Abmahngefahr: Urteil zu Google Fonts in Websites

eEin Urteil vom Landgericht München im Januar 2022 hat nun massive Folgen. Websites, die Google Fonts extern einbinden, werden nun zunehmend abgemahnt. Da es ein passendes Urteil dazu gibt, besteht bei vielen Websites akuter Handlungsbedarf.

Es geht in diesem Artikel konkret nicht um Anschreiben von Privatpersonen an Unternehmen, die einen Schadenersatz von € 100.- ohne anwaltlicher Hilfe einfordern, von denen schon immer wieder berichtet wurde, sondern um Abmahnungen durch Anwälte. Hierauf hat uns unser langjähriger Anwalt hingewiesen, da diese Abmahnungen nun bei deren Mandanten eingehen (Kontakt am Ende dieses Beitrags).

Zudem kann diese Abmahnwelle auf andere Dienste ausgeweitet werden. Das häufig eingesetzte recaptcha ist ebenfalls von Google, aber auch viele andere Dienste, Details weiter unten.

Google Fonts sind schnell eingebunden. In der Regel werden diese einfach direkt von Google integriert. Das ist aber ein Problem. Schon in unserem Artikel zur DSGVO haben wir darauf hingewiesen, dass es viele Fallen bei dem Thema gibt.

Im Urteil vom 20.1.2022 (Aktenzeichen 3 O 17493/20) am Landgericht München hat der Kläger deswegen einen Schadenersatz von € 100.- zugesprochen bekommen. Das erscheint nicht schlimm, allerdings kommen da noch weitere Kosten dazu und in diesem Fall eine Unterlassungserklärung mit bis zu € 250,000.- Strafe. Man kann sich vorstellen, wie schnell ein solches Problem wieder passiert, möglicherweise auch unabsichtlich!

Die Lösung: Google Fonts lokal einbinden

Um das zu umgehen, kann man schon seit Jahren Google Fonts herunterladen und lokal auf dem Server hochladen und von dort einbinden. Doch leider ist das eher selten der Fall. Denn das externe einbinden geht in der Regel leichter von der Hand.

Angebote wie der Google Webfont Helper erleichtern die Umsetzung der lokalen Einbindung.

Das Problem: Die IP-Adresse geht ungeschützt zu Google. Es gibt keine Möglichkeit, die IP-Adresse in diesem Fall zu anonymisieren.

Vergleichbar ist das Einbinden von Google Maps (hier gibt es andere Möglichkeiten),  YouTube Videos oder die bekannten Social Media Buttons, hierfür gibt es die vom Heise Verlag entwickelte shariff Lösung.

Es ist möglich, dass Plugins oder Extensions im CMS oder Shop System ungefragt Google Fonts einbinden. Und ist man erstmal verurteilt oder hat gezahlt und die Unterlassungserklärung unterschrieben, ist das überwachen ein leichtes. Findet sich im Quellcode eine URL mit   fonts.google.com hat man ein Problem.

Auch andere Fonts und Dienste betroffen

Auch andere eingebundene Fonts haben das gleiche Problem, wenn der Aufruf außerhalb des Gültigkeitsbereichs der DSGVO bzw. GDPR liegt und es keine schriftlichen Datenschutzvereinbarung gibt (die ggf. nicht vor Gericht bestehen kann). Auch bei anderen Font-Anbietern wie Adobe werden diese von deren Servern geladen. Da bereits genannte recaptcha ist ebenfalls von Google und macht daher zu Fonts keinen Unterschied.

Aber auch das Einbinden eins Chats kann das gleiche Problem darstellen. Aktuell gibt es (noch) kein Datenschutzabkommen mit den USA, aber auch mit andern Ländern nicht. Wer also ungeprüft Funktionen in die Website integriert, kann Probleme bekommen.

Vermutlich wird man bei fast jeder Website irgendwas finden, was ein Problem darstellt. Google Fonts sind allerdings sehr weit verbreitet und oftmals extern eingebunden. Für abmahnende Anwälte also eine „leichte Beute“ (hoffentlich ruft das keinen Anwalt auf den Plan…).

Einfache Überprüfung

Ein Blick in den Quellcode gibt Aufschluss. Findet man dort eine der URLs

fonts.google.com
fonts.gstatic.com
fonts.googleapis.com

ist eine externe Einbindung sehr wahrscheinlich vorhanden oder zumindest fließt die IP Adresse ungefiltert zu Google. Es können aber auch andere Funktionen einen Aufruf von Google Domains begründen. Denn ein Aufruf bedingt stets die Übertragung der IP-Adresse, die nun mal ein personenbezogener Datensatz ist. Bei Google Analytics kann man die IP anonymisieren, bei Google Analytics 4 ist das schon so eingestellt.

Allerdings muss man das auf allen Seiten einer Website prüfen, denn theoretisch könnten Google Fonts nicht auf allen Seiten eingebunden sein. Das ist zwar unwahrscheinlich, aber ein einziger solche Zugriff auf fonts.google.com reicht aus.

Hierzu müsste man also die gesamte Website Crawlen und prüfen, wo das überall eingebunden ist. Das haben wir mal mit der Seite der AFD gemacht. Mit unserem Crawler Forecheck haben wir die Seite analysiert. Man kann in den Ergebnissen die entsprechende URL anklicken (1), dann sieht man unten im Tab Links alle Seiten (2), die auf diese URL verlinken.

Alternativ kann man wie im folgenden Bild die Suche (1) nutzen. Man sucht in allen Quellcodes (2) nach fonts.g, was alle Seiten und auch CSS Dateien beinhaltet (wichtig: Fonts können auch über CSS Dateien eingebunden werden). Unter (3) werden alle Treffer angezeigt und in (4) kann man diese Liste auf die Treffer eingrenzen und diese dann z.B. nach Excel exportieren.

In jedem Fall sollten Unternehmen Ihre Quellcodes prüfen und reagieren. Auf wenn die Schadenersatzsummen gering sind, sind sehr teure Unterlassungserklärungen sehr problematisch.

Denn diese Erklärung wartet nur darauf, zuzuschlagen. Und die Nutzung solcher externen Funktionen wie Google Fonts lässt sich technisch leicht überwachen. Und wenn erst Jahre später die Überwachung Alarm schlägt, klingelt bei jemandem erheblich die Kasse.

Insgesamt ärgerlich, und sobald das Datenschutzankommen mit den USA wieder steht, sind die Risiken sicherlich wieder geringer. Aber Google Fonts sollte man immer lokal einbinden, nicht nur wegen dem Datenschutz.

Haben Sie Fragen, Kritik oder Anregungen? Kontaktieren Sie uns gerne. Unser Dank geht an Herr Dr. Reinke für den Hinweis zu der Abmahnwelle.

Zu allen Whitepaper und Studien

Kostenlose SEO Erstanalyse erhalten

Kostenlose SEA Bewertung erhalten