Abmahnungen Google Web Fonts / Inhouse Datenschutzbeauftragter (IHK)

(05.11.2022) Mit dem 25. Mai 2018 trat die EU-DSGVO mit dem Ziel erhöhter Verbraucherrechte und, daraus resultierend, erweiterter Unternehmenspflichten in Kraft. Neben weitreichenden Restriktiven im Betriebsalltag ergaben sich damit auch für die allgemeine IT und speziell für Betreiber von Internetangeboten (Homepage, Shop, etc.) umfassende Maßnahmenpakete die teilweise noch heute auf Umsetzung warten (müssen).

Die DSGVO: Privacy by Design / Privacy by Default

Unter diesem Titel berichteten wir rund drei Monate vor dem Start der DSGVO hier im Blog über erste Veröffentlichtungen zur Umsetzung einzelner Themen. Einiges war zu diesem Zeitpunkt bereits grundlegend bekannt geworden, anderes musste erst mühsam recherchiert und zusammen getragen werden. Für uns Programmierer und Digital-Agenturen begann damit die Frage nach einer möglichen DSGVO-konformen Umsetzung verschiedenster Anforderungen und im Grunde waren wirklich fundierte Informationen darüber schwer zu finden.

Die Datenverschutzte Unsicherheit

So lautete unser Blog-Artikel deshalb nach einem Monat Laufzeit der DSGVO im Juni 2018 in dem wir der Unsicherheit unserer Branche hinsichtlich der Anforderungen und Umsetzung der europaweiten Datenschutz-Grundverordnung Ausdruck verliehen. Basierend auf den ersten Erfahrungen in und aus der Praxis hatten wir damals schon eine erste, heute sicherlich noch erweiterbare Auflistung von 5 - aus unserer Sicht - empfehlenswerten Maßnahmen bei der Umsetzung und Administration von Online-Shops, Firmen-Homepages und Portalen erstellt. - Diese hat sich, gerade in der jüngsten Zeit, für eine große Mehrheit der Website-Betreiber einmal mehr als Rettungsanker bewährt.

Abmahnungen wegen Google Web Fonts

Schon damals, zu Beginn der DSGVO, war bekannt gewesen, dass die Einbindung von externen Ressourcen wie Schriften (Fonts), Skripte, etc. DSGVO-Konform, also lokal zu erfolgen hat.

Um was geht es hierbei genau:

•  Um die Inhalte einer Online-Präsenz für Besucher ansprechend zu gestalten werden je nach Anforderung unterschiedliche Schriftarten zur Darstellung auf dem Bildschirm verwendet. Endgeräte wie PC, Tablet, Notebook oder Handy haben innerhalb ihres Systems allerdings nur eine begrenzte Standard-Auswahl an Schriften vorinstalliert, weitere Schriften darüber hinaus können damit nicht dargestellt werden. Usus ist es deshalb, Schriften (Fonts) in der Seitenprogrammierung explizit zu referenzieren um allen Besuchern das identische Erscheinungsbild liefern zu können - Unabhängig vom verwendeten System.
•  Google hatte den Bedarf an frei verfügbaren Schriftsätzen schon vor langem erkannt und dafür ein riesiges Archiv bereitgestellt, auf das - noch heute - ein jeder Programmierer / Web-Developer Zugriff nehmen kann. Die Einbindung dieser Schriften erfolgt wahlweise über eine dynamische Einbindung als externe Ressource, oder lokal indem die Schriftart zunächst heruntergeladen und dann innerhalb der eigenen Seite hinterlegt wird.

Das Problem bei der externen Einbindung:

•  Besucht ein Anwender die Internetseite, werden beim Abruf der Schriften die Server von Google kontaktiert. Hierbei werden zahlreiche Daten des Webseitenbesuchers übermittelt. Etwa:
   
  - der Browser,
  - die Webseite, die der Nutzer besucht,
  - das Betriebssystem des Nutzers,
  - die Bildschirmauflösung des Nutzers
  - die IP-Adresse des Nutzers sowie
  - die Spracheinstellungen des Browsers.

Im Besonderen die Übermittlung der IP-Adresse ist in diesem Zusammenhang problematisch, weil diese zu den personenbezogenen Datum des Besuchers gezählt wird und nicht ohne explizite Einwilligung an Ditte weitergeleitet werden darf.

Die Lösung: DSGVO-Konforme Einbindung von externen Ressourcen

Um diese unerwünschte Weitergabe personenbezogener Daten zu unterbinden, müssen diese lokal hinterlegt und eingebunden werden. - Dies ist im Fall der Google Web Fonts auch nicht sonderlich schwierig, es muss schlichtweg nur gemacht werden.

Soweit, so unvollständig

"Schwer ist leicht was" wusste schon der große Karl Valentin († 9. Februar 1948) denn gemeinhin basieren die meisten Online-Präsenzen aus Kosten- und Bequemlichkeitsgründen auf bereits vorgefertigten, gekauften Templates für das Layout zurück, oder installieren fertig konfigurierbare Plugins und Komponenten für einzelne Funktionalitäten ein. Diese führen wiederum - und das nicht selten - eigene Google Web Fonts ein die beim bereinigen eines Shops oder einer Seite auf eine DSGVO-Konforme Programmierung hin berücksichtigt werden müssen.

Im Klartext: Es ist für den Verantwortlichen in aller Regel nicht damit getan an einer Stelle nach externen Datenquellen zu suchen, sondern es muss aufwändig im Programmier-Code nach Quellen der Aufrufe gesucht werden.

Was Sie jetzt machen müssen!?

1. Klar ist: Die DSGVO regelt umfänglich die Art und Weise wie die Verarbeitung personenbezogener Daten stattzufinden hat. - Deren Regelsätze sind nicht vorübergehend und Firmeninhaber können diese auch nicht aussitzen, sondern müssen aktiv an die Umsetzung der Vorgaben gehen. Das angeführte Beispiel der Google-Fonts ist in diesem Zusammenhang nur ein Punkt von vielen die bei der Erstellung und Wartung von Internetpräsenzen zu beachten ist, die weitreichenden Anforderungen an Betriebe jedweder Größe füllen Bücher...
2. Auch die Erstellung / Programmierung der eigenen Internetpräsenz aus versierter Hand ist nur eine Momentaufnahme. Es ist bekannt, dass Updates und Upgrades von Templates, bzw. Plugins mithin den Quellcode vollständig oder auch nur teilweise überschreiben. Bereits korrigierte Aufrufe von Quellen Dritter können sich durch das überschreiben des Quellcodes im Verlauf der Zeit wieder einschleichen, bereits DSGVO-Konforme Seiten wieder zum Problemfall werden.
3. Eine Überprüfung der eigenen Online-Präsenz durch kundige Hand ist auf Grund der aktuellen Abmahnwelle dringend angezeigt, soll aber nicht darüber hinweg täuschen dass Datenschutz in jedweder Form ein beständiger Prozess ist.

• Zurück
• Weiter