„Sagen Sie nicht, dass Sie nicht gewarnt wurden …“ Bereits 2018 haben wir unsere Kunden um die dringende Prüfung ihrer Website in Hinsicht auf die neue DSGVO gebeten. Wir machten Angebote zur Beratung durch unseren Datenschutzbeauftragten und informierten seitdem regelmäßig in Blog-Artikeln dazu.
Unsere Kunden gingen daraufhin ganz unterschiedlich vor: Aktualisierung durch uns, eigener Datenschutzbeauftragter, eigene Prüfung – einige wurden nicht aktiv. Soweit wir nicht involviert waren, ist uns der aktuelle Status auch nicht bekannt.
Einige Kunden bzw. Website-Betreiber, die bisher nicht für DSGVO-Konformität gesorgt haben, erhielten in den letzten Tagen zahlungspflichtige Abmahnungen, die durchwegs den Einsatz von Google Fonts betrafen.

Das Problem mit Google Fonts

Google Fonts ist ein Dienst, mit dessen Hilfe individuelle Schriften in eine Website eingebettet werden können. Nach Aufruf einer Website werden die Schriftendateien direkt vom Server von Google temporär auf das Endgerät des Besuchers heruntergeladen. In dem Zuge werden jedoch wiederum personenbezogene Daten (z. B. die IP-Adresse) des Nutzers an Google, meist zu Servern in den USA, übermittelt.
Ein Hinweis in der Datenschutzerklärung reicht nicht aus, da beim Aufruf der Website die Schriften direkt geladen werden. Eine Lösung wäre zunächst eine Einwilligung durch den Nutzer einzuholen (siehe Consent Management Platform) oder – noch einfacher – die Google Fonts lokal auf dem eigenen Server zu hosten.

Google Fonts Abmahnung

Die aktuelle Abmahnwelle

Derzeit werden Schreiben von verschiedenen Anwaltskanzleien verschickt. Es werden hierbei täglich tausende Website-Betreiber angeschrieben, auf deren Seiten Google Fonts nicht datenschutzkonform eingebunden sind. Sollten Sie so ein Schreiben erhalten, so können Sie vorab online recherchieren. Viele bekannte Anwaltsseiten oder Portale wie eRecht24 oder anwalt.de liefern einen Überblick sowie eine erste Einschätzung zum weiteren Vorgehen.
Bei Unsicherheiten kontaktieren Sie alsbald Ihren Rechtsanwalt, um die weiteren Schritte abzustimmen.

Unsere proaktive Lösung

Bei Websites, die wir nach Inkrafttreten der DSGVO erstellt haben, haben wir bereits die Google Schriften bei der Entwicklung lokal eingebunden. Bei älteren Websites, bei denen bislang der Betreiber noch nicht aktiv wurde, haben wir nun, auch um größeren Schaden abzuwenden, eine proaktive Prüfung vorgenommen.
Seiten, auf denen Google Fonts integriert waren, haben wir eigenständig aktualisiert und die Schriften über den eigenen Server integriert. Die Abrechnung von etwa einer halben Stunde Arbeitsaufwand pro Website erfolgt mit der nächsten Abrechnung.

Weitere Schwachstellen und Risiken

Zwar gibt es aktuell nur zum Thema Google Fonts eine Abmahnwelle, aber auch andere Dienste sind abmahngefährdet. So sollten auch beliebte Website-Funktionen wie Google Maps, YouTube oder Analyse-Dienste auf die datenschutzrechtlich korrekte Einbindung geprüft werden.
Daneben gibt es natürlich auch noch weitere Aspekte, die regelmäßig geprüft werden sollten, wie z. B. der korrekte Einsatz von Cookies oder die Aktualität der Datenschutzerklärung.
Sofern Sie einen Datenschutzbeauftragten bestellt haben, informiert Sie dieser regelmäßig über aktuelle Gerichtsurteile, wie z. B. das zu Google Fonts Anfang 2022, oder Gesetzesänderungen – auch bei datenschutzrelevanten Themen unabhängig der Website.

Unser Vorschlag zu einer sicheren Lösung

Unsere Leistungen zum Hosting und zu technischen Updates beinhalten also ausdrücklich keine Aktualisierung in datenschutzrechtlicher Sicht. Für den rechtssicheren Betrieb seiner Website bleibt der Website-Betreiber verantwortlich.
Kunden ohne eigenen Datenschutzbeauftragten empfehlen wir gerne einen geeigneten Ansprechpartner. Zusätzlich planen wir einen Servicevertrag, um proaktiv auf aktuelle Datenschutzentwicklungen hinzuweisen und Empfehlungen auszusprechen. 2023 werden wir mit einem konkreten Angebot auf unsere Kunden zugehen.