Google Web Fonts und DSVGO

  • Hallo,


    mich würde mal interessieren, wie ihr die Problematik bzgl. der Google Web Fonts / Bibliotheken handhabt?


    Überall liest man, dass die Web Fonts nicht von einem Server von außerhalb der EU-Länder geladen werden dürfen, da dies nicht DSVGO-konform sei. Es wird dringend empfohlen, diese auf dem eigenen Server zu installieren.

    Auf der anderen Seite verweisen viele Unternehmen in ihrer Datenschutzerklärung darauf, dass manche Web Fonts von Servern von außerhalb der EU geladen werden. In ihrem Cookie-Hinweis wird dann auch kurz und knapp auf die Web Fonts / Scripte (bzw. allgemein Plugins) hingewiesen und das Einverständnis eingeholt.


    Wie handhabt ihr das?

  • ich handhabe es mit einem Passus von einem DSGVO-Generator.

    Ob Rechtskonform oder nich, kann ich nicht sagen. Weiß auch nicht, ob das ausreicht.



    Ok! Hier ist zumindest noch ein Link für's Opt-out dabei.

    Holst du denn dann das Einverständnis vorher ein bzw. erwähnst du die Web Fonts im Cookie-Hinweis (falls vorhanden)?

  • Zitat

    Holst du denn dann das Einverständnis vorher ein bzw. erwähnst du die Web Fonts im Cookie-Hinweis (falls vorhanden)?


    Nein. Ich habe kein Cookie-Hinweis. Ich bin da auch etwas überfordert, wie viele hier, die DSGVO Rechtskonform umzusetzen.


    Ich nutze einen Datenschutzgenerator, wie er vielfach im Internet zu finden ist.

    Dort wird das über Cookies erwähnt:



    Aber wie gesagt, ich bin auch nur ein kleines Licht im Dschungel der DSGVO.


    Für effieziente Lösungen wäre ich aber auch dankbar.


    Denke aber, es wurde im anderen Thread zur DSGVO auch schon gefühlte 1000mal erwähnt.

  • Bisher habe ich die Seiten auch analysiert, die genutzten Schriften dann auf dem selben Server installiert und die Verbindung zu Google "gekappt".

    Ein bisschen Bauchschmerzen bereiten mir Kunden, die später selber im Template oder Framework "rumbasteln" und Schriften einstellen, die dann nicht installiert sind. Ich kann ja aber aufgrund von Performance-Nachteilen schlecht alle Schriften installieren.

  • Hallo JoomlaWunder,


    Auf der anderen Seite verweisen viele Unternehmen in ihrer Datenschutzerklärung darauf, dass manche Web Fonts von Servern von außerhalb der EU geladen werden. In ihrem Cookie-Hinweis wird dann auch kurz und knapp auf die Web Fonts / Scripte (bzw. allgemein Plugins) hingewiesen und das Einverständnis eingeholt.

    Im Cookie-Hinweis wird auf nicht EU-Web-Fonts hingewiesen?

    Habe ich bisher so noch nicht gesehen und die Diskussionen hier im Forum auch nicht so verstanden.

    Die Nutzung der unterschiedlichen Varianten von Cookies, das Einbinden der Google-Fonts, das alles taucht mehr oder weniger ausführlich in verschiedenen DSE auf.


    Ich möchte es primär technisch verstehen, daher die Nachfrage.

    Wird nur das Standard-Session-Cookie von Joomla gesetzt und trotzdem Google-Fonts genutzt, wird dann in dem Session-Cookie ein Eintrag zu den (nicht lokal vorhandenen) Google-Fonts gemacht bzw. wird durch die Nutzung der Google-Fonts ein Cookie (welche Variante) gesetzt?


    Oder verstehe ich Deine Formulierung völlig falsch?

  • Hier ist zumindest noch ein Link für's Opt-out dabei.

    Der bzgl. WebFonts keinerlei Wirkung hat.

    Holst du denn dann das Einverständnis vorher ein bzw. erwähnst du die Web Fonts im Cookie-Hinweis (falls vorhanden)?

    Zitat

    Use of Google Fonts is unauthenticated. No cookies are sent by website visitors to the Google Fonts API. Requests to the Google Fonts API are made to resource-specific domains, such as fonts.googleapis.com or fonts.gstatic.com, so that your requests for fonts are separate from and do not contain any credentials you send to google.com while using other Google services that are authenticated, such as Gmail.

    https://developers.google.com/fonts/faq

  • Was allerdings mit "Web Fonts im Cookie-Hinweis" gemeint ist, habe ich noch nicht kapiert.


    Auf mehreren Webseiten habe ich im Cookie-Hinweis bereits folgendes oder ähnliches gelesen:


    "Zur Optimierung...... verwenden wir Cookies. Des Weiteren laden wir Web Fonts und Scripte von Servern ein, die außerhalb der EU-Länder liegen. Mit der Nutzung...... erklären Sie sich damit einverstanden. Infos Einverstanden"

    In dessen DSE wird das dann noch mal ausführlich beschrieben.



    Keinesfalls wollte ich damit andeuten, dass durch das Laden von Web Fonts irgendwelche Cookies gesetzt werden. Es wird nur das Cookie-Plugin/Modul für Hinweise und Einverständnis dafür missbraucht.


    Hintergrund ist wohl folgender: Durch das Laden der Webseite mit entsprechendem Web Font wird die IP bereits zu Google geschickt, weshalb es wohl schon zu Abmahnungen gekommen sein soll. Von daher sehen sich viele wohl auf der etwas sichereren Seite, wenn sie bereits mit dem ersten Webseitenaufruf darauf hinweisen. Und hierfür bietet sich die Cookie-Erweiterung wohl an. Meiner Ansicht nach ist das Blödsinn.


    Ich persönliche bevorzuge auch das Installieren der Web Fonts auf dem eigenen Server. Allerdings hat man dann immer eine Baustelle mehr. Bei jedem Template- oder Framework-Update muss man das im Hinterkopf haben und eventuell erneut die Google-Verbindung "kappen". Auch Template-Kopien müssen hin- und wieder einmal überarbeitet werden. Des Weiteren ist die Vorgehensweise bei vielen Templates eine andere. So macht es Sinn, sich Notizen zu machen. Alles in einem ist der Aufwand somit nicht ganz zu vernachlässigen.


    Mal eine ganz andere Frage. Es wird empfohlen, die .htaccess mit folgenden Browseranweisungen zu ergänzen:



    Im dritten Block kann ich einen Sinn erkennen.

    Kann auf den ersten Block verzichtet werden?

    Und findet die Font-Komprimierung nicht automatisch statt, wenn GZIP aktiviert ist. Oder wirkt sich das nicht auf die Fonts aus?

  • Hallo JoomlaWunder,

    vielen Dank für die Klarstellung.

    Zitat

    Es wird nur das Cookie-Plugin/Modul für Hinweise und Einverständnis dafür missbraucht.

    Das trägt natürlich nicht zur Versachlichung und Klarheit beiträgt, sondern produziert nur noch mehr Durcheinander.

    Re:Later hat ja die ....fonts/FAQ zitiert und damit klargestellt, wie Google das handhabt. Daher wundere ich mich schon über die Einträge auf den Webseiten, die Du erwähnt hast (zusätzlich zu den Ausführungen in der DSE).

    Die Fonts lokal installieren, ist vmtl. der beste Ansatz, dass damit ein Zusatzaufwand anfällt ist auch klar, nicht nur für Templates,...., sondern für die Fonts selbst auch.

    Für mich bedeutet das, dass ich erstmal unsere DSE nicht ändern muss.

  • Mal provokativ gefragt: Wenn ich ein freies Bild von wikipedia.org (weiß der Teufel, wo das gehostet ist) direkt in meine europäische Seite einbette, dann ist das laut DSGVO eventuell verboten, weil standardmäßige Log-Dateien, darunter die IP, an wikipedia übertragen werden? Und das muss ich dann vielleicht in der DSE vermerken oder sogar eine Einiwilligung des Besuchers einholen?


    Selbst als großer Google-Kritiker, der ich bin, kann ich die Panik-Fokussierung IN ALLEN DSE-BELANGEN auf diesen einzelnen Dienstleister nicht mehr ganz nachvollziehen.


    Letztlich würde diese Einschränkung dazu führen, wenn tatsächlich so krass zu interpretieren, dass Leute sich in Massen fremde Inhalte auf ihre eigenen Server laden, selbst, wenn sie damit Gefahr laufen, erhebliche, lizenzrechtliche Probleme zu bekommen. Oder werden alle brav die entsprechenden Lizenzen prüfen und ebenfalls auf ihrer Seite verfügbar machen bzw. auf diese hinweisen?

    Google Web Fonts macht das z.B. für jeden einzelnen Font: https://fonts.google.com/attribution


    Ganz zu schweigen vom, vielleicht sogar sicherheitsrelevanten, Nebeneffekt, dass bspw. eingebundene Bibliotheken, aber auch Fonts etc. selbst aktualisiert werden müssen (Dateien austauschen), weil gar keine CDNs mehr genutzt werden (dürfen), wo ich sonst im blödsten Fall nur die Versionsnummer im LINK anpassen muss (oder gar nichts tun muss).


    Die eventuellen Performancenachteile bzgl. alles Einbinden vom eigenen Server sind wegen DSGVO plötzlich hinfällig?


    Muss ich Joomla-Administratoren darauf hinweisen, dass bei Nutzung des Backends diverse Aktualisierungsserver ihre IP erfahren werden? Keiner weiß, was die damit tun.


    Wunder mich halt nur ;-)

  • Re:Later

    Ich finde Deinen Beitrag mit den Beispielen und Fragen mehr als berechtigt. Ich denke, dass vieles und von vielen Nichttechnikern in dem momentan vorhandenen "Sanktionsvakuum" überbewertet wird. Keiner und kein Generatoranbieter will einen Grund für kostenpflichtige Abmahnungen liefern. M.M. stecken die Techniker in einer Zwickmühle, auf der einen Seite, die Fakultät von Juristen, die den Webseitenbetreibern Hilfestellungen anbieten, auf der anderen Seite diejenigen, die Fehler suchen um Abmahnungen loszutreten.

    Google hat im Vergleich zu anderen bekanntermaßen ein Tracking-Interesse (möglicherweise nicht bei den Fonts). Vielleicht wird dadurch die Fokussierung auf Google verstärkt.

    Ich hoffe, dass sich die ganze Diskussion versachlicht, wenn sich der anfängliche DSGVO-Staub gelegt hat und "vernünftig" die rechtlich nötigen Details geklärt sind und die jeweils beste technische Lösung implementiert werden kann.

    Just my two cents.

  • Google hat 500 Arbeitsjahre in die Umsetzung der DSGVO investiert.

    Mit dem Ergebnis, dass jetzt immernoch niemand weiß ob die angebotenen Einbettungsmöglichkeiten von Youtube-Videos, Webfonts, REcaptcha, Google Maps, Google Calendar, nicht personalisierte ADsense Werbung etc. rechtskonform sind oder nicht.

  • Es ist wohl ähnlich wie in unserem Krankheitssystem. Die Heilung einer Krankheit muss in jedem Fall verhindert werden und es darf keiner merken. Profit-Maximierung geht vor Gesundheit.

    Man hätte die DSGVO in vielen Punkten sicherlich weniger schwammig gestalten können. Theoretisch könnten die "Macher" dann aber an ihrem eigenen Ast sägen, auf dem sie sitzen? ........ Schade! ;)


    Auf meinen eigenen Seiten habe ich die Web Fonts installiert. Die Kunden mache ich auf die Problematik aufmerksam. Dann sollen sie mir mitteilen, wofür sie sich entscheiden.

  • Muss ich Joomla-Administratoren darauf hinweisen, dass bei Nutzung des Backends diverse Aktualisierungsserver ihre IP erfahren werden? Keiner weiß, was die damit tun.

    Beim Update-Check erfolgt die Prüfung über serverseitige Calls, die IP des Admins geht also nur an das backend und nicht an die Update-Server.

  • Einer meiner Kunden ist Rechtsanwalt. Allerdings spezialisiert auf das Gesundheitswesen.

    Dennoch wies er mich im Zusammenhang der Abmahnung wegen GoogleFonts darauf hin, dass es nach wie vor so ist, dass eine Abmahnung nur dann gestellt werden kann, wenn jemand aus der Branche einen Mitkonkurrenten des DSGVO-Fehlers überführt hat. Oder ein Verein für ein berechtigtes Interesse Anspruch erhebt. Also ganz so einfach ist das mit dem Abmahnen noch nicht. Außerdem muss eine Abmahnung auch ganz klar definiert sein. Das Was und Warum muss sehr klar genannt sein und die Beweispflicht, das hier verstoßen wurde liegt bei dem Abmahner.


    Weiter oben wurde das auch schon gefragt - weswegen denn konkret abgemahnt wurde? Soweit mir bekannt, ist mittlerweile die eigentliche Abmahnung wohl schon zurückgenommen worden. Jedoch weiß aktuell niemand was geneures, noch nicht einmal die meisten Anwaltsseiten sprechen Klartext.

    Ein Gericht wird im Zweifelsfall klären, ob das Übertragen der IP an Google bereits ausreicht, eine Abmahnung zu schreiben. Sie wird damit aber auch prüfen müssen, ob in Zukunft das Internet überhaupt noch benutzbar ist.


    Einschätzung "meines" Anwalts: So kleine "Fische" wie wir werden keine Abmahnung erhalten. Aber die großen und mittelgroßen sind interessant für Abmahnanwälte.



    Axel

  • So kleine "Fische" wie wir werden keine Abmahnung erhalten.

    Da habe ich anderes erlebt. Gerade kleine Fische bekommen z.Z. "ungerechtfertigt" Abmahnungen wegen Google-Fonts, weil die Kleinen den Gang zum RA eher scheuen, als Große und dann lieber schnell die 300.- Zahlen:
    https://www.boden-rechtsanwael…in-time-services-nrw-gmbh

    Nicht nur, dass nur ein Mitbewerber eine Unterlassungserklärung verlangen darf, er muss auch offensichtlich einen Wettbewerbsnachteil durch diesen Vertsoß haben.

  • Grad mal genauer geschaut: Die Firma just in time service NRW GmbH ist gar nicht verantwortlich für die Abmahnung. Wenn man deren Website aufruft und einmal kurz auf der Website scrollt, dann tauchte zumindest bei mir eine Hinweisbox auf, die kund tat, das die Firma damit nichts zu tun hat.
    zeitarbeit-tischler.de


    Stellt sich also die Frage, wer die Firma denn nun genau ist, die da abmahnt?

    Nicht das es sich hier um eine Fake-News handelt...



    Axel