Google Fonts und Datenschutz (DSGVO) bei WordPress: Lösungen und Doku

Google Fonts und Datenschutz (DSGVO) bei WordPress: Lösungen und Dokumentation

Nicht schon wieder, werdet ihr jetzt denken. Richtig: Das Thema Google Fonts und Datenschutz bzw. DSGVO (nicht nur) bei WordPress-Websites nervt insbesondere wegen der Zeitgenossen, die fast wie Postwurfsendungen Abmahnungen versenden. Im Unterschied zu vielen anderen Beiträgen geht es hier zwar auch um Lösungsmöglichkeiten, aber ich dokumentiere außerdem die aktuelle (rechtliche) Situation und Diskussion mit entsprechenden Verlinkungen.

Da das Thema Google Fonts und Datenschutz uns sicher noch einige Zeit beschäftigen wird, werde ich in der Folge diesen Beitrag immer entsprechend aktualisieren.

Google Fonts vorhanden? – Wie kann man das feststellen?

Zunächst gibt es einige Websites, mit denen man Überprüfungen bezogen auf den Datenschutz vornehmen kann:

  • Eine umfangreichere Überprüfung (5 Seiten) ist über den DSGVO Webseiten-Check möglich. Auf dieser Website gibt es auch eine Seite, die die rechtliche Situation beleuchtet.
  • „Der Google-Fonts-Checker prüft schnell und einfach, ob beim Besuch deiner Webseite Schriftarten von Google nachgeladen werden.“ – Allerdings wird nur die Startseite überprüft.
  • Auch auf der Website erecht24 wird wohl lediglich die Startseite überprüft: Google Fonts DSGVO-konform eingebunden? – auf dieser Seite kann man allerdings auch einen Überblick zur rechtlichen Situation erhalten.
  • Das Tool von webkoll hilft dir zu prüfen, welche Datenschutzmaßnahmen eine Website ergriffen hat, um dir die Kontrolle über deine Privatsphäre zu geben. Der Bericht listet damit wesentlich mehr Informationen auf, die sich nicht nur auf die Einbindung bezieht.

Update

23.11.2022: Auf WP Tavern ist ein neuer Beitrag zu dem Thema veröffentlicht worden. Hier wird eine weitere Website vorgestellt, auf der man prüfen kann, ob und vor allem wo Google Fonts eingebunden werden.

Wenn man die developer console (z. B. Aufruf mit F12 bei Chrome) aufruft, kann man unter Network und dem Filter „Fonts“ sehen, wie und welche Schriftarten eingebunden werde. Hier eine kurze Präsentation dazu:

Google Fonts und Datenschutz: Die developer console.
Google Schriftarten und Datenschutz (DSGVO)

Google Fonts deaktivieren bzw. lokal hosten

Nachfolgend eine Vorgehensweise, die zum Erfolg führte:

  • Ich hatte auf einer Website Google Schriftarten mit dem Tool Dr DSGVO gefunden. Wichtig: Hier sollte man auf den Button “Mehr Details anzeigen” (unter dem Kurzbericht) klicken.
  • Auf der Website konnte ich in der developer console sehen, dass Google Schriftarten extern eingebunden wurden.
  • Installation des Plugins Local Google Fonts.
  • Bei den Eigenschaften des Plugins wurden keine Schriftarten von Google gefunden.
  • Hinweis auf der Eigenschaften-Seite: Diese Seite zeigt nach und nach alle gefundenen Google Fonts. Wenn du eine Schrift vermisst, rufe dein Frontend auf, sodass die Schrift anschließend hier erscheint.
  • Dementsprechend habe ich danach “Schriften automatisch laden” bei den Eigenschaften eingeschaltet.
  • Auf die Art habe ich im Frontend alle Seiten aufgerufen, die das Tool im Kurzbericht gezeigt hat.
  • Dann wurden die Schriftarten gefunden und automatisch lokal eingestellt.

Mit dem Plugin OMGF | GDPR/DSVGO Compliant, Faster Google Fonts. Easy gibt es ein weiteres Plugin, das empfehlenswert ist. Auch das Plugin Disable and Remove Google Fonts sorgt in fast allen Fällen dafür, dass die Google Fonts komplett deaktiviert werden.

Lösungsmöglichkeiten in speziellen Fällen

Noch eine Lösung für Divi und die Standard-Themes von WordPress (mit entsprechender Nennung der Handles) wird in dem folgenden Beitrag genannt.

Ich habe bei der Recherche noch einen interessanten Beitrag von den Entwicklern des Plugins Disable and Remove Google Fonts gefunden. In dem Beitrag werden verschiedene Optionen angesprochen, wie man die Schriftarten deaktivieren kann, wenn dieses Plugin nicht erfolgreich die Google Fonts entfernen konnte: How to Disable Google Fonts in WordPress. Insbesondere der Abschnitt „Disabling Google Fonts Manually“ ist interessant.

Sollte das dann immer noch nicht funktionieren, kann man auch über das bereits angesprochene Plugin Disable and Remove Google Fonts versuchen, die Schriften komplett zu deaktivieren.

Schwieriger wird es, wenn Google Fonts durch iFrames eingebunden werden. Da scheint es evtl. z. Zt. nur eine Lösung über die Pro-Version des Plugins OMGF zu geben, siehe auch den Thread im deutschsprachigen WordPress-Forum.

Das einzige Plugin, das laut Beschreibung auch in CSS-Dateien sucht, ist OMGF, allerdings nur die Pro-Version, daher weiß ich nicht, ob das zuverlässig und wie das generell arbeitet.

Angelika Reisiger in https://dewp.slack.com/archives/C02TLC6BL

Auf der Seite des Plugins OMGF wird beschrieben, dass man mit der kostenpflichtigen Pro-Version Google Fonts finden kann, wenn z. B. @font-faceund @import-Anweisungen innerhalb von Inline-<style>-Blöcken verwendet werden.

Eine weitere Möglichkeit besteht natürlich auch, indem die Schriften lokal gehostet werden. Das machen wir in der Regel so, weil in dem Fall kein weiteres Plugin installiert werden muss, wenn man nicht auf die Schriften verzichten kann oder will. Wie das funktioniert, wird z. B. auf der folgenden Seite ausführlich erklärt. Eine weitere Beschreibung dazu gibt es auf der folgenden Seite.

Youtube, Google Maps und Co.

Bei Youtube-Videos und Google Maps kann z. B. durch das Plugin Embed Privacy ggfs. komplett auf ein Cookie Banner verzichtet werden. Schwierig wird es beispielsweise bei einer Website mit Fahrradrouten, auf der man Google Maps oder OpenStreetMaps eingebunden hat. Das ist allerdings ein Thema evtl. für einen neuen Beitrag.

Bei manchen Plugins (z. B. reCAPTCHA bei Contact Form 7) ist auch eine Schriftart eingebunden. Im Fall von Contact Form 7 reicht es evtl. schon, wenn man unter Formulare > Integration > ReCAPTCHA und Button „Integration“ den Website-Schlüssel für reCAPTCHA entfernt und dann den Cache leert.

Wenn man OpenstreetMaps statt Google Maps verwendet, stellt sich die Situation auch nicht ganz einfach dar. Wie man OpenstreetMaps datenschutzkonform verwenden kann, findet man in diesem Beitrag.

Die rechtliche Situation bei Google Fonts und Abmahnungen

Kommen wir jetzt mal zur rechtlichen Situation. Dieser Beitrag stellt keine Rechtsberatung dar. Ich bin kein Jurist. Eine Prüfung bezogen auf die rechtliche Situation sollte ggfs. durch einen Juristen erfolgen.

Das folgende Zitat aus dem Thread des deutschsprachigen WordPress-Forums fasst m. E. die aktuelle Situation sehr gut zusammen:

Im Moment kursieren einige Briefe und Abmahnungen zu diesem Thema.

Hintergrund, kurz gefasst: Du darfst laut DSGVO nicht ohne ausdrückliche Einwilligung persönliche Daten an Dritte übermitteln. Dazu gehört auch die IP-Adresse des Webseitenbesuchers, da sie ein Tracking ermöglicht. Da es die Möglichkeiten gibt, Fonts auf dem eigenen Server zu hosten, können sich Webseitenbetreiber auch nicht mit „begründetem Interesse“ herausreden.
Ob das nun eine Abmahnung rechtfertigt und einem Webseitenbesucher, der gezielt nach Verstößen sucht, ein Schaden entsteht, müssen Juristen beurteilen. Wir können dir hier keine rechtsverbindlichen Auskünfte geben.

Eine ausführlichere Darstellung und Tipps, wie man sich nach Erhalt eines Schreibens verhalten soll, findest du z.B. bei diesem Artikel vom Heise-Verlag:
Angeblicher DSGVO-Verstoß: Abmahnwelle wegen Google Fonts

Bego Mario Garde in: https://de.wordpress.org/support/topic/persoenlichkeitsverletzung-datenschutz-google-fonts-abmahnung/#post-135117

Dieser Thread hat dann entsprechende sehr umfangreiche Diskussionen auch auf dem WordPress-Slack-Channel #random ausgelöst. Es lohnt sich auf jeden Fall, sich diese Infos auf Slack anzusehen.

Im Forum hat übrigens die Diskussion um die Fonts Mitte Juni mit dem Thread Google Fonts werden abgemahnt, twentyseventeen-fonts begonnen.

Rechtliche Situation und Abmahnungen

dann das Grundsätzliche: Ja, der Einsatz von Google Fonts ist aus mehreren Gründen in der EU legal nicht möglich.

Gleiches gilt auch für Jetpack und Akismet. Jetpack hast Du ja schon deaktiviert. Und Akismet solltest Du ebenfalls noch entfernen; Du brauchst es auch nicht, da Du die Kommentarfunktion auf der Website ja eh abgeschaltet hast.

Hinsichtlich der Google Fonts: Problematisch ist nur die Einbindung über die Google-API. Da die Fonts selbst aber alle unter einer Open Source-Lizenz stehen, können die auch problemlos über den eigenen Webserver eingebunden werden. Wenn man das nicht händisch erledigen will, gibt es dafür einige Plugins, die das einfach für Dich erledigen, etwa das von Bego empfohlene Self-Hosted Google Fonts, das zwar etwas in die Jahre gekommen ist, aber immer noch anstandslos funkttioniert (und das ich auch immer empfehle), oder aber auch das von dir genutzte WP DSGVO Tools (GDPR).

Udo Meisen in: https://de.wordpress.org/support/topic/google-fonts-werde-hier-abgemahnt-twentyseventeen-fonts/page/2/#post-129180

Meine Vermutung war auch schon immer, dass unbedarfte Benutzer, die ihre Ruhe haben wollen, aufgrund der kleinen Abmahnungsbeträge entscheiden, den Betrag zu zahlen. Das wird auch in dem folgenden Artikel bestätigt:

Allein der lächerlich geringe Betrag, der in den Abmahnungen gefordert wird (170-190€), legt folgende Vermutung nahe: Es wird seitens der Abmahner darauf spekuliert, dass es für die Betroffenen einfacher ist, den Betrag zu begleichen, als zur Abwehr einen Anwalt zu beschäftigen und dabei mehr Zeit und Geld zu investieren, als die Abmahnung „wert“ ist. Das ist schnelles Geld, wenn man nur genug willige „Opfer“ zusammenbekommt.

https://www.neue-duesseldorfer-online-zeitung.de/wirtschaft/artikel/abmahnung-wegen-google-fonts-erhalten-wie-sie-reagieren-sollten-und-was-sie-tun-koennen-2316.html

Man kann sich allerdings auch dagegen wehren. Das hat vor ein paar Tagen ein Anwalt im Auftrag eines Mandanten gemacht: LG Baden-Baden erlässt einstweilige Verfügung gegen Google Fonts-Abmahner. Ob diese einstweilige Verfügung Bestand haben wird, bleibt allerdings erst mal abzuwarten. Ich werde euch an dieser Stelle auf dem Laufenden halten.

Interessant sind zu dem Thema auch die Podcast-Folgen vom WP Sofa.

Achtung

Es stellt sich insgesamt die Frage, ob und wie man überhaupt Beiträge und Seiten einer Website größeren Umfangs hinsichtlich Datenschutz prüfen kann. Was passiert bei Updates von Plugins und Themes – denn auch dabei können sich ja Probleme bezüglich des Datenschutzes einschleichen, auch wenn die Website vorher schon „sauber“ war.

Und wie will Otto Normalwebsitebetreiber das selbst bei kleineren Websites überhaupt bewerkstelligen, denn da fehlen in der Regel – wie wir im Forum sehen – entsprechende Kenntnisse. Wir haben bereits von einigen Fällen gehört, wo die Eigentümer Websites aus diesem Grund vom Netz genommen haben (was ich aber für den falschen Ansatz halte).

Zahlen oder nicht zahlen?

In einigen Beiträgen und Artikeln nehmen u. a. auch Juristen zu diesem Problem Stellung. Eine schöne Zusammenstellung findet man in diesem Beitrag:

Rechtlich definitiv nicht klar ist die Lage, ob und in welcher Höhe Schadenersatzansprüche beim Einsatz von Google Fonts verlangt, werden können. Die Anwaltsschreiben zitieren zwar ganz viele Urteile, die bei Datenschutzverstößen hohe Schadensersatzforderungen zugesprochen haben. Wenn man genau hinschaut, ging es in allen diesen Fällen allerdings um Datenschutzverstöße, die gar nichts mit der Google Fonts Thematik zu tun hatten.

https://www.e-recht24.de/google-fonts-scanner#:~:text=Schadenersatzanspruch

WordPress und die DSGVO

Federführend bei der Entwicklung von WordPress sind Entwickler aus den USA. Da stellt sich der Datenschutz allerdings rechtlich anders dar. Insofern war auch nicht verwunderlich, dass nach dem Urteil des LG München, Urteil vom 19.01.2022, Az. 3 O 17493/20 diese Abmahnwelle kommen musste. Die DSGVO wird auch in der Tat nicht von den WordPress-Entwicklern für so wichtig gehalten: Die Standard-Themes von WordPress enthalten nach wie vor die Einbindung der Schriftarten von Google und die Korrektur wurde nun auf WordPress 6.2 verschoben. Hier hatten Jessica Lyschik und Hendrik Luehrsen auf das Problem im Core Trac hingewiesen.

Fazit

Sicher ist es ärgerlich, dass einige Zeitgenossen Abmahnungen wie Postwurfsendungen verschicken. Aber das Problem bezogen auf den Datenschutz ist nun mal da und man muss sich darum kümmern. Der erste Schritt sollte auf jeden Fall sein, dass man die Schriften entsprechend deaktiviert oder lokal hostet. Wie ihr mit den Abmahnungen umgeht, solltet ihr ggfs. mit einem Juristen klären.
An dieser Stelle noch ein herzliches Dankeschön für die vielen Informationen u. a. von vielen Beteiligten und Betroffenen im bereits genannten WordPress-Slack-Channel #random, im deutschsprachigen WordPress-Forum sowie im Podcast auf WP Sofa. Ich habe hier versucht, diese Informationen ein wenig zu bündeln.

Links und Quellen


Mehr erfahren auf dieser Webseite

Grafik. haurand.com unter Verwendung von OpenClipart-Vectors from Pixabay


Zum Blog

Mehr erfahren auf unserer Webseite

Wir freuen uns über eine Kontaktaufnahme

Was hältst du davon?

Wir hoffen, dieser Beitrag hat dir gefallen und wir würden uns über einen Kommentar freuen. Auch über Erweiterungen, Korrekturen, Hinweise oder sonstige Anmerkungen freuen wir uns sehr.

Weitere interessante Beiträge rund um WordPress findest du hier

Schreibe einen Kommentar