Am 10.01.2022 hat das Landgericht München in einem Urteil (Az. 3 O 17493/20) entschieden, dass die dynamische Einbindung von Google Fonts ohne Einwilligung der Besucher rechtswidrig ist. Webseitenbetreiber können nun auf Unterlassung und Schadenersatz verklagt werden.
Die weltweißt größte Suchmaschine Google stellt auf https://fonts.google.com eine große Auswahl an kostenlosen Schriftarten zur Verfügung. Diese sogenannten „Fonts“ sind mittlerweile sehr weit verbreitet und schon fast Standard in der modernen Webentwicklung. Dennoch werden die kostenlosen Schriftarten häufig datenschutzwidrig auf Webseiten eingebunden.
Alle weiteren externen Inhalte von US-Diensten ebenfalls rechtswidrig
Im Urteil des Landgerichts München geht es zwar nur um die Einbindung von Google Fonts, die aufgestellten Grundsätze des Gerichts gelten aber für alle externen Dienste von US-Diensten. Werden also z.B. Google Maps, Analytics oder sogenannte CDN's (Content Delivery Networks) ohne vorherige Zustimmung des Besuchers geladen, liegt ein klarer Verstoß gegen die DSGVO vor.
Wie verwende ich Google Fonts datenschutzkonform auf meiner Webseite?
Es gibt zwei Varianten zur Verwendung von Google Fonts, wir stellen euch beide vor:
- Dynamische Variante (die unsichere Variante)
Bei der dynamischen Variante wird ein Code-Snippet per HTML auf die Webseite eingebunden. Ohne weitere Optimierung ist diese Variante in der EU datenschutzwidrig, denn es wird mindestens die IP-Adresse des jeweiligen Webseitenbesuchers direkt an Google in die USA übertragen.
Achtung: Die dynamische Variante wird auch oft von Website-Baukästen verwendet, daher sind nachträgliche Optimierungen notwendig bzw. sollte man auf die statische Variante ausweichen.
Google erlaubt es seine Fonts direkt herunterzuladen und als Datei lokal auf die Webseite einzubinden. Dies ist die sicherste Variante da ausgeschlossen ist, dass eine ungefragte Verbindung zu Google aufgebaut wird.
Wie verwende ich Google Maps DSGVO-konform auf meiner Webseite?
Wer Google Maps auf seiner Webseite so einbindet, dass die Karte bereits ohne vorherige Zustimmung des Besuchers lädt, begeht einen klaren Verstoß gegen die DSGVO. Anbei zeigen wir euch datenschutzfreundliche Einbindungsmöglichkeiten die vor teuren Abmahnungen schützen:
- Das Laden von Google Maps ohne Zustimmung des Besuchers blockieren
Besucher einer Webseite müssen VOR dem Laden von Fremddiensten wie Google Maps darüber informiert werden, dass personenbezogene Daten wie z.B. die IP-Adresse an Google weitergeleitet wird. Ohne eine aktive Zustimmung der Besucher darf KEINE Verbindung zu Google hergestellt werden. Für eine datenschutzfreundliche Konfiguration eines Cookie-Banners, der jegliche Verbindungen zu externen Diensten unterbindet, finden Sie hier eine Anleitung.
Und nicht vergessen: Wer Google Maps auf seiner Webseite verwendet ist immer verpflichtet, in der Datenschutzerklärung über die Datenübertragung der Dienste ausführlich aufzuklären.
- Datenschutzfreundliche Google Maps Alternative: OpenStreetMap
Wer auf Nummer sicher gehen und auf eine interaktive Routenbeschreibung nicht verzichten möchte, der kann sich OpenStreetMap auf einem eigenen Server einrichten. Somit wird keine Verbindung zu externen Diensten hergestellt. Es ist zwar auch eine einfache Einbindung von OpenStreetMap möglich, sicherheitshalber sollten aber auch hier Verbindungen ohne Zustimmung durch einen Cookie-Banner verhindert werden.
Ist eine datenschutzfreundliche Verwendung von Google Analytics möglich?
Vor Kurzem wurde Google Analytics von zwei Datenschutzbehörden als rechtswidrig eingestuft. In beiden Fällen war die Datenübertragung des Tracking Tools in die USA der Grund. Wir zeigen Ihnen wie Sie Google Analytics verwenden können ohne gegen die DSGVO zu verstoßen und welche datenschutzfreundlichen Alternativen es gibt.
- Eine Verbindung zu Google Analytics erst nach aktiver Zustimmung des Besuchers zulassen
Achten Sie bei der Einbindung von Google Analytics darauf, dass keine Verbindungen Ihrer Webseitenbesucher zu Google hergestellt werden, bis diese aktiv der Nutzung von Analytics zugestimmt haben. Häufig reicht es schon aus den Cookie-Banner Ihrer Webseite so zu konfigurieren, dass jegliche Verbindungen bis zur Zustimmung geblockt werden. Aber Vorsicht: Lehnt ein Besucher die Verwendung von Cookies auf Ihrer Webseite ab, kann Google den Aufruf dieses Benutzers nicht analysieren. Somit können verfälschte Analyse-Daten entstehen. Es gibt aber auch datenschutzfreundliche Alternativen die eine Zustimmung der Besucher nicht voraussetzen.
- Datenschutzfreundliche Alternative zu Google Analytics: Matomo
Matomo ist ein datenschutzfreundliches Analyse-Tool und sollte lokal installiert werden, am besten auf dem Server wo auch Ihre Webseite installiert ist. Denn so wird keine Verbindung zu Dritten hergestellt. Die Installation von Matomo auf einem eigenen Server ist zwar etwas aufwändiger als die Einbindung von Analytics, ist aber die sicherste Methode um sich vor Abmahnungen zu schützen.