Neues zu Google Fonts-Abmahnungen: Googles veröffentlicht Erklärung

ParagraphSeit einem Urteil des Landgerichts München von Anfang 2022, welches einem Kläger Schadensersatz wegen Verwendung von Google Fonts zusprach, gab es ja regelrechte (imho unberechtigte) Abmahnwellen in Deutschland (und Österreich). Die Anwälte hinter diesen Abmahnwellen sehen sich inzwischen Verfahren wegen Rechtsmissbrauch gegenüber. Nun hat auch Google reagiert und ein Statement im Hinblick auf die Verwendung von Google Fonts auf Webseiten veröffentlicht – die das (absurde) Urteil des Landgerichts München in weiteren Verfahren kippen könnte. Aktuell liegen dem Europäischen Gerichtshof (EuGH) zudem verschiedene Anfragen von Gerichten im Hinblick auf "immateriellen Schadensersatz" bei DSGVO-Verletzungen vor. Ich fasse nochmals den Sachstand samt der Google Erklärung in einem Beitrag zusammen.


Anzeige

Worum geht es bei Google Fonts?

Google Fonts sind Schriftarten, die in Webseiten verwendet und bei deren Besuch vom Browser des Benutzers von den Google Servern eingebunden werden können. Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 ist diese Art des Einbindens von Google Fonts von den Google-Servern, nach Ansicht von Datenschützern, ohne besondere Einwilligung eines Webseitenbesuchers unzulässig. Hintergrund ist, dass auch eine dynamische IP-Adresse ein personenbezogenes Datum für für einen Webseitenbetreiber darstellt.

Teilweise wird argumentiert, dass diese IP-Adresse in Drittstaaten (USA) übertragen wird, was eine DSGVO-Einwilligung bedürfe, da dort das Datenschutzniveau der EU nach dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) nicht gegeben sei. Abseits der Frage, ob diese Sichtweise bei der Übertragung einer reinen IP-Adresse greift (und sinnvoll ist), scheint es auch so zu sein, dass Google Fonts von Google Servern innerhalb der EU oder sogar Deutschlands gehostet werden. Aber es gibt die Möglichkeit (neben dem Verzicht auf die Google Fonts) diese Schriftarten von Google lokal auf einem eigenen Server zu hosten. Dann greift die DSGVO nicht mehr.

Alleine diese Argumentation der Datenschützer zur Einwilligung (wegen der übertragenen IP) ist in meinen Augen zu hinterfragen, basiert doch das Wesen des World Wide Web darauf, dass ein Browser Ressourcen, die von einer Webseite eingebunden wurden, von den jeweiligen Hosts abzurufen. Wird ein externer Font eingebunden, ruft der Browser diese Ressource ab, muss dann aber, um die Antworten zu erhalten, seine IP des Internet-Anschlusses bei der Anfrage übermitteln. Das Gleiche gilt aber auch, wenn ein Script, ein iframe oder sogar ein Bild extern in eine Webseite eingebunden wurde. Das ist schlicht das Wesen des Web.

Das Urteil des LG-München, die Folgen

Im Januar 2022 erging vom Landgericht München auf Grund dieses Sachverhalts ein Urteil, dass die Einbindung von Google Fonts von den Google-Servern ohne spezielle Einwilligung des Nutzers als unzulässig ansah und dem Kläger einen "Schadensersatz" von 100 Euro zusprach. Der DSGVO-Erwägungsgrund "berechtigtes Interesse" wurde nach meiner Interpretation vom Gericht negiert, weil die Google Fonts ja lokal gehostet werden können. In Folge dieses Urteils kam es dann in Deutschland und in Österreich zu Massenabmahnungen durch obskure Stellen (siehe Links am Ende dieses Artikels).

Die Abmahnwellen

Ich hatte dies kurz im Beitrag Wissen: Google Fonts auf Webseiten, Abmahnung, Prüfung-Fallen aufgegriffen und Ratschläge gegeben, wie man damit umgehen sollte. In Österreich war das Thema schnell erledigt, da Bußgelder nur durch die Datenschutzaufsichtsbehörden verhängt werden dürften. Der für die Abmahnungen Verantwortliche sieht sich inzwischen einem Verfahren gegenüber.


Anzeige

Und auch in Deutschland bewegt sich was. Ich hatte bereits im Blog-Beitrag Einstweilige Verfügung gegen Google Font-Abmahner vom LG Baden-Baden über einen juristischen Schritt gegen einen abmahnenden Rechtsanwalt berichtet. Zudem hatte ich im Beitrag Achtung: Neue Google Fonts-Abmahn-Welle (Oktober 2022) erwähnt, dass Rechtsanwalt Stephan Schmidt zum 9. November 2022 Strafanzeige gegen einen Google Fonts-Abmahner aus Hannover und seinen Berliner Anwalt gestellt hat. Begründung: Der Rechtsmissbrauch sei offensichtlich.

In der Sache an sich gibt es zwei Punkte, die die "Welt" und die Juristen bewegen. Einmal deutet es sich an, dass die abmahnenden Stellen schlicht keine Rechtsgrundlage dazu besitzen. Juristen äußern Zweifel am Mandat der Anwälte, die für die angeblich Betroffenen "immaterielle Schäden" gelten zu machen versuchen – es gibt in den Schriftsätze "Ungereimtheiten". Zum Zweiten ist der Rechtsmissbrauch durch Abmahnanwälte und Vereine in der Sache an sich inzwischen offensichtlich. Es ging mutmaßlich nicht um die Verfolgung eines DSGVO-Sachverhalts, sondern schlicht um das Abkassieren von Webseitenbetreibern.

Prinzipielle Fragestellungen

Das Urteil des LG München hat aber noch einen prinzipiellen Aspekt. Würde das Urteil des LG München ist seinem aktuellen Tenor Bestand haben, wäre dies das Ende des World Wide Web – sozusagen "am deutschen Wesen, soll die Welt genesen". Denn die Argumentation der Datenschützer, die in der IP ein persönliches Datum sehen und die Verwendung bestimmter Sachverhalte aus DSVGO-Gründen untersagen, hat einen ganz konkreten Hintergrund. Es ging meiner Einschätzung nach um die Verwendung von Google Analytics und um Cookies, die im Rahmen von Werbeanzeigen verwendet werden. In beiden Fällen ist die Benutzeridentifizierung erklärtes Ziel.

  • Google Analytics soll das Verhalten von Benutzern erfassen und auswertbar machen – wobei die Gefahr besteht, dass diese Daten Plattform-übergreifend eingesetzt werden und so den Surfer transparent machen. Problem bei Google Analytics ist, dass die Daten samt Auswertung durch den Dritten Google erfolgt.
  • Und bei den Cookies, die durch Werbenetzwerke eingesetzt werden, geht es darum, den Benutzer über viele Webseiten zu tracken, um seine Gewohnheiten zu erfassen. Auch hier ist die Verfolgung des Nutzers das Ziel.

In beiden Fällen ist es in meinen Augen legitim, dass die Datenschützer eine DSGVO-Zustimmung von den Nutzern als Voraussetzung der Datenerhebung fordern. Anders stellt sich der Sachverhalt aber dar, wenn IP-Adressen aus technischen Gründen zum Abrufen von Webressourcen an Dritte geschickt werden. Dann ist meines Erachtens zu fragen: Ist es erklärtes Ziel der dritten Stelle, die IP-Verkehrsdaten zum Nutzertracking zu sammeln oder nicht. Bei den Google Fonts kann ich dies nicht erkennen.

Wenn die DSGVO zu weit gefasst wird

Konkret kann man beispielsweise auch die Einbindung von Bildern in Webseiten aufgreifen, wenn diese von einem fremden Server eingebunden wurden. Rechtliche Aspekte können diesen Ansatz beispielsweise notwendig machen. Aber es gibt sicherlich auch technische Gründe, die ein berechtigtes Interesse darlegen (z.B. Kapazitätsfragen für das Hosting). Eine juristische Argumentation: "Berechtigtes Interesse verfängt nicht, da ja selbst gehostet wird", führt auf einen sehr wackeligen Pfad einer individuellen Abwägung, die eigentlich im Sinne der DSGVO-Praktikabilität unerwünscht ist.

Zudem ist die Auswertung der bei der Anforderung  der Ressource (Font, Bild, Video etc.) übermittelten IP-Adresse durch den Hoster der Ressource nicht gegeben – ein Tracking wie bei Google Analytics oder bei den oben erwähnten Cookies von Werbenetzwerken – findet in solchen Fällen i.d.R. nicht statt.

Ich habe diesbezüglich sogar einen ganz konkreten Fall: Hier im Blog sind in bestimmten Beiträgen sogenannte Zählpixel der VGWort in Form von img-Tags eingebunden. Ziel ist in diesem Fall die Ermittlung der Zahl der Beitragsabrufe durch die Verwertungsgesellschaft Wort (VGWort). Ich habe die VGWort bezüglich der DSGVO-Relevanz und der Zustimmungspflichtigkeit kontaktiert. Dort waren Datenschützer involviert und die klare Aussage war, dass die Einbindung des VGWort-Zählpixels nicht DSGVO-Zustimmungspflichtig sei. Es falle in die Kategorie "berechtigte Interessen" und eine Profilbildung der VGWort über die erfassten IP-Adressen fände ja nicht statt.

Bei Google Fonts ist die aktuelle Argumentation nun, dass es "ja eine Möglichkeit zur lokalen Anbindung" gebe. Das trifft aber in meinen Augen nicht den Kern der Bedenken der Datenschutzaufsicht. Denn diese will im Rahmen der DSGVO die Nutzer vor einem Tracking ohne Zustimmung schützen – sobald der Nutzer zugestimmt hat, ist die Verwendung von Google Fonts sowieso zulässig.

Ich weiß jetzt nicht, ob das Urteil des LG München in Folgeinstanzen weiter verfolgt wird und Bestand hat, und wie die Rechtsprechung bei weiteren Urteilen ausfallen wird. Aber ich könnte mir vorstellen, dass da deutliche Korrekturen erfolgen. Aktuell basiert das Urteil wohl auf der deutschen Rechtsauffassung, dass eine immaterielle Schadensersatzpflicht zur Durchsetzung der DSGVO besteht  – was dann im Einzelfall zu verhandeln ist. Im obigen Fall wurde vom LG München ein "immaterieller Schaden" des Klägers bejaht, was dann die Abmahnwelle bedingte.

EuGH-Verfahren zum symbolischen Schadensersatz

Das Thema "immaterieller Schadensersatzpflicht" könnte demnächst kippen. Aktuell läuft ein Verfahren vor dem Gerichtshof der Europäischen Union (EuGH), in dem es konkret um die Frage "Schaden bei Datenschutzverstößen" geht. Der Oberste Gerichtshof Österreichs hat dem EuGH die Frage vorgelegt, ob die Zuerkennung von immateriellem Schadensersatz eingeschränkt werden kann, wenn das Ärgernis des Klägers nicht über den Ärger hinausgeht, der mit der Verletzung des Grundrechts auf Datenschutz üblicher Weise einhergeht.

Das ist nach meiner Einschätzung aber genau das, was das LG München im obigen Fall für sein Urteil mit 100 Euro Schadensersatz für den Kläger für dessen "Unwohlsein beim Abruf der Webseite des Beklagten" heranzog. Erlitten wurde dieses "allgemeine Unwohl sein" im Google Chrome-Browser, weil die IP zum Anzeigen der Google Fonts auf der angesehenen Seite notwendigerweise übermittelt werden musste. Die Argumentation zieht sich auch durch diverse Abmahnschreiben, die ich einsehen konnte.

Vom Generalanwalt des Gerichtshofs der Europäischen Union (EuGH) gibt es die Schlussanträge in diesem Verfahren. Dort weist der Generalanwalt auf den symbolischer Schadensersatz oder einen Anspruch auf ein reine zukünftige Unterlassung hin. Symbolischer Schadensersatz wäre dann 1 Euro, und der EuGH würde bei einem Spruch, wenn er sich den Argumenten des Generalstaatsanwalts anschließt (ist meist der Fall), die Begrenzung des immateriellen Schadensersatzes bestätigen. Mir ist das Thema die Tage kurz auf Twitter unter die Augen gekommen. Bei einer Websuche bin ich beim Schreiben dieses Beitrags bei Gütsel Online auf diesen Artikel von Okt. 2022 gestoßen, der den Sachverhalt aufbereitet. Auch Beck Online hat hier eine Vorlagefrage C-189/22 an den EuGH thematisiert, die ich beim schnellen Überfliegen in die gleiche Kategorie einsortieren würde.

Google reagiert auf die Ereignisse

Letzten Freitag (18. 11.2022) ist mir dann nachfolgender Tweet des Medien-Anwalts Stephan Schmidt unter die Augen gekommen. Schmidt verfolgt den Sachverhalt bei Google Fonts für eigene Mandanten und ist auf eine Google-Stellungnahme gestoßen.

Google Fonts-Stellungnahme

In einem Blog-Post Your Privacy and Google Fonts schreibt Google, dass man es, in Anbetracht der jüngsten Ereignisse und der Medienberichterstattung über Google Fonts, für notwendig  erachte, die folgende Erklärung abzugeben:

Google Fonts ist eine Bibliothek mit Open-Source-Schriftfamilien sowie eine Web-API, mit der diese Schriftfamilien in Websites eingebettet werden können. Die Menschen wollen, dass die Websites, die sie besuchen, gut gestaltet und einfach zu benutzen sind und dass ihre Privatsphäre respektiert wird. Google respektiert die Privatsphäre des Einzelnen.

Die Google Fonts-Web-API ist so konzipiert, dass die Erfassung, Speicherung und Verwendung von Daten auf das Maß beschränkt ist, das für die effiziente Bereitstellung von Schriftarten und für aggregierte Nutzungsstatistiken erforderlich ist. Diese Daten werden sicher und getrennt von anderen Daten aufbewahrt. Google verwendet die von Google Fonts gesammelten Informationen nicht für andere Zwecke und insbesondere nicht für die Erstellung von Profilen von Endnutzern oder für Werbung.

Außerdem ist die Tatsache, dass die Server von Google zwangsläufig IP-Adressen erhalten, um Schriftarten zu übertragen, keine Besonderheit von Google und entspricht der Funktionsweise des Internets.

Weitere Informationen zum Datenschutz und zur Datenerfassung über die Google Fonts Web API finden sich in den Google Datenschutz-FAQs. Ob das juristisch ausreicht, vermag ich in dieser Hinsicht nicht zu beurteilen – das werden Gerichte entscheiden. Wenn ich das OLG-Urteil zur Vergabekammer Baden-Württemberg anschaue (siehe US-Cloud-Verbotsbeschluss der Vergabekammer Baden-Württemberg verworfen), könnte das Thema "IP-Übermittlung ist schon ein persönliches Datum" irgendwann kippen. Und auch der Spruch des EuGH in Bezug auf immateriellen Schadensersatz könnte da einiges regulieren.

Es wird in meinen Augen spannend, die juristische Entwicklung zu verfolgen. Denn aktuell habe ich den Eindruck, dass das "Kind mit dem Bade" ausgeschüttet wird, und sinnvolle datenschutzrechtliche DSGVO-Anforderungen durch (diskussionswürdige) juristische Einzelfall-Entscheidungen konterkariert werden. Aktuell dürften Datenschutzbeauftragte jedenfalls mit dem obigen Thema und dessen Handhabung nicht wirklich glücklich sein (wird auch hier so diskutiert), da es den Blick auf die wirklich relevanten Probleme im Hinblick auf Datenschutzverstöße verstellt.

Ergänzung: Die Kollegen von heise haben zum 22.11.2022 diesen Beitrag zu den Abmahnungen veröffentlicht. Autoren sind Juristen, die Opfer der Abmahnwellen vertreten. Im Artikel wird auch auf die Quellen der Abmahnungen und deren "Comedy Potential" eingegangen – das hatte ich in meinen Beiträgen nur am Rande gestreift. Interessant fand ich vor allem die Einstufung des Urteils des LG München – zum Thema "Abmahnungen" hatte ich ja bereits einiges geschrieben (siehe folgende Links).

Ähnliche Artikel:
Wissen: Google Fonts auf Webseiten, Abmahnung, Prüfung-Fallen
Einstweilige Verfügung gegen Google Font-Abmahner vom LG Baden-Baden
Achtung: Neue Google Fonts-Abmahn-Welle (Oktober 2022)
Neues zu Google Fonts-Abmahnungen: Razzia bei Berliner Abmahnanwalt


Anzeige

Dieser Beitrag wurde unter Allgemein, Internet, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

52 Antworten zu Neues zu Google Fonts-Abmahnungen: Googles veröffentlicht Erklärung

  1. Sebastian sagt:

    Google kann seine Meinung ändern, oder -wie schon so oft- schlichtweg lügen.
    Es ist nicht nur die IP, sondern wenigstens auch der HTTP Header, für ein Fingerprinting schon mal ein Anfang.

    (Heisst nicht das ich die Abmahnwelle irgendwie befürworte, das ist offensichtlich die übliche Angstmache/Abzocke.)

  2. Bernd Bachmann sagt:

    Ein für Nichtjuristen wie mich, aber offensichtlich auch für Juristen, schwieriges Thema.

    Während Vorgehen und Entscheid in diesem Fall vielleicht tatsächlich überzogen erscheinen, muss man sich fragen, wo denn dann genau die Grenzen sind. Wenn Google anfängt, basierend auf den IP-Adressen Profile besuchter Webseiten zu erstellen? Wenn Google versucht, diesen Profilen — z.B. durch ein Google-Login auf einer der besuchten Seiten — eine konkrete Person zuzuordnen? Oder wenn Dritten, z.B. US-Behörden, Zugriff auf diese Daten eingeräumt wird? Und wie soll ein Webseiten-Besucher das beurteilen?

    Denn anzunehmen, dass die Fonts aus reiner Menschenliebe bereitgestellt werden, dürfte wohl etwas naiv sein.

    • 1ST1 sagt:

      Wenn aber Google schreibt, sie würden das garnicht protokollieren, was nützt dann doch ein Zugriff von US-Behörden?

      • Bernd Bachmann sagt:

        Wie schon "Sebastian" sinngemäss schrieb: Google sagt das. Weiss ich, ob das stimmt? Weiss ich, ob das morgen noch stimmt?

        • Horst sagt:

          Sorry aber wen interessiert in das morgen noch stimmt? Das kannst Du auf alle Lebensbereiche übertragen. Sowas nennt man Paranoia. Heute stimmt's und Morgen ist ein neuer Tag.

        • Christian Ortmann sagt:

          Ein reiner Verdacht genügt aber nicht. Es ist der Beweis anzutreten, dass Google tatsächlich die IP Adresse speichert. Darüber hinaus auch noch nicht anonymisiert und zu guter letzt ist der Beweis anzutreten, dass durch die reine IP Adresse überhaupt ein Rückschluss auf eine Person möglich ist. Das ist eben nicht der Fall. Die reine IP sagt gar nichts aus. Sie ist anonym und erst nach richterlichen Beschluss über den Provider zuzuordnen. Damit unterliegt das Problem aber nicht mal Google, denn dann ist der Provider die „Schwachstelle".

      • Paul sagt:

        Google schreibt nicht das sie das nicht protokollieren, sondern versprechen nur, das sie die Protokolle nur so weit unbedingt zum Betrieb nötig auswerten.
        Ein kleiner aber doch sehr wichtiger Unterschied.
        Die erweiterte Protokoll Auswertung kann ohne weiteres durch NSA & Co erfolgen. Google muss das nicht machen. Sind aber verpflichtet den geheimzuhaltenden Zugriff zu gewähren.

    • Bering sagt:

      Warum sollten "US-Behörden" Ressourcen aufwenden, um deine IP zu speichern? Was treibst du so im Internet?

      • Dolly sagt:

        Viele Behörden speichern ALLE Internet Bewegungen inklusive IPs.

        Mit den regelmässigen Versuchen, eine grossflächige Vorratsdatenspeicherung in Gesetze umzusetzen, will man endlich legal und offiziell diesen Schatz nutzen können.

    • Michael Murnemann sagt:

      Eine Internetbenutzung ohne das Übertragen von IP Adressen an Diensteanbieter ist nicht möglich, Punkt. Was s0ollte google von anderen Anbietern unterscheiden? Willst Du von allen Seiten, die Du besuchst, die Garantie, daß keine externen Ressourcen eingebunden sind? Das widerspricht der Grundidee des WWW! Wer so was will, soll auf einen Internetanschluss verzichten.

  3. Dolly sagt:

    Auf externe Einbindungen verzichten, fertig.

    Google sieht bei der Webfonts Problematik offenbar jetzt (erst), dass diese leicht auch auf reCaptcha, Analytics, Tag Manager, Adsense, Maps, Clouddienste usw. weitergedacht werden kann, daher versuchen sie jetzt Schadensbegrenzung. Ohne diese aktuelle Angst bzw. Sorge hätte Google sich jetzt garantiert nicht geäussert, die Webfonts Problematik bzgl. IP-Adresse und http Headern wurde seit DSGVO Start in diversen CMS Foren usw. immer wieder mal angesprochen und blieb bislang immer unkommentiert.

    • Michael Murnemann sagt:

      "Auf externe Einbindungen verzichten, fertig."

      Vollkommen realitätsfern. Es war die Grundidee des WWW, Information dezentral zu speichern und auszuliefern. Wer das nicht will, soll sich davon fernhalten.

      • Bernd B. sagt:

        Sorry, das ist echter Quatsch: "Dezentral" bedeutet "beim jeweiligen Anbieter" statt in einer zentralen Datenbank (z.B. Bibliothek).
        Und genau das ist auch die Bedeutung von "Auf externe Einbindungen verzichten, fertig." bzw. von sauberer und sicherheitsorientierter Webprogrammierung: Alle notwendigen Elemente werden von Servern des Webseitenanbieters (und von seiner Domain) ausgeliefert statt z.B. von der zentralen Bibliothek "Google".

        Man müsste als Malwaregeschädigter u.U. mal einen Musterprozess gegen den verantwortlichen Seitenbetreiber anstrengen, um mit der Unsitte des Einbindens dem Webmaster völlig unkontrollierbarer Inhalte aufzuräumen.

  4. McAlex777 sagt:

    Letztlich generiert jeder Internetzugriff Header-Daten wie IP-Adressen, Uhrzeiten, etc. Wer das nicht wünscht kann das Internet nicht nutzen – es lässt sich nicht vermeiden. Somit erscheint mir die DSGVO rein für IP-Adressen und Zugangszeitpunkte nicht geeignet – sondern für Inhaltsbezogene Daten.

    Letztlich sind wir mit der ganzen DSGVO, Werbung, Cookie-Bannern etc. in einem Dilemma: ohne Werbung gäbs kein Google weil niemand etwas verdient. Auf der andern Seite will auch niemand eine Welt in der für jede angesurfte Webseite 2EUR/Monat bezahlt werden muss.

    • Paul sagt:

      Wenn es ma nur 2Eur/Website/Anbiter wären…
      (Die z.B. von der Stiftung-Warentest gefordert wird, wenn man kein Abo hat..)
      Abos sind weit teuerer.

      Das mit derzeitigen Abos ist problematisch:
      Ich kann/konnte früher mir nur ein Spiegel-Abo leisten.
      Der Focus dazu? Oha, das wird "eng"…Vielleicht im Lesezirkel?
      Dann kam das Internet, und ich konnte mir "leisten" bei Spiegel und Focus und Handelsblatt den überarbeiteten dpa-Artikel zu lesen.
      Dann wurden scheinheilige "Mirocpayment" systeme zum Test eingeführt, bei denen man pro Seite bezahlen konnte. Das war von den Verlagen nicht wirklich erwünscht, die feste Einnahmen wollten, und auch nicht von schlechten Autoren, die kein Geld mehr bekamen, weil sie nicht gelesen wurden, resp. die Leser die Wahl hatten ob sich schlechte Arbeit mit guten Geld bezahlen.
      Zu dem verloren die Verlage ja an Macht.
      Wenn ich nur den Spiegel gelesen hatte, hatte sich dessen Meinung schon mal seinen Weg "gebahnt". Den Focus und das Handelsblatt konnte ich aber in Internet lesen. Unerwünscht seitens der Verlage, weil u.U. andere Meinung…

      Also wurde das "mikropayment" für gescheitert erklärt.
      Jetzt werden mit teureren Abos die Meinungen wieder monopolisiert…

      (Besonders perfide sind die Abo Dienste Netflix &Co.:
      Jeder Dienst bietet nur eine Untermenge aller Titel an.
      Will ich Sony und Warner Musik hören (nur ein Beispiel),
      dann muß ich 2 Abos abschliesen, zu min. 10 Euro mtl.)

  5. 1ST1 sagt:

    Finde ich ganz schön scheinheilig bzw. dreist, mit einem Google Chrome Browser eine Seite aufzurufen, und dann gegen einen eingebetteten Google-Font wegen DSGVO-Verstoß zu klagen.

    • McAlex777 sagt:

      Ich glaube das Thema Datenschutz lässt sich praktisch garnicht mehr wirklich einfangen in einer mit dem Internet vernetzten Welt. Windows/MacOS/Android/iOS werden aus komfortabilitätsgründen immer mehr zu Cloud-Betriebssystemen – der Anwender profitiert davon in nie gekanntem ausmaßen. Und natürlich fallen da überall Daten an von denen die Firmen profitieren.

      Will ich alle 3min im Betriebssystem eine DSGVO-Warnung sehen?

      Will ich jeden externen Datenzugriff auf Webseiten abnicken müssen, und wenn ich auf nein Klicke mögliche KomfortFunktionen einbüssen müssen?

      • Paul sagt:

        "Will ich jeden externen Datenzugriff auf Webseiten abnicken müssen, und wenn ich auf nein Klicke mögliche KomfortFunktionen einbüssen müssen?"

        JA, weil es mein Recht ist und ich nicht wie entmündigt behandelt werden will.

        Bei den Icons zu fb&co. machen einige Anbieter das schon jetzt (schon lange) so, das ich als Leser das entscheiden darf.

        Wie sagte Snowden einst sinngemäß:
        "Freiheit ist wie die Luft zum Atmen.
        Du merkt erst was Du hattest, wenn sie Dir genommen wurde."

        Oder

        "Freiheit ist wie die Luft zum Atmen. Man muß erst die Luft abgedrückt bekommen bevor man nach ihr schnappt.
        Thomas E. Turm"

    • Bernd B. sagt:

      Nutzer des "Google Chrome Browser" sind die Unwissenden, Naiven und Leichtsinnigen, denen die DSGVO sowieso egal ist.
      Datensensiblere Menschen nutzen bessere/sicherere Browser und manche härten sie sogar noch zusätzlich. Auch Daten dieser Menschen werden aber über die Einbettung von 3rd-party-Elementen in Webseiten abgeschöpft (wenn man sie nicht z.B. per z.B. uMatrix und/oder LocalCDN blockt).

      Die Menge der Datensensiblen und die Menge der oft als Ausrede aufgerufenen Chrome-/Twitter-/Facebook-/…-nutzer dürfte eine sehr überschaubare Schnittmenge haben.

  6. Paul sagt:

    Wenn ein technisches Gerät eine Überwachung von Mitarbeitern erlaubt, dann ist es Mitbestimmungspflichtig. Der Arbeitgeber kann 10mal schwören, das er die Kamera zu Überwachung der Dohlen auf dem Dach natürlich zu nichts anderem nutzen wird, weil das ja auch garnicht gehen würde.
    Aber er könnte es, rein theoretisch!
    Und daher greift der Daten/Persönlichkeitsschutz und er muß einen konkreten Grund für diese Kameras nachweisen…
    (Es gibt da noch groteskere Beispiele)

    Und "technisch nötig" ist ein direkter Zugriff auf Google Server ja definitv nicht. Es wundert mich das Günter diesen Aspekt ausschließt:

    Zum einen könnten die Fonts auf dem eigenen Server gehostet werden.
    Zum anderen könnte der eigne Server als Proxy dienen und
    die Daten von Google holen.

    Das hat nur den "nachteil" das u.U. der Browser für jede jeder Webseit diese Fonts immer wieder cachen muß(Ich weiß jetzt nicht ob es ein Protokoll gibt, das nur die Prüfsumme übergibt und der Brower guckt, ob dieses schon im Cache steht.
    Datenschutz first!

    Und:
    – Hatte Google nicht mal den Satz "Don't be evil" aus ihren AGBs gestrichen?
    – Das Hosten und die Fonts kosten Google Geld, reales Geld.
    warum verschenkt Google diese Geld?
    Weil sie Gutmenschen sind?
    Wohl kaum, oder?

  7. Paul sagt:

    Es gibt etliche Webseiten, die den Zugriff auf Twitter,FB etc. explizit hinter einem
    "Optin-Schalter" verstecken (heise z.B.)
    Und zwar weil diese schon nur wenn ihr Icon abgerufen , diese IP adresse speichern.
    Man kann das Problem also lösen.
    Denn das Icon wird, ohne diesen Schalter, schon bei ersten Seitenaufbau abgerufen!

    Das ist natürlich auffällig.
    Google ist da bauernschlauer/gerissener/schlitzohriger/erfahrener/geschickter, und bietet einen "kostenlosen" Font an…
    da ist es schwierig zu fragen:
    "Willst Du das mit dem Google Font oder mit den eingebauten Fonts sehen"…
    in welchem Font schreibt man das?

    Man sollte auch nicht übersehen, das viele Leute einen Account bei Google, fb, YT, TW
    habe und sich da nicht andauern an und abmelden.
    D.h. Google könnte genau sehen, wer hinter dieser IP steckt, der den Google-Font
    mit dem Referer "DickeMöpse.de" oder "bka.de" abruft…

    Ja, klar machen sie es nicht. Sie lieben uns ja alle und ehren uns wie ihre eigenen Eltern und würden niiiie schwindeln, weil dann kämen sie ja nicht in den Himmel.
    Und: Niemand hat die Absicht ein Profil zu bilden…

    Merke:
    Wenn etwas kostenlos ist, bist Du die Ware.

  8. Michael sagt:

    Bezüglich "Ist es erklärtes Ziel der dritten Stelle, die IP-Verkehrsdaten zum Nutzertracking zu sammeln oder nicht. Bei den Google Fonts kann ich dies nicht erkennen. "

    Mal angenommen jede Webseite setzt Google Fonts ein und die Nutzer stellen entsprechend häufig eine Verbindung mit den Google-Servern her, dann lässt sich hiermit fast genauso gut ein Profiling von den Interessen und der Identität der User generieren.
    Es ist bei der DSGVO auch nicht von Bedeutung, ob der Dienst die Daten tatsächlich hierfür verwendet, sondern ob es eine solche Nutzung ermöglichen kann (s. auch personenbeziehbare vs personenbezogene Daten).

    Die jeweiligen Webseitenbetreiber sind entsprechend in der Pflicht sicherzustellen, dass Dienste, die sie anbieten DSGVO-konform sind, auf Alternativen ausweichen oder jeweils die explizite Zustimmung der Nutzer einfordern.

    • Michael sagt:

      Das ist so nicht 100% korrekt, eine gewisse auf Vertrauen basierte herangehenesweise brauchst du hier trotzdem. Wenn ein Anbieter mit Brief und Siegel schwört, dass er keine Daten sammelt, dann reicht das für die DSGVO außer es gibt nachweislich triftige Gründe das nicht zu glauben.

      Andernfalls stelle ich mir das schwierig vor, wenn selbst der kleine Dorf Krämerladen bei seinen Serviceprovidern ein Audit durchführen muss um zu gewährleisten, dass dessen Partner auf jeden Fall DSGVO konform sind und auch wirklich die Wahrheit erzählen.

  9. Anonym sagt:

    Nur so nebenbei: Hier im Blog ist ein Bild von "Bloggerei.com" eingebettet. Es ist immer mühsam so etwas zu suchen und zu blocken (wie VG Wort)

    Da Google und andere Advertising-Firmen extrem umfangreiche Profile anlegen und "Dank" Fingerprinting auch ohne Cookies, ist es einfach nur bizar, dass sich EU-Bürokraten auf eine 20 Jahre alte Technik eingeschossen haben. Neue Ansätze, z.B. Teslas Kamera-Rundumüberwachung werden völlig ignoriert. Das ist nicht Neuland, sondern eine Reise, die vielleicht in irgendwann in Neuland ankommt.

  10. Roger B sagt:

    Internet und lokale Daten passen nicht zusammen. Wenn weltweit jeder Webserver seine Fonts lokal weltweit speichern würde … OMG … Datenschutz ist wichtig, aber das Thema google fonts versperrt den Blick die wichtigen Dinge, gottseidank sind da nur wir hier wieder am Thema vorbei: Fachkräftemangel vom Gericht bis zu den Datenschützern.

  11. R.S. sagt:

    Nutzertracking geht ganz ohne Google-Fonts und Cookies.
    Jeder Browser schickt seine Kennung ins Netz (inkl. Betriebssystemversion auf dem er läuft) und eine IP hat man auch.
    Aus diesen beiden Daten lässt sich schon ein Tracking aufziehen.
    Natürlich könnte man die Browserkennung auch unterdrücken, aber da das kaum jemand macht, ist man wieder erkennbar.
    Und viele Webseiten fragen die Browserkennung ab, um die Inhalte entsprechend aufzubereiten (z.B. für Mobilgeräte optimiert).
    Diese Daten werden also für ein funktionierendes Web gebraucht.

    Zu Tesla:
    In den Fahrzeugen gibt es eine Rundumüberwachung, auch des Innenraums!
    Streng genommen müsste der Fahrer seine Mitfahrer, bevor die einsteigen jedes Mal um Einverständnis fragen.
    Abschalten kann man diese Überwachung afaik nicht und die Daten landen auf Tesla-Servern. Selbst wenn die in der EU stehen würden, wer garantiert, das die nicht auf Server in den USA gespiegelt werden?
    Ich würde jedenfalls niemals in einen Tesla einsteigen.

    • Paul sagt:

      "Nutzertracking geht ganz ohne Google-Fonts und Cookies.
      Jeder Browser schickt seine Kennung ins Netz (inkl. Betriebssystemversion auf dem er läuft) und eine IP hat man auch."

      Jeder Browser schickt auch seine Preferenzen mit.
      Die können ganz schön lang sein und sehr individuell.
      Da braucht es keine IP mehr und keinen Cookie. Jupp.
      Und wenn Cookies gesetzt sind gleich garnicht.

      (Anderer Problemkreis: Wer mag, kann ja mal mit aktiver "chinesischer Sprache" surfen und sich über die Ergebnisse wundern….)

    • Dolly sagt:

      > Nutzertracking geht ganz ohne Google-Fonts

      Darum geht es hier aber gar nicht.

      Es geht darum, dass über die externe Einbindung der Google Fonts einer dritten und ggf. weiteren dort wie auch immrr zugriffsberechtigten Parteien ein (theoretisches) Tracking ermöglicht wird.

  12. Andy sagt:

    "Früher" wäre die Einhaltung der DSGVO einfach gewesen – oder des damals schon geltenden BDSG. Da war es schlichtweg normal, dass die angesurften Webseiten ihr Zeug alleine auslieferten. Selbst die Werbung übrigens, dank pay per Klick. Man hatte auch wenig Vertrauen in Drittdienste.
    Die Technik wurde aber ohne Rücksicht auf den geforderten Datenschutz so weiterentwickelt, dass das Einhalten der Regeln – und das Wollen – quasi außerhalb der Norm gelandet ist.
    Man sollte sich da nichts vormachen. Die großen Dienste leben vom Verstoß und sind sicherlich absichtlich so gestaltet.
    Es ist so normal geworden, einfach Dinge und Dienste einzubinden, den Nutzer zu tracken und ihm das nicht mitzuteilen, dass die gesetzlichen Regelungen als anachronistisch empfunden werden. Trotzdem vertraut heute gefühlt jeder auf Drittdienste, die werden schon keinen Unsinn machen.

    Zum Konkreten:
    Über die Abmahnungen muss man da nicht reden, das ist Missbrauch.
    Rein von der Sache her, sind die meisten Einbinder von google-fonts aber in Sachen Nutzerrechte schief gewickelt. Die Fonts oder Dienste werden eingebunden, weil es geht. Egal, was Google da macht. Wenn es anders wäre, hätte Google nicht Stellung nehmen müssen, weil sonst jeder Betreiber selbst hätte beantworten können, was google damit macht und was nicht. Stattdessen war großes "häh, worum gehts?".
    Wenn man Interesse daran hätte, was der Font-Lieferant mit den Daten der Kunden macht, hätte man sich das auch vertraglich zusichern lassen können. Oder irgendeine Zusicherung in deren Bedingungen suchen und speichern. Dad wäre auch nötig. Weil der Font-Lieferant nämlich alles machen kann, selbst Skripte ausführen, Hackversuche starten oder halt Profile basteln. Und dafür haften tut man dann selbst.
    Hier fehlt es meist an einer minimalen Sorgfalt in Bezug auf die angeblich eigenen Nutzer.
    Über sowas wird doch von den meisten gar nicht mehr nachgedacht, die sich ihre Webseite zusammenklicken. Klick hier, Analyse brauche ich; klick da, schöne Schriftart; klick dort, Mailformular zum Einbinden, alles ganz leicht. Und zu Null Prozent interessiert da doch, was die alle mit den Daten der angeblich eigenen Kunden machen.
    Wer da nicht sagen konnte, was Google da genau macht, der sollte (nach dem Anwaltskontakt zur Abwehr der Abmahnung) zumindest mal ganz intensiv darüber nachdenken, ob er sich nicht vielleicht noch ein anderes und vielleicht viel, dickeres Problem irgendwo zusammengeklickt hat.

  13. Bernie sagt:

    Ich zitiere hier mal einen Beitrag von Mike Kuketz auf seinem Forum:

    "Wenn wir spitzfindig sein wollen, dann ist eine IP-Adresse kein personenbezogenes Datum, allerdings ein personenbeziehbares. Bedeutet: Über eine IP-Adresse kann die Zuordnung zu einer natürlichen Person mittelbar erfolgen."

    Recht hat er, und wie Google die Daten weiterverarbeitet bzw. verknüpft, wei weiß das schon…

  14. Luzifer sagt:

    Die Abmahnanwälte kriegen ihr Fett ab, aber mit den Sitebetreibern hab ich auch kein Mitleid. Sorry wer meine Rechte nicht achtet, braucht darauf nicht hoffen… meine Daten sind Meins!

    Ich bin da nicht kleinlich, könnt ihr alles haben inkl. sexueller Vorlieben, Politischer Einstellungen usw. nur eben nicht einfach geklaut sondern gegen entsprechendes Entgelt.
    Und nein diese Daten sind auch nach Kauf nicht zur Weiterverbreitung, sondern nur gezielt für den einmaligen Zweck und nur für den Käufer bestimmt. Abo ist auch möglich. Und ja die Daten sind nicht billig! Das sind keine Rohstoffe wo die Komerzgeier einfach so Raubbau betreiben dürfen.
    Und ja wie bei jedem Geschäft behalte ich mir vor mit wem ich Geschäfte mache und wem nicht.

    Die Seitenbetreiber wollen ja schließlich auch nicht das man Ihre Informationen auf der Seite so einfach weiterverwertet!

  15. mw sagt:

    Die Abmahnerei ist IMHO rechtsmißbräuchlich, aber die Einbindung "fremder" Inhalte, also von einem anderen Server, ist definitiv ein Fall für die DSGVO. Ich möchte informiert zustimmen, von welchen Seiten mein Browser Informationen abruft. Dann sind die Webseiten vlt. nicht mehr so schick. Was soll's? Goggle selbst erklärt, daß es die IP Adressen nutzt und behauptet nur, daß keine Auswertungen zur Nutzeridentifikation gemacht werden. Wer glaubt's? Spätestens seit dem Nutzertracking und den Werbeinblendungen, ist das Internet an sich böse. Es gibt durchaus interessante Webseiten ohne Google Fonts und ohne Werbung. blog.fefe.de ist ein gutes Beispiel.
    Auch der VG Wort Zählpixel ist IMHO nicht in Ordnung. Die Nutzung der Seite kann auch über Statisken im Webserver erfasst werden. Technisch notwendig ist das sicher nicht. Auch hier geht es um Tracking.

    • Günter Born sagt:

      Zum letzten Absatz zum VG Wort Zählpixel. Du hast offensichtlich nicht verstanden, warum VG Wort Zählpixel eingesetzt werden. Texte im Internet können von der Verwertungsgesellschaft Wort vergütet werden, wenn bestimmte Kriterien erfüllt sind (Textlänge, Abrufzahlen, Zählpixel eingesetzt, Wahrnehmungsvertrag mit der Verwertungsgesellschaft). Das Zählpixel hat einzig die Aufgabe, dass die VGWort die Abrufzahlen eines gemeldeten Beitrags erfassen kann – so viel zu deiner "technisch notwendig ist das sicherlich nicht" Argumentation. Die VGWort-Vergütung (gespeist aus Abgaben der Geräteimporteure) trägt einen substantiellen Anteil der Finanzierung der Blogs.

      Natürlich hindert dich niemand, nur Webseiten aufzusuchen, die keine Werbeeinblendungen, keine VGWort-Zählpixel und auch sonst kein Tracking – und auch keine anderen externen Inhalte (z.B. Bilder) einbinden. Fürchte, es wird dann sehr einsam.

      • Steve sagt:

        Das mit dem Zählpixel muss man differenzieren. Niemand stellt in Abrede, dass die Vergütung gezahlt werden soll.
        An sich würde es aber doch reichen, die eigene Serverstatistik an die VG Wort zu senden um die Vergütung zu bekommen.
        Natürlich glauben/vertrauen die dem Webseitenbetreiber nicht und wollen eine unabhängige/eigene Zählung.
        Nur: Was habe ich als Nutzer damit zu tun? Faktisch wird da über meinen Kopf hinweg entschieden, dass es datenschutz-unfreundlich gemacht wird, weil die VG Wort dem Betreiber nicht vertraut. Da ist der Nutzer der Dumme.
        Ich habe dennoch in uBlock eine Ausnahme für das Trackingpixel gemacht, weil der Betreiber da sonst auch nur das arme Schwein wäre, wenn ich da den Datenschutz einseitig durchsetze.

  16. Sven Heuer sagt:

    Und jetzt bricht das Kartenhaus zusammen. Der Webserver, der auf einen externen Link verweist, überträgt die IP Adresse an Google gar nicht. Das macht ganz allein und in Eigenverantwortung der Browser. Er entscheidet, ob Google fonts nachgeladen werden müssen oder nicht. Es ist eine Empfehlung den Font zu nutzen aber kein Zwang. Irgendwie läuft die Diskussion IMHO völlig falsch.

    Dazu reicht es in jedem Browser mal die Developer Tools zu öffnen auf Netzwerk zu gehen und mal ne Webseite aufrufen. Dann sieht man welche Ressourcen abgerufen werden. Das ist aber immer aus Browser Sicht. Dann wird klar, das der Webserver die IP Adresse gar nicht an Google liefert.

    • Bernd B. sagt:

      Richtig, das macht der Browser – aber automatisiert (nur mit Addons oder anderer Extrakonfiguration unterdrückbar), insofern liegt das schon in der Verantwortung des jeweiligen Webmasters.

      • Sven Heuer sagt:

        Richtig. Aber wenn ich ein Produkt nutze sollte ich mich damit mal vorher auseinander setzen (egal ob Toaster oder Browser) und dann finde ich die Einstellung. Zu behaupten ich wusste nix von der Einstellung bedeutet ich kann in einen Toaster auch ein Ei werfen und mich dann beschweren das der Toaster kaputt ist und meine Küche abgebrannt ist. Aber Eigenverantwortung ist ein Begriff der aus der Mode gekommen ist.

    • 1ST1 sagt:

      Der Browser muss natürlich seine öffentliche IP-Adresse an Google melden (bzw. der davor hängende Router/Proxy macht das), damit der Google-Server den Zeichensatz an den Browser zurück liefert. Außerdem senden die Browser immer einen Referer mit, damit der Zielwebserver weiß, von wo man kommt. Korrekterweise müsste also der Browser-Hersteller dafür abgemahnt werden, dass er einen Referer schickt, und der Internet-Provider, dass er einem eine IP-Adresse zuweist, über die jemand per Staatsanwaltschaft und begründetem Verdacht eines schweren Verbrechens identifizierbar ist, sofern die nach EU-Recht nicht zulässige Vorratsdatenspeicherung funktioniert.

      Natürlich kann Google auch nur anhand der IP-Adresse und ohne Staatsanwaltschaft/Vorratsdatenspeicherung jemanden identifizieren, und zwar dann wenn derjenige deren Chrome-Browser benutzt, idealerweise im Chrome per Google-Account angemeldet, und/oder bei der Google/Youtube/Blogspot/…-Webseite etwa zeitgleich zum Abruf des Google-Fonts angemeldet ist. Aber selbst das ist nicht unbedingt eindeutig, denn hinter einer ISP-IP-Adresse (Router/Proxy) können mehrere Personen an verschiedenen PCs / Terminalserver-Sitzungen (denke da auch an ein öffentliches WLAN!) angemeldet sein!

      Das alles macht die ganze Paranoia nur noch absurder. Immerhin bettet Borncity nicht auch noch Tweets direkt ein sondern macht Screenshots, im Gegensatz zu vielen anderen Nachrichtenseiten, aber selbst da könnte dem Seitenbetrieber dann die Urheberrechtskeule schwingen. Ob jetzt Google, Facebook, Twitter, die schnüffeln einem alle auf diese Weise hinterher. Oder man denke an in Seiten eingebettete Youtube-Videos, beim Bilderhoster eingebettete Bilder, hier denke man auch an Internet-Foren, wo Teilnehmer solche Sachen selber in ihre Beiträge einbinden können, alles Überwachung pur, oder???

      Am Besten eine Aluhut aufsetzen und nur noch mit Lynx surfen, das ist sicher…

  17. Sven Heuer sagt:

    Richtig,

    Oder der Gesetzgeber macht endlich seine Hausaufgaben. Das Thema kommt immer wieder hoch.

  18. EDV-Opa sagt:

    Darf ich ein kleines Update beitragen?
    Die Justiz geht gegen die Abzockmasche des Anwalts Kilian Lenard vor. Er soll 350.000 Euro von eingeschüchterten Website-Betreibern erpresst haben.

    Quelle: Tagesspiegel-Artikel

    • Dolly sagt:

      Dieser Absatz ist nachvollziehbar, um dem Anwalt darüber auf die Finger zu klopfen:

      .. Besuche dieser Internetseiten automatisiert .. Doch der Anwalt und sein Mandat sollen sie getäuscht haben, indem sie behaupteten, eine Person habe die Websites besucht. Doch mangels Person läge dann keine Verletzung eines Persönlichkeitsrechts vor.

      Dieser Absatz dagegen ist meiner Meinung nach einfach falsch. Wenn das tatsächlich die Begründung der Staatsanwaltschaft sein sollte, wird sie vor Gericht so nicht haltbar sein:

      Weil sie diese Internetseiten bewusst besucht haben sollen, hätten sie faktisch der Datenübermittlung zugestimmt – womit es auch keinen Datenschutzverstoß gebe.

      • Günter Born sagt:

        @Dolly: Es ist kein Wortzitat, sondern ein Text des Journalisten. Vom Sachverhalt ist die Konstruktion nicht mal zu windig: Der Anwalt und sein Mandant haben Webseiten abgegrast, in der Hoffnung, einen angeblichen Datenschutzverstoß zu finden. Könnte man juristisch vermutlich schon als "liegt kein Datenschutzverstoß, der eine Schadensersatzpfliche auf Grund individuellen Unwohlseins, wie das LG München in seinem Urteil konstatiert" konstruieren. Es könnte auch ein Zitat aus der Anzeige eines Anwalts sein, der den Rechtsmissbrauch bei der Staatsanwaltschaft auf den Tisch gebracht hat. Und wenn ein Bot die "Rechtsverstöße" protokolliert haben sollte, liegt wirklich kein Datenschutzverstoß vor – imho.

        @EDV-Opa: Danke für den Link. Das Thema ist im Blog unter Neues zu Google Fonts-Abmahnungen: Razzia bei Berliner Abmahnanwalt behandelt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.