Zugegeben, die Meldung ist ja jetzt nicht ganz neu. Aber da sie bei vielen meiner Leser und auch Kunden noch nicht durchgedrungen ist, helfe ich etwas nach.
Das Landgericht München hat ein beispielloses Urteil in einem eigentlich eher unbedeutendem Verfahren erlassen. Zugegeben, die Materie ist wirklich komplex und nicht leicht zu vermitteln. Vielleicht betreiben deshalb so viele Nachrichtenportale und Akteure in ihren Meldungen darüber Clickbaiting, was zwar irgendwo verständlich ist, aber auch noch mehr Chaos und Verunsicherung erzeugt. Und weil schon jetzt viele Fehlinterpretationen dieses Urteils und seiner möglichen Konsequenzen im Umlauf sind, halten wir uns hier an die Fakten.
Was sind Google Fonts und was ist das Problem?
Google Fonts sind Schriften in Dateiform, die man unter anderem für die Darstellung auf seiner Webseite nutzen kann. Vor den Google Fonts mühten sich Webdesigner mit diversen technischen Krücken ab, um nicht immer die ewig gleichen Systemschriften einsetzen zu müssen (Arial, Helvetica,Georgia …). Unabhängig wie man zu Google und seinen Geschäftspraktiken steht, den Beitrag zur Web-Typography durch die Bereitstellung dieser kostenlosen Schriften kann man nicht wegdiskutieren. Es gibt zwei Möglichkeiten, um einen Google Font auf seiner Webseite zu nutzen. Erste Möglichkeit: man lädt sich den jeweiligen Google Font vom Google Server herunter und hostet sie lokal auf seinem eigenen Webspace. Das ist für den Laien nicht ganz einfach zu handhaben, weshalb Google auch einen einfacheren Weg anbietet. Zweite Möglichkeit: Die Schriften verbleiben auf dem Google Server und man bindet sie einfach von dort über eine Schnittstelle (API) auf seiner Webseite ein. Abgesehen vom Komfort hat das für den Webseitenbetreiber weitere Vorteile. Eine schlankere Webseite ist zum Beispiel einer.
So weit, so gut.
Wenn es nur so einfach wäre …
Natürlich gibt es (mindestens) einen Haken an der Sache.
Werden die Fonts auf der Webseite über die Schnittstelle des Google Server ausgeliefert, hinterlässt jeder Besucher dieser Webseite seiner IP-Adresse bei Google. Damit könnte man eigentlich leben, denn so funktioniert das Internet nun einmal. Leider ist man schon vor Jahren auf die Schnapsidee gekommen,und hat die IP-Adresse zu einer persönlichen Information, sprich zu einem persönlichen Datum erklärt. Persönliche Daten? Schutz von persönlichen Daten? War da nicht was?!
Der Datenschutz (DSGVO und so) erlaubt die Weitergabe, Sammlung und Speicherung von persönlichen Daten (IP Adresse) an Dritte (Google) nicht. Es sei denn, ihr bittet den Besucher vorher um Erlaubnis. Falls ihr euch jetzt fragt, wie sinnvoll das sein mag, extra einen Besucher zu fragen, ob die Webseite Schrifttypen einsetzen soll oder nicht – auf diese Idee sind andere Leute auch schon gekommen.
Und schon sind wir beim „berechtigten Interesse“ und der „funktionalen Bedeutung“.
Ein Paragraph in der Datenschutzverordnung wirkte wie das ersehnte Eiland, auf das sich ein Schiffbrüchiger rettet. Auch die Macher von DSGVO und co. mussten anerkennen, dass es Techniken im Internet gibt, deren Nutzung man nicht von der Laune des Nutzers abhängig machen kann. Sie sind von funktionaler Bedeutung für den Betrieb einer Webseite und damit nicht zustimmungspflichtig. Nun ist die Frage, was jetzt alles für den Betrieb einer Webseite essenziell ist, etwas für die Philosophen.
Selbstverständlich haben sehr viele Webdienstleister und -seitenbetreiber in dieser vermeintlichen Nische Zuflucht gesucht und es auch übertrieben. Es wurde einfach vieles, was nicht bei 3 auf den Bäumen war, entweder als funktional, essenziell oder berechtigt erklärt. Dumm nur, dass das LG München das berechtigte Interesse und auch die funktionale Bedeutung bei Google Fonts beiseite gewischt hat. Damit ist dieses Schlupfloch wohl geschlossen worden.
Das Gericht in München hat nicht generell die Nutzung der Google Fonts verboten. Wer diese unbedingt einsetzen möchte, soll sie einfach lokal einbinden. Auch über die API des Google Servers ist das erlaubt, sofern man die Besucher vorher um Erlaubnis bittet. Ihr wisst schon, die überall so beliebten Cookie Consent Pop-up Fenster. War es das damit?
Es wäre aber selbst dann wieder mal viel zu einfach … (wie sollte es auch anders sein).
Das nächste Problem tut sich auf
Warum gerade Google?
Amerikanische Firmen sind per Gesetz verpflichtet, ihren Ermittlungsbehörden und Geheimdiensten, auf Verlangen Zugriff auf die gesammelten Daten zu gewähren. Gesammelte Daten? Ihr erinnert euch? Die IP Adressen …
Da gab es dann einige Gedankenspiele wie zum Beispiel, dass Google die anfallenden Daten für die Europäer auf Servern in Europa speichert und diese den Kontinent nicht verlassen. Mal abgesehen davon, dass das konzeptionell ein Rückfall in die Steinzeit wäre, klappt das schon allein deshalb nicht, weil US amerikanische Firmen ALLE gesammelten Daten herausgeben müssen, egal wo diese erhoben oder gespeichert werden. Und damit stehen wir wieder vor demselben Dilemma. Unsere Datenschutzbehörden sehen hier den Schutz von Personendaten verletzt, allein weil die US Gesetzeslage eine solche Herausgabe von Daten theoretisch ermöglicht.
Bis vor ein paar Jahren waren Rechtsabkommen und Vereinbarungen in Kraft, die diesem Umstand abhelfen sollten. Safe Harbour usw. Diese sind mittlerweile alle Null und Nichtig, so dass derzeit nicht einmal eine Rechtsgrundlage für die Nutzung US amerikanischer Services auf Webseiten existiert. Aber wenn es keine Rechtsgrundlage für die Google Fonts Nutzung gibt, ist dann der Vorgang nicht als solches rechtswidrig, selbst wenn ich als Webseitenbetreiber meine Besucher um Erlaubnis bitte? Das Anbieten rechtswidriger Services Dritter ist doch nicht auf einmal legal, nur weil ich jemanden darüber informiere? Ich muss gestehen, dass ich kein Jurist bin und daher diese Frage unbeantwortet lassen muss. Wieder etwas, über das sich Datenschutzbehörden, der Gesetzgeber und Gerichte den Kopf zerbrechen müssen. Und da habe ich wenig Hoffnung auf praktikable Lösungen und Ergebnisse. Wie es aussieht, gibt es seitens der hiesigen Stellen keine sonderliche Eile, wieder ein solches Abkommen zu installieren oder Abhilfe zu schaffen. Über die Beweggründe kann man nur spekulieren.
Da in diesem Fall explizit über den Einsatz von Google Fonts geurteilt wurde, könnte man sich jetzt auf andere Anbieter zurückziehen und beispielsweise Adobe Fonts einbinden. Ihr merkt das aber sicher – das fällt auch unter das Motto: Der nächste Herr, dieselbe Dame. Adobe unterliegt ebenso der US amerikanischen Rechtssprechung, die ja an sich unseren Datenschützern ein Dorn im Auge ist. Auf einmal geraten alle US basierten Anbieter unter Verdacht und können deutschen Webseitenbetreibern Abmahnungen bescheren. Viele kleinere Webseitenbetreiber wissen auch noch gar nichts von ihrem „Glück“. Und wir reden hier gerade nur von Google Fonts, also Schriftdateien – bei deren Auslieferung an Anfragende „nur“ die IP-Adresse gespeichert wird. Google Maps, Youtube, Google Analytics (!), Instagram, Spotify ….
Wie kann sich der WordPress Benutzer absichern?
Vorweg: eine Generallösung gibt es nicht. WordPress ist ein so riesiges und vielfältiges Ökosystem an Möglichkeiten geworden, da ist eine pauschale Lösung auf Knopfdruck einfach nicht mehr machbar. Wie schon weiter oben im Text erwähnt, muss man ja die Google Fonts nicht mal selbst und willkürlich vom Server einbinden. Es sind eine Reihe von Menschen überrascht, wohin ihre Webseite so hin telefoniert. Die Theme Anbieter wollen ihre Käufer durch möglichst komfortabel zu benutzende Templates überzeugen. Die Themes binden dann bereits im Grundzustand diverse Google Dienste ein, was sich oftmals nicht einfach deaktivieren lässt. Und da sind die Fonts noch das kleinste Problem. Manche Plugins ziehen sich aus welchen Gründen auch immer ebenso Google Fonts direkt vom Server. Dann gibt es die Dienste, die man gar nicht auf der WordPress Webseite an sich installiert, aber auf Seiten und Beiträgen einbettet. Dann erklären Sie mal jetzt einem Kunden, dass er ab sofort auf sein Terminbuchungstool oder Formularplugin verzichten soll, das womöglich integraler Bestandteil einer ganzen Prozesskette ist. Falls jetzt jemand berechtigtes Interesse anmeldet: ich könnte mir denken, dass unsere mit beiden Beinen fest in der Praxis verwurzelten Verantwortlichen der Meinung sind, dass eine Email-Adresse oder eine Telefonnummer durchaus genügen würden, um einen Termin zu vereinbaren.
Welche Werkzeuge stehen zur Verfügung?
Solange uns der ganze Cookie-Consent-Kram erhalten bleibt, sind Plugin-Lösungen wie Borlabs Cookie, Cookiebot, Real Cookie Banner oder Complianz recht nützlich. Mit denen hat man schon mal eine ganze Menge von Cookies, Diensten und Skripten unter Kontrolle.
Um erstmal das Thema Google Fonts anzugehen, rate ich zu diesen Helferleins:
Der Borlabs Fonts Blocker unterbindet Google Fonts vom Server in zahlreichen Themes recht zuverlässig. Allerdings gleicht das einem Wettlauf zwischen Hase und Igel. Es gibt einfach zu viele Möglichkeiten der Einbettung. Alle wird der BFB nicht finden.
Ein wirklich geniales Plugin ist OMGF (Optimize My Google Fonts). Es blockt nicht nur Google Fonts vom Server, sondern speichert diese vorher in seinem Cache ab und bindet sie dann lokal ein. Somit bleibt die Typographie der Webseite erhalten. OMGF ist zwar immer noch als Freemium Software erhältlich, aber in der kostenfreien Version hat es viel an Funktionalität eingebüßt hat. Das muss dann jeder selbst entscheiden, ob er sich durch den Kauf der Pro Version einen weiteren Rechnungsposten ans Bein binden will. Je nach verwendetem Theme oder Plugin kann auch OMGF an seine Grenzen stoßen. Es gibt auch dort Kompatibilitätslisten.
Weitere recht zuverlässige Plugins sind auch Disable and remove Google Fonts, Autoptimize (obwohl es für etwas anderes gedacht ist) oder auch clearfy.
Die klassische Bastlerlösung findet ihr hier.
Das richtige Theme
Ganz klar ist: die Theme Anbieter müssen nochmal ran, wenn sie auf ihre deutsche (europäische) Kundschaft nicht verzichten wollen. Aber bis das soweit ist, kann es zu spät sein. Die US Amerikaner haben an sich weitaus weniger Berührungsängste vor der Vernetzung und dem Datenaustausch. Google gibt und Google nimmt. Sie sehen das wie ihr ehemaliger Präsident als eine Art Deal. Inwiefern die auf europäische Befindlichkeiten Rücksicht nehmen werden, steht noch in den Sternen. Dasselbe trifft auf Plugins und andere Dienste zu.
Bei den Platzhirschen unter den Themes kann man sich meistens sicher sein, dass einem dort nicht unter dem Radar irgendwelche Google Fonts reingeladen werden. Divi bietet beispielsweise in den Theme Options eine Möglichkeit, die Verbindung zum Google Fonts Server zu deaktivieren. GeneratePress stellt zusätzlich noch Code Snippets bereit, um auch wirklich alle Verbindungen zu Google zu kappen. Problematisch sind dann meistens die Multi Purpose Themes, die mit zig Funktionalitäten und Features daherkommen, wo man nie sicher sein kann, was da noch nachträglich geladen wird. Das ist dann zum Teil tief im Theme integriert, so dass die Hersteller gar nicht so schnell reagieren können, selbst wenn sie es denn wöllten.