Schriftarten, die von außen eingebunden werden oder von außen lizenziert werden haben DSVGO-Probleme.
Google Fonts & Datenschutz
Tatsächlich ist es so, dass zwar Google (Alphabet Inc.) in seiner Datenschutzerklärung sagt, man würde keine IP-Adressen der nutzenden Personen aufzeichnen, allerdings hilft das für den Datenschutz für die Betreibenden einer Webseite herzlich wenig. Google Fonts und auch alle anderen Schriftarten, die lizenziert werden, benötigen eine Zustimmung der Nutzer. Dafür gibt es unterschiedliche Techniken, manche Cookie-Consent-Tools, die über das Cookie-Thema hinausgehen und sämtlichen Datentransfer auch mit inkludieren können, wie cookie.life von echonet, bieten hier Abhilfe.
Fonts und Österreich
Nahezu explodiert ist das Thema im Spätsommer 2022 in Österreich, als ein findiger Anwalt mit seiner Mandantin begonnen hat - vermutlich - mehrere zehntausend Abmahungen an verschiedenste Betreibende von Webseiten zu verschicken, die Google Fonts auf der Webseite nutzen. Im konkreten Fall dürften dem Anwalt einige Fehler unterlaufen sein, allerdings ist trotzdem klar, dass Google Fonts ein Problem in Sachen Datenschutz darstellen.
Die Fehler, die der Datenschutz-Anwalt aus Niederösterreich möglicherweise gemacht hat, helfen zwar den konkret betroffenen Unternehmen und Vereinen (auch unter der echonet-Kundschaft war jemand betroffen, ein Non-Profit-Verein im Tierschutzbereich), allerdings ist das kein genereller Freispruch für die Nutzung von externen Schriftarten oder Lizenzschriftarten auf Webseiten.
Datenschutz bei Schriftarten
Im Zitat oben haben wir schon einen interessanten Hinweis eingebaut. Die Anwendung von Schriftarten auf Webseiten sollte sicherheitshalber immer eine Zustimmung erfordern. Für die Google Fonts im Konkreten gibt es die relativ einfache Variante diese Schriftarten lokal auf dem Server zu installieren und dann auch direkt vom Server auszuliefern. Dazu müssen die Schriftarten heruntergeladen werden und anschließend auf dem Webserver hinterlegt werden. Dies ist aber nicht immer und vor allem nicht immer in allen Systemen machbar und verfügbar, insbesondere dann, wenn es nicht um eine individuelle Installation des Systems handelt, sondern auf der Nutzung einer geteilten Software basiert.
Zugegeben: Auch manche unserer echonet-Produkte erlauben keine lokale Installation von Google Schriftarten, weswegen wir diese extern einbinden müssen und daher auch eine entsprechende Einwilligung nötig ist.
Schriftart gekauft - trotzdem ein Problem?
Ja, in den meisten Fällen hat das Unternehmen, das eine Webseite betreibt, auch dann Probleme, wenn die Schriftart "gekauft" bzw. "lizenziert" wurde. Wie man auf großen Schrift-Plattformen zu sehen bekommt, funktioniert deren Abrechnungsmodell zumeist auf Nutzungsbasis. Beispielsweise wird dann nach Seiten-Aufrufen gezahlt, hier gibt es oft auch Paket-Lösungen - aber unabhängig davon, es ist alles nicht erlaubt: Die Technologie dahinter ist eigentlich einfach, die Schriftart wird aufgerufen um auf einer Internetseite zu erscheinen und die in der Schriftart eingebaute Lizenz-Script-Software meldet an den Lizenz-Server, dass sie soeben benutzt wird. Problem dabei: Diese Meldung verletzt sehr oft die Datenschutz Grundverordnung, weil diese Information der Nutzung (oft inklusive der IP-Adresse der nutzenden Person) an die entsprechenden Lizenzserver geliefert wird und diese zu oft nicht im Besitz von Firmen in der EU bzw. im EWR sind.
Probleme schaffen nahezu alle Schriftarten, die keine typischen Systemschriftarten (Times New Roman, Arial, Verdana, Trebuchet...) sind. Besonders schlimm sind jene Bereiche, bei denen die Schriftarten nicht heruntergeladen und lokal installiert werden können, dazu gehören die Schriften der US-amerikanischen Firma Adobe Inc. die oft über TypeKit-URL eingebunden werden. Natürlich darf man die Schriften verwenden, aber wenn damit eine Datenübertragung an ein Unternehmen verbunden ist, das nicht seinen Sitz innerhalb der EU hat, ist jedenfalls eine entsprechende Einwilligung zu holen.
Google Maps, YouTube, Dailymotion, Vimeo & Co im Consent-Banner
Auch die anderen Dienste, die über Einbettungen auf Webseiten funktionieren, bedürfen einer Zustimmung. Eine der in Europa besser gestellten Systeme ist dabei das französische Video-Portal, quasi ein Konkurrent von YouTube, namens Daily Motion <www.dailymotion.com>, weil dessen Unternehmenssitz tatsächlich innerhalb der EU (Frankreich) ist. Alle anderen, zumeist US-amerikanischen Diensteanbieter sind damit verbunden, dass die Daten letztlich entweder direkt außerhalb der Europäischen Union oder mittelbar außerhalb der Europäischen Union gehen. Selbst wenn Server in Irland, Ungarn oder Spanien stehen, ist streng genommen der Datenschutz ein Problem, wenn der Dienst einem US-Konzern gehört. Denn laut dortigem Recht haben im Fall des Falles die Behörden (Nachrichtendienste...) Zugriff auch auf Daten, die sich auf den in der EU befindlichen Servern der US-Firmen liegen. Somit schützt ein physikalischer Datenstandort Europa nicht vor einem Datenschutzproblem, das Webseitenbetreibende bekommen, wenn der Server einem US-Konzern gehört.
Das betrifft auch alle Einbindungen von Videos, Landkarten oder gar Social Media PlugIns (Facebook, Twitter...) auf Internetseiten.