schadensersatz von € 100,- für die Datenübermittlung an Google zugesprochen.

Nun klingen € 100,- zunächst einmal nach einer leistbaren Leistung. Im obigen Fall mag das zunächst auch stimmen. Doch was passiert, wenn z.B. ein Verband als Stellvertreter für Verbraucher oder eine andere Gruppe mit mehreren hundert oder tausend Betroffenen eine Sammelklage einreicht? Die Kosten können dann schnell in astronomische Dimensionen steigen. (Ein Beispiel: 2000 Kläger mal € 100,- ergäbe am Ende eine Summe von € 200.000,-.)

Verwendet Ihre Site Google Fonts? – Sehen Sie nach!

Statistisch ist es recht wahrscheinlich, dass auf Ihrer Website  Google Fonts oder Adobe Fonts verwendet werden.

Zur Überprüfung der DSGVO-Konformität im Allgemeinen (und damit unter anderem zur Prüfung evtl. Google-Font-Einbindungen) werden verschiedene Tools angeboten. So bieten beispielsweise usercentrics oder solarwinds Lösungen an, die ein umfassendes Bild über den Zusand Ihrer Website bieten können. Ein wirklich unmittelbares und erstaunlich genaues Ergebnis im Hinblick auf die Verwendung von Cookies und/oder Kommunikation Ihrer Website mit externen Servern erhalten Sie unter  webbkoll.dataskydd.net

Eines haben diese Tools jedoch alle gemein: Die Liste der Ergebnisse ist immer sehr fachspezifisch formuliert und aufgebaut und damit für Laien oft undurchsichtig. Außerdem – wenn Sie mich fragen – ist das auch der berühmte Schuss mit Kanonen auf Spatzen. Immerhin benötigen Sie diese Tools als Betreiber nur einer oder weniger Websites nicht ständig.

Mit den Chrome Entwicklertools sind Google Fonts recht schnell und einfach zu entlarven.

Die einfachere Variante ist es aus meiner Sicht, einfach die Entwickler-Tools Ihres Browsers zu verwenden. Hier im Beispiel wird die Vorgehensweise mit Chrome beschrieben; die Schritte sind aber in Firefox, in Microsofts Edge oder in anderen Browsern mit integrierten Entwicklertools ähnlich.

Öffnen Sie in Google Chrome zunächst Ihre Website und dann die Entwicklertools. Wählen sie dort den Reiter mit der Aufschrift "Sources". In der linken Spalte werden nun alle Quellen zu Bausteinen der aktuell geladenen Site gezeigt. Findet sich dort unter anderem die Domain "fonts.googleapis.com", sind Google Fonts auf Ihrer Site eingebettet und es werden Daten der Websitebesucher an Google übertragen. Es besteht dann also Handlungsbedarf.

Deaktivierung der Google Fonts

Wie wird man die lästigen Verknüpfungen nun los? Grundsätzlich bestehen drei Möglichkeiten, die externen Schriften aus Ihrer Website zu verbannen. Folgend will ich Ihnen drei Arten zur richtigen Deaktivierung der Google Fonts auf Ihrer Website zeigen:

• In den meisten Systemen kann man die Google Fonts bereits direkt im Theme oder im verwendeten Pagebuilder deaktivieren.
• Natürlich geht's auch manuell. Dabei muss man aber an den Source Code der Site ran – und dafür sollte man wieder sehr genau wissen, was man tut.
• Und zu guter letzt kann man Google Fonts mithilfe von Plugins deaktivieren.

Da WordPress das mit großem Abstand am häufigsten verwendete System ist, beziehe ich mich in folgenden Beispielen auf WordPress. Gerne sind wir Ihnen aber auch bei anderen Systemen behilflich. Kontaktieren sie uns dazu einfach per Mail oder rufen Sie an!

Deaktivierung per Theme oder PageBuilder

Die Entwickler der bekanntesten Themes und der gängigen Pagebuilder arbeiten immer weiter daran, eine optimale und vor allem sichere Nutzung gewährleisten zu können. Bei Premium-Themes ist es mittlerweile gang und gäbe, aber auch kostenlose Themes führen immer öfter in ihren Einstellungen die Funktion „Disable Google Fonts“. So haben beispielsweise BeTheme, Avada, DIVI und Enfold diese Funktion implementiert. Auch bspw. der Pagbuilder Elementor bietet in seinen Einstellungen die Deaktivierung von Standardschriftarten an.

Sollte die Aktivierung dieser Funktion im Theme oder Pagebuilder aber nicht genügen, muss man zusätzlich an die Datei functions.php des Themes ran. Folgender Code muss dann dort zusätzlich eingefügt werden:

Für Google Fonts:

add_filter( 'elementor/frontend/print_google_fonts', '__return_false');

Für Font Awesome Icons:

add_action( 'wp_enqueue_scripts', function() { wp_dequeue_style( 'font-awesome' ); }, 50 );

Google Fonts manuell (anhand der functions.php) deaktivieren

Wenn Sie absolut sicher sein wollen, dass Google Fonts in Ihrer Website deaktiviert sind, ist der Weg der individuellen Lösung über Code der beste. Die Datei functions.php ist auch hier die, die frequentiert wird. Google Fonts sind nämlich in der Regel über die functions.php Datei verbunden. Um diese Verbindung zu trennen, muss ein dequeue-Befehl eingebaut werden. In den folgenden Beispielen wird das Theme TwentySeventeen verwendet.

add_action('wp_print_styles', 'twentyseventeen_dequeue_styles', 100);<br />function twentyseventeen_dequeue_styles() {<br />wp_dequeue_style( 'twentyseventeen-fonts' );}

Alternativ können Sie eine De-Registierung der Google Fonts einbinden.

add_action('wp_print_styles', 'twentyseventeen_deregister_styles', 100);<br />function twentyseventeen_deregister_styles() {<br />wp_deregister_style( 'twentyseventeen-fonts' );}

Google Fonts mithilfe von Plugins deaktivieren

Die wohl einfachste und meistgenutzte Art Google Fonts zu deaktivieren ist mithilfe von Plugins. Hier stelle ich die gängigsten PlugIns für WordPress kurz vor:

• Disable Google Fonts
  Disable Google Fonts ist wohl das gängigste Tool. Mit diesem Plugin wird die Deaktivierung der Google Fonts zum Kinderspiel. Wer nach „Einstellungen“ Ausschau hält sucht vergebens – nach der Aktvierung des Plugins werden sämtliche Google Fonts automatisch deaktiviert.
  Klingt toll, nicht wahr?  Die Sache hat allerdings einen Haken: Das Plugin funktioniert nur bei den Stamm-Themes von WordPress (Twenty-Serie) und auf einigen kostenlosen Themes. Bei Premium-Themes funktioniert das PlugIn in vielen Fällen nicht.
• Autoptimize
  Dieses Plugin hilft nicht nur die Leistung Iher Site zu verbessern, es übernimmt den Job der Deaktivierung von Google Fonts gleich mit. Auch Autooptimize funktioniert jedoch nicht immer zuverlässig.
• Clearfy
  Dieses Plugin ähnelt sehr dem Autoptmize, ist nur weniger bekannt. Es dient in erster Linie ebenfalls der Verbesserung der Leistung. Dennoch ist es erstaunlich wie viele Google Fonts nach dem Einrichten des Plugins deaktiviert werden. Um jegliche Google Fonts abzudrehen verweisen wir auch hier wieder auf die manuelle Art.
• Borlabs Font Blocker
  Borlabs Font Blocker hilft, Google Fonts Einbindungen von Themes und Plugins automatisch zu blockieren. Einfach herunterladen, in WordPress über die Plugin-Verwaltung hochladen und aktivieren, fertig. Es sind keine Einstellungen notwendig, um mit Borlabs Font Blocker umgehend Einbindungen von Google Fonts zu blockieren. Der Haken hierbei: Oft kolidiert das PlugIn mit anderen in der Verwendung. Vor allem bei komplexeren Websites bereitet das PlugIn also hin und wieder Schwierigkeiten.

Alternative zur Deaktivierung – GoogleFonts lokal laden

Wenn Sie GoogleFonts lokal möchten, klappt das am besten mit dem PlugIn OMGF. Die Basisversion funktioniert bereits zuverlässig, aber wer's ganz bequem mag, installiert OMGF Pro und lässt Google Fonts automatisch finden und lokal einbinden. Eine weitere Herangehensweise ist die Speicherung der Fonts im Themeordner sowie die Einbindung über die functions.php.

Selbst hosten ist sicherer und schneller. Statische Ressourcen wie Fonts selbst zu hosten, hat außerdem den Vorteil einer geringeren Ladezeit Ihrer Website.

Fazit

Wer Google Fonts eingebettet hat, sollte in nächster Zeit reagieren und diese lokal einbinden. Dem unerfahrenen Anwender kann ich dabei nur ans Herz legen, sich soweit wie möglich auf die Variante mit den Plugins zu beziehen und die Finger vom Code zu lassen. Sollten Plugins nicht zum Ziel führen suchen Sie sich einen Profi, der Ihre Website richtig und stabil an die durch die DSGVO gegebenen Anforderungen anpasst. Wir unterstützen Sie gerne. Kontaktieren sie uns!

Ein absolutes Muss ist die Deaktiverung unterdessen bislang nicht, da – wie eingangs erwähnt – die Diskussionen dazu in Brüssel noch nicht abgeschlossen sind. Mit der Deaktivierung sind Sie aber datenschutztechnisch auf der sicheren Seite.

(Frank Bittner)

Hinweiß: Wir sind keine Anwälte und damit nicht berechtigt, eine Rechtsberatung zu erteilen. Dieser Text stellt daher eine persönliche Einschätzung des Verfassers dar und ersetzt nicht die Konsultation eines Anwaltes.