Randnotiz: Das ist keine Rechtsberatung. Ich bin kein Jurist. Der Artikel drückt lediglich meine Sichtweise aus. Jeder ist eigenständig verantwortlich :).
Und was hat wieder die DS-GVO damit zu tun?
Ich beschäftige mich ja schon seit etlicher Zeit (nicht nur beruflich) mit dem Thema Hosting und DS-GVO (gibt es eine richtige Schreibweise 🙂 ?) . Ich hatte ja schon vor längerer Zeit einen Artikel über das Thema DSGVO und Fonts veröffentlicht.
Grundsätzlich hat sich an dem Thema nichts geändert. Außer, dass sich der Kampf gegen die großen Mächte wie Facebook, Google und Co. verschärft hat. Auch was den Datentransfer in die Drittstaaten wie den USA angeht. Und nun, wir schreiben den 02.02.2022, poppte eine Meldung von Golem auf meinen Bildschirm auf.
„Einbindung von Google Fonts ist rechtswidrig„
Oha. Die Überschrift hat mich doch wieder neugierig gemacht. Eigentlich war es ja nur eine Frage der Zeit, bis das irgendwann doch passiert. Ich sehe es regelmäßig, dass sich die Website Betreiber für die „Nutzung der Google Fonts“ oder „Nutzung des Adobe Typekits“ sich auf das berechtigen Interesse“ (Artikel 6 absatz 1 f) stützen. Jedoch ist es nicht mehr so einfach. Warum? Weil personenbezogene Daten in „unsichere“ Drittstaaten“ (und dazu zählt die USA auch trotz Privacy Shield) übermittelt werden. Wer sich tiefer mit der Materie auseinandersetzen möchte, findet im Netz weitreichendes Material.
Den Artikel von Dataguard finde ich recht gelungen.
Vor allem ist der Artikel 49 DS-GVO hier sehr eindeutig.
Die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
Art. 49 DSGVO: Ausnahmen für bestimmte Fälle (e-recht24.de)
….. Person vorher explizit über bestehende mögliche Risiken derartiger Datenübermittlungen aufzuklären
Schlagen wir nun mal den Bogen zu dem schönen Thema Fonts. Was heißt das eigentlich nun genau? Mal ganz einfach zusammengefasst.
Der Besucher muss vor dem Besuch eurer Seite über den Datentransfer in die Drittstaaten aufgeklärt werden
Der Besucher muss zum Transfer der Daten in die Drittstaaten einwilligen
Gehen wir doch noch mal zu dem Artikel von Golem zurück. Was ist denn nun im Fall, falls wir die Einwilligung nicht einholen und Google Fonts einfach von den Google Servern laden?
Webseiten Betreiber können auf Unterlassung und „Schadensersatz“ verklagt werden. In dem Fall geschilderten Fall waren es sogar 150 €. Interessant finde ich den Wortlaut „Schadensersatz“. Durch die Übermittlung der IP Adresse an Google ist dem Besucher ein „Schaden“ entstanden.
Spannend ist auch wie oben angedeutet. Der Webseitenbetreiber stützt sich auf die Aussage „berechtigtes Interesse“. Aber, und nun kommt eine sehr gute Begründung. Man kann auch die Google Fonts auf dem eigenen Webserver einbinden und von dort aus laden. Damit entfällt eben diese Übermittlung der personenbezogene Daten in „unsichere“ Drittstaaten. Auch wird der Ansatz „berechtigtes Interesse“ obsolet.
Wenn nicht gehandelt wird drohen sogar „Ordnungsgelder“ in Höhe von 250.000 € bzw. sogar Haftstrafen.
Wie wir hier sehen, kann es jeden Webseitenbetreiber treffen. Jetzt kommt der weitere Knackpunkt.
Was ist mit den tollen CDN? Auch wir Podcaster können davon betroffen sein!
Tja. Eben auch diese sind davon betroffen. Besonders wenn wir unseren beliebten CDN Anbieter „Cloudflare“ verwenden. Dieser sitzt eben in den USA. Und damit sitzen wir erneut in der DSGVO Schleife. Aber es ist ja nicht nur der Anbieter. Auch viele Podcast Lösungen basieren ja auf den CDN Ansatz. Podlove zum Beispiel setzt auch ein CDN ein.
Podlove Publisher | Podlove -> KeyCDN – Content delivery made easy
KeyCDN sitzt zumindest mal in der Schweiz 🙂 und sieht sich als europäischer CDN Anbieter. Beruhigt mal auf den ersten Blick. DSGVO: Datentransfer zwischen Schweiz und EU: Was ist zu beachten? (keyed.de)
Ich habe mal geschaut. Und man sieht hier. Der Webplayer wird dann über das CDN geladen. Und Bingo. Haben wir den Spaß. Die Frage ist nun. Wer ist nun der Daten-Controller und wer der Daten-Processor. Ist es Podlove, bzw. Podigee oder Key-CDN? Eigentlich sind wir der Daten-Controller. Nur wer ist halt der Prozessor? Schicken wir die Daten an Podlove und sie sind damit der Prozessor? Und dieser setzt wieder eine Auftragsverarbeiter ein? Oder ist es nun Podigee? Die sitzen wenigstens in Berlin.
Es wird nicht einfacher liebe Leute.
Was können wir denn nun tun?
Erstens schlage ich vor, dass ihr schaut, ob ihr überhaupt externe Quellen eingebunden habt. Youtube, Social Media Inhalte, Facebook Pixel, CDN, Fonts. Etc. Dann im nächsten Schritt schauen, welche Alternativen es gibt. Zumindest sollten all diese Inhalte anhand eines „Cookie Banners“ und nach „erfolgter Einwilligung“ eingeblendet werden. Was mich allerdings wieder vor der Frage stehen lässt. Was passiert eigentlich nach dem „Widerruf der Einwilligung“? Damit einher ergibt sich ja auch das Recht auf Löschung der Daten. Hmmmm.
Ergo. Lasst die Finger von den Google Fonts und Co. Macht euch das Leben nicht so schwer. Gerade in Hinsicht, dass noch eine Welle möglicher Abmahnung kommen kann. CDN braucht man auch nicht wirklich. Außer man hat viele internationale Besucher und möchte den Seitenaufbau beschleunigen. Glaube die meisten von uns sind nicht wirklich davon betroffen.
Es gibt auch einfache Tools, mit denen Ihr die Google Fonts einfach deaktivieren könnt. Einfach mal bissel bei den Plugins suchen. Remove Google Fonts z.b. Ihr findet hier etliche Ansätze. Wer unbedingt die tollen Schriftarten benötigt. Dann bindet sie direkt auf eurem Server ein.
