Ich bin kein Jurist und das hier ist keine Rechtsberatung.
1. Worum geht es?
Seit Monaten rollt eine beispiellose Abmahnwelle durch Deutschland und Österreich. Der Grund sind remote auf der Website eingebundene Google Fonts, die Besucherdaten nach Google übermitteln.
DSGVO-und-Fonts will Ihnen kostenfrei dabei helfen, Ihre WordPress– oder HTML-Website datenschutzkonformer einzurichten und Sie besser vor einer Abmahnung zu schützen.
Die Startseite stellt Ihnen kurz und übersichtlich relevante und wichtige Informationen bereit – über Google Fonts und einige weitere Abmahnfallen. Detaillierte Artikel sowie auch Anleitungen sind geplant.
2. Was sind Google Fonts?
Google Fonts sind lizenzierte Schriften, die von Google kostenlos verteilt werden. Diese Google Fonts können ohne oder mit einem Link zu einem Google-Server in eine Website eingebunden werden.
Google Fonts, die mit einem Link zu einer Google-Website wie beispielsweise fonts.gstatic.com
oder fonts.googleapis.com
(remote) in Ihre Website integriert wurden, verstoßen gegen die DSGVO.
Google Fonts, die auf dem Server Ihrer Website gespeichert und darüber eingebunden sind, übertragen so logischerweise keine Daten auf externe Websites.
3. „Wodurch werden Google Fonts remote eingebettet?“
Es kann sein, dass Ihr Webdesigner die Schriften remote eingebunden hat. Das war jahrelang legitim und galt lange Zeit als der performantere und bevorzugte Weg.
Doch es existieren eine Unzahl an weiteren Möglichkeiten, wie diese Schriften mit Google-Server-Link auf Ihre Website gelangt sein können. Daher ist die folgende Auflistung vermutlich nicht vollständig, sie wird jedoch nach Kenntnisstand gerne erweitert.
Mit einer Ausnahme (CDN) können alle obigen Elemente (zumindest theoretisch) Google Fonts per Google-URL in die Website einbetten.
YouTube, reCaptcha, Google Maps machen das immer.
*1 – Datepicker können über Skripte eine Verbindung zu Drittländern herstellen.
*2 – Icons können Verbindungen zu Icon-Anbietern in Drittländern herstellen. Google stellt mit Material Symbols ebenfalls Icons bereit.
*3 – Verbindung zu Drittländern.
4. „Gibt es abmahnfähige Fonts auf meiner Website?“
Das kann mit Online-Tools und manuell geprüft werden, dazu im Anschluss mehr. Bereits ohne vorherige Prüfung können Sie schon einige potenzielle Kandidaten erkennen, die Google Fonts remote einbinden.
Wenn eine der folgenden Installationen oder Einbettungen existieren und aktiviert sind – und bislang keine Gegenmaßnahmen getroffen wurden – liefert Ihre Website ziemlich sicher (mindestens) einen Abmahngrund.
1.) Eines der folgenden WordPress-Standardthemes ist auf Ihrer Website aktiviert (das können Sie im Adminbereich unter Design -> Themes einsehen) und Sie haben es nicht seit dem 28. März 2023 aktualisiert:
Mit dem Release von WordPress 6.2 am 29. März 2023 wurden ebenfalls Updates für die zuvor genannten Themes ausgerollt. Diese Updates liefern die Google Fonts direkt mit und entfernen die Links zu den Google-Servern (mehr dazu). Testen Sie nach dem Update Ihres Themes, ob das Problem behoben ist.
2.) Ab WordPress 6.2 könnten erneut datenschutzrechtliche Probleme auftauchen, wenn über das im Backend verfügbare “Openverse” Bilder von externen Quellen eingebettet werden, weitere Informationen.
3.) Einbettungen, die Sie per Link oder Einbetten-Text in den Editor eintragen, oder von Plugins und Themes stammende Einbettungen, werden auf Ihrer Website meist als iFrame eingefügt. Solche Einbettungen können alle remote Google Fonts mitbringen.
Bei den folgenden können Sie ganz sicher davon ausgehen, dass es so ist.
5. Online-Tools zum Prüfen Ihrer Website
Es reicht nicht aus, nur nach abmahnfähigen Google Fonts zu suchen. Sie müssen auch herausfinden, ob über Ihre Website außerdem Anfragen von Drittanbietern erfolgen, denn diese sind genauso abmahnfähig.
Deswegen liste ich hier keine reinen DSGVO-Fonts-Check-Tools auf, sondern Seiten, die Ihnen kostenlos (aber nicht immer unbedingt uneigennützig) Tools bereitstellen, die automatisch nach Schriften und Anfragen von Drittanbietern suchen. In alphabetischer Reihenfolge:
Um wirklich sicher zu gehen, müssen Sie jede einzelne Seite Ihrer Website überprüfen.
6. Manuelle Überprüfung Ihrer Website
Hier die Kurzfassung:
Öffnen Sie Ihre Website und dann die Entwicklertools, Anleitung. Klicken Sie in den Entwickler-Tools oben auf „Network“ und dort auf „Fonts“ oder auf die entsprechenden Übersetzungen. Laden Sie jetzt Ihre Website neu. In den Entwicklertools sollten Sie nun alle vorkommenden Schriftarten sehen. Wenn Sie den Mauszeiger über einen der dortigen Links halten, sehen Siedie komplette Web-Adresse.
Um auch Anfragen von Drittanbietern zu finden, klicken Sie statt auf „Fonts“ auf „All“, sortieren Sie die Spalte Domain mit Klick auf „Domain“. In Chrome existiert diese Spalte evtl. nicht, dafür können Sie ein Häkchen bei „Anfragen von Drittanbietern“ setzen (auf den nachfolgenden Screenshots sehen Sie die Dev-Tools des Chrome-Browsers).
Eine andere Option ist die Suche im Quelltext. Drücken Sie dafür bei geöffneter Website gleichzeitig STRG + u und dann STRG + f .
Die manuelle Überprüfung muss ebenfalls für jede einzelne Seite erfolgen.
7. Entfernen Plugins die remote Fonts immer?
Ein ganz klares NEIN.
Alle WordPress-Plugins, gleich ob kostenfrei oder kostenpflichtig, versagen bei Google Fonts, die per iFrame eingebunden wurden, nachfolgend ein paar Beispiele:
Die meisten WordPress-Plugins versagen bei Google Fonts, die folgendermaßen eingebunden wurden:
Glücklicherweise sind viele abmahnfähige Google Fonts jedoch so eingebettet, dass Sie mithilfe der gängigen WordPress-Plugins schnell entfernt werden können, siehe nächstes Kapitel 8.
8. Eingebettete Google Fonts entfernen
In den meisten Fällen entfernen die unten gelisteten kostenfreien WordPress-Plugins abmahnfähige Google Fonts (über Ausnahmen habe ich im vorherigen Kapitel 7 geschrieben).
Entweder werden die Schriften mithilfe der Plugins lediglich entfernt oder sie werden zusätzlich heruntergeladen und über den Server Ihrer Website zur Verfügung gestellt.
Beim lokalen Speichern von Schriften sind allerdings bestimmte lizenzrechtliche Dinge zu beachten, siehe Kapitel 12.
Installieren und aktivieren Sie ein Plugin, nehmen Sie ggf. noch Einstellungen im Plugin vor und testen Sie anschließend die Seiten, auf denen Sie remote Google Fonts entdeckt hatten. War das Plugin nicht erfolgreich, deaktivieren und deinstallieren Sie es wieder und testen Sie ein anderes.
Kostenfreie WordPress-Plugins in zufälliger Reihenfolge:
Kostenpflichtige Plugins mit erweiterter Funktionalität:
9. Weitere abmahnfähige Fonts: iFrames
Die Plugins haben nicht oder nur bedingt geholfen? Dann sollten Sie nun als erstes nach iFrames suchen. Öffnen Sie den Quelltext der Seite auf der die abmahnfähige Schrift vorhanden ist mit Rechtsklick -> „Seitenquelltext anzeigen“ oder drücken Sie gleichzeitig die Tasten STRG + u. Im Quelltext suchen Sie mit STRG + f nach „iframe“. Werden Sie fündig, gibt es meistens weitere Hinweise darauf, was eingebettet wurde (Video, Map, reCaptcha etc.).
Idealerweise löschen Sie YouTube, Vimeo, reCaptcha usw. von Ihrer Website. Entfernen Sie Einbettungs-Links zu YouTube, Vimeo usw. aus Beiträgen sowie Seiten und im Backend die Keys von Maps, reCaptcha etc.
Wenn Sie gar nicht auf Tools von Drittländern verzichten wollen, können Sie einen Cookie-Consent-Banner installieren, der dafür sorgt, dass Skripte erst geladen werden, wenn der Besucher ausdrücklich zugestimmt hat (Opt-in). Aber Achtung! Die Möglichkeit, diese Zustimmung zu widerrufen, muss ebenfalls vorhanden sein.
Außerdem: Wenn über Ihre Website personenbezogene Daten Dritter (z. B. die IP-Adresse) an Anbieter aus Drittländern (Google, YouTube, Facebook, Instagram, Zoom usw.) übertragen werden, müssen Sie mit diesen Anbietern mindestens die EU-Standardvertragsklauseln abschließen. Weitere Informationen dazu finden Sie (u. a.) auf dieser Seite von e-recht24.de oder in diesem YouTube-Video.
Hinsichtlich Google-Fonts hilft solch ein Cookie-Consent-Banner übrigens nur bei Schriften, die von diesen Skripten oder iFrames stammen.
10. Immer noch abmahnfähige Fonts? Suchen!
Die Plugins haben nicht komplett geholfen und iFrames können Sie ausschließen? Dann hilft nur noch eine umfangreiche Suche.
Page-Builder wie Elementor, Beaver Builder usw. haben möglicherweise Einstellungen für Google Fonts. Suchen Sie in den Einstellungen dieser Plugins und auch im Customizer (Adminbereich -> Design -> Customizer). Dasselbe gilt für das aktive Theme.
Erstellen Sie ein Backup Ihrer Website und deaktivieren Sie anschließend alle Plugins (Adminbereich -> Plugins -> alle auswählen -> deaktivieren). Löschen Sie den Browser-Cache und prüfen Sie auf der Seite mit den abmahnfähigem Google-Fonts, ob diese weiterhin gefunden werden. Falls nein, aktivieren Sie immer ein weiteres Plugin und prüfen Sie erneut, bis Sie das verursachende Plugin gefunden haben.
Sollten alle Plugins deaktiviert sein und die Google Fonts dennoch gefunden werden, wechseln Sie auf ein Standard-Theme unter Adminbereich -> Design -> Themes -> Theme anklicken -> aktivieren.
Wenn Sie das verursachende Plugin oder Theme gefunden haben, denken Sie über eine Alternative nach oder kontaktieren Sie den Entwickler.
Alternativ können Sie auch das Plugin oder Theme herunterladen und mit einem geeigneten Texteditor wie z. B. Notepad ++ (nicht Windows-Notepad!) über eine „Suche in allen Dateien“ nach der Schrift suchen. So kann man vielleicht die Option für ein deregister/dequeue herausfinden.
11. „Alle Fonts sind entfernt, ist das jetzt endlich sicher?“
Haben Sie jede einzelne Seite Ihrer Website untersucht (wie in den Kapiteln 5 und 6 beschrieben) und weder remote Google Fonts noch sonstige externe URLs zu Drittländern gefunden?
Sie haben iFrames entweder entfernt oder mit einem Cookie-Consent-Banner korrekt abgesichert, inklusive Cookies? Sie holen also vor jeglicher Übertragung personenbezogener Daten erst die Erlaubnis der Besucher ein und Sie haben für die Übertragung in Drittländer die EU-Standardvertragsklauseln abgeschlossen?
Dann ja, in diesen Punkten ist die Website abgesichert – für den Moment. Sobald Sie etwas neu installieren oder irgendein Update oder Upgrade durchgeführt wird, sollten Sie die relevanten Seiten erneut prüfen.
Testen Sie dann immer die Homepage als erstes. Wenn Skripte auf allen Seiten geladen werden, sollten Sie hier fündig werden. Testen Sie die Seite, auf der das Plugin aktiv ist, es kann vorkommen, dass Skripte nur auf den aktiven Seiten geladen werden, das kann auch durch Cache-Plugins so geregelt sein.
Nachfolgend zwei weitere Beispiele, wie Verbindungen an Drittländer entstehen können:
Icons:
Werden diese nicht lokal vom Plugin oder Theme eingebunden, wird eine Verbindung zu externen Seiten hergestellt. Ein prominentes Beispiel für Icons, die gerne auf einer Website genutzt werden, ist Font Awesome. Installieren Sie beispielsweise eine Bildergalerie und nutzen ein Lupe-Icon, kann dieses Icon unter Umständen extern eingebunden sein. Seien Sie also dort wachsam, wo Icons zum Einsatz kommen.
Formulare:
Das reCaptcha wurde bereits erwähnt (iFrame), eine Alternative für reCaptcha ist zum Beispiel das Plugin WP Armour. Doch es gibt möglicherweise auch Icons (s. vorherigen Absatz) und vielleicht zum Beispiel auch Datums-Picker, die abmahnfähige Verbindungen herstellen könnten.
Plugin zum Aufspüren von externen Verbindungen
Das nachfolgende Plugin spürt externe Anfragen auf, entfernt die Verbindung und ermöglicht den Download sowie das lokale Einbinden externer Ressourcen.
12. Google Fonts lokal speichern – Lizenzen?
Mit der Einbettung von Fonts über Google brauchte man sich über Lizenzen keine Gedanken zu machen, das hat Google geregelt. Doch aufgrund der Abmahnwelle werden immer mehr Website-Betreiber diese Google Fonts lokal auf den Servern der eigenen Websites speichern und sie sind damit auch zur Einhaltung der Lizenzen verpflichtet.
Es existieren bei den Google-Fonts mindestens drei unterschiedliche Lizenzen: Apache License, SIL Open Font License und in sehr geringem Maß Ubuntu Font License. Manche Schriften haben geschützte Namen (RFN), die Metadaten müssen bei der Konvertierung in die Formate wie .woff und .woff2 komplett erhalten bleiben und so einiges mehr. Das jetzt im Detail auszuführen, würde den Rahmen hier sprengen.
13. Abmahnung erhalten?
Wenn Sie Ratschläge im Internet lesen – setzen Sie Ihren eigenen Verstand ein. Solange Sie keine schriftliche Bestätigung darüber erhalten haben, dass z. B. Ihr Anwalt für Ihr nächstes Vorgehen haftet, bleiben die Haftung und das Risiko letzten Endes bei Ihnen selbst. Das gilt genauso für alle anderen Ratschläge irgendwelcher Leute, auch wenn diese es noch so gut meinen.
Lassen Sie sich schriftlich geben, dass Ihr Anwalt die Haftung (und somit alle Folgekosten) übernimmt, wenn er Ihnen zum Beispiel rät, die geforderte Abmahngebühr nicht zu zahlen. Ein guter Anwalt wird Ihnen in aller Regel immer nur eine Einschätzung geben und Sie über alle Vor- und Nachteile sowie Risiken informieren.
14. Zusammenfassung
Die große Abmahnwelle ist mittlerweile vorbei. Dennoch bleiben die zuvor aufgezählten Probleme bestehen und sind weiterhin abmahnfähig.
Diese Seite wurde zuletzt am 29. April 2023 bearbeitet.