Dem Datenschutz zuliebe: wie ihr Google Fonts DSGVO-konform lokal in eure Webseiten einbindet
Die Datenschutzgrundverordnung (DSGVO), die am 25. Mai nach zweijähriger Übergangsphase EU-weit in Kraft tritt, stellt speziell dann einige Anforderungen an euch, wenn ihr als freiberuflicher Webentwickler oder als Agentur tätig seid. In unserem DSGVO-Wissenspaket gehen wir ausführlich auf die wesentlichen Aspekte der DSGVO für Agenturen ein. Diesbezüglich haben uns in den letzten Tagen zahlreiche Nutzer unseres Wissenspakets gefragt, ob es eine Möglichkeit gibt, die Google Fonts datenschutzkonform einzusetzen. Üblicherweise werden die jeweiligen Schriften nämlich vom Google Server nachgeladen, wodurch Daten an diesen übermittelt werden. Aus Datenschutzsicht ein unschöner Aspekt – doch zum Glück geht das auch anders!
- DSGVOnline: AV-Wizard und Wissenspaket
- Notwendig dank der DSGVO: Google Fonts sollten lokal eingebunden werden
- Genutzte Google Fonts identifizieren
- Benötigte Google Fonts herunterladen
- Schriften auf eure Website hochladen
- CSS eurer Website anpassen
- Verbindung zum Google Server trennen
- Update vom 01.06.2018
- Abschließende Überprüfung
Notwendig dank der DSGVO: Google Fonts sollten lokal eingebunden werden
Anstatt die Schriften vom Google Server zu laden, können diese nämlich auch lokal auf dem eigenen Server bzw. Webspace abgelegt und eingebunden werden. Am Beispiel des freien Blogsystems WordPress wollen wir euch die notwendigen Schritte in diesem Artikel konkret erklären. Natürlich lässt sich das auch auf beliebige Content Management Systeme übertragen – eventuell weichen einige Beschreibungen etwas ab, grundsätzlich ist das Vorgehen aber sehr ähnlich.
Genutzte Google Fonts identifizieren
Zunächst einmal müsst ihr wissen, welche Google Fonts ihr im jeweiligen Kundenprojekt einsetzt. Wenn ihr diese Frage nicht spontan beantworten könnt, gibt es mehrere Wege, dies nachzuschauen. Falls ihr die Schriften über ein Plugin wie „Easy Google Fonts“ einbindet, könnt ihr die konfigurierten Schriften z. B. über die Customizer-Funktion eures Themes einsehen. Unter dem Punkt „Typography“ » „Default Typography“ findet ihr die Einstellungen für Absätze und Überschriften.
Alternativ könnt ihr die Fonts über den Quellcode eurer Seite oder über die Developer Tools in Chrome bzw. Firefox herausfinden. Unter dem Punkt „Sources“ könnt ihr nachvollziehen, von welchen Quellen Daten für eure Website geladen werden. Übrigens könnt ihr an dieser Stelle später überprüfen, ob tatsächlich keine Verbindung mehr zum Google Server hergestellt wird.
Benötigte Google Fonts herunterladen
Nachdem ihr nun wisst, welche Google Fonts ihr benötigt, solltet ihr diese auch herunterladen. Besucht hierfür den von Mario Ranftl kostenlos bereitgestellten Service google-webfonts-helper.herokuapp.com. Hier könnt ihr knapp 900 Schriften mit diversen Schnitten in zahlreichen Schriftformaten herunterladen.
Gebt hierzu einfach im Suchfeld die gewünschte Schrift ein – in unserem Beispiel suchen wir nach der Schrift „Roboto“. Unter Punkt 1 und 2 könnt ihr dann eure benötigten Zeichensätze und Schriftschnitte auswählen. Detaillierte Informationen hierzu findet ihr in der bereits oben aufgeführten Ausgabe der Developer Tools. Für unsere Testwebseite benötigen wir die Schrift „Roboto“ in der FontWeight-Variante 100.
Habt ihr die Schrift in der gewünschten Konfiguration ausgewählt, wird unter Punkt 3 das CSS-Snippet angezeigt, über welches ihr die Schrift später in eure Website einbinden könnt.
Bitte beachtet: Das Serververzeichnis „/fonts“ ist standardmäßig voreingestellt – wollt ihr die Schriften an anderer Stelle auf eurem Webspace ablegen, passt das gewünschte Verzeichnis am besten schon hier an, dann müsst ihr es später nicht an verschiedenen Stellen im CSS angleichen.
Abschließend könnt ihr euer individuell zusammengestelltes Schriftpaket unter Punkt 4 bequem als ZIP-Archiv herunterladen.
Sollten mehrere Schriften auf eurer Seite zum Einsatz kommen, könnt ihr diesen Vorgang natürlich beliebig oft wiederholen. Und wenn euch der Service gefällt und ihr bereits einen GitHub-Account habt, freut sich Mario ganz bestimmt über einen Stern. ;-)
Schriften auf eure Website hochladen
Nach dem Download findet ihr auf eurem Rechner ein ZIP-Archiv mit den gewünschten Schriften in zahlreichen Formaten (EOT, SVG, TTF, WOFF, WOFF2).
Diese Datei gilt es nun auf den Webspace hochzuladen: Nutzt hierfür idealerweise einen verschlüsselten Übertragungsweg wie SFTP oder SCP. Legt für die Dateien das zuvor definierte Verzeichnis (in unserem Fall „/fonts“) an und kopiert die Schriften hinein.
CSS eurer Website anpassen
Ihr nähert euch bereits der Ziellinie! Nachdem ihr die benötigten Schriften auf eurem Webspace abgelegt habt, müssen diese nur noch in euer CSS eingebunden werden. Das hierfür notwendige CSS-Snippet wurde euch ja im Google-Webfonts-Helper angezeigt.
In unserem Beispiel sieht es wie folgt aus:
/* roboto-100 - latin */
@font-face {
font-family: 'Roboto';
font-style: normal;
font-weight: 100;
/* IE9 Compat Modes */
src: url('../fonts/roboto-v18-latin-100.eot');
src: local('Roboto Thin'), local('Roboto-Thin'),
/* IE6-IE8 */
url('../fonts/roboto-v18-latin-100.eot?#iefix') format('embedded-opentype'),
/* Super Modern Browsers */
url('../fonts/roboto-v18-latin-100.woff2') format('woff2'),
/* Modern Browsers */
url('../fonts/roboto-v18-latin-100.woff') format('woff'),
/* Safari, Android, iOS */
url('../fonts/roboto-v18-latin-100.ttf') format('truetype'),
/* Legacy iOS */
url('../fonts/roboto-v18-latin-100.svg#Roboto') format('svg');
}
Am schnellsten könnt ihr die notwendigen CSS-Anpassungen an der Datei „style.css“ über den eingebauten Editor in WordPress vornehmen. Bitte beachtet jedoch, dass eure Änderungen bei zukünftigen Aktualisierungen eures Themes überschrieben werden. Es ist daher empfehlenswert, ein Child-Theme anzulegen und die notwendigen Änderungen darin vorzunehmen.
Ein Child-Theme könnt ihr entweder manuell anlegen oder hierfür das Plugin „Child Theme Configurator“ nutzen. In eurem Child-Theme findet ihr ebenfalls die Datei „style.css“, in der die beschriebenen CSS-Anpassungen durchgeführt werden können.
Verbindung zum Google Server trennen
Im letzten Schritt kappen wir nun die Verbindung zum Google Server und stellen sicher, dass tatsächlich keine Informationen zu ihm übertragen werden.
Falls ihr für die Nutzung der Google Fonts das eingangs genannte Plugin „Easy Google Fonts“ nutzt, reicht es, dieses zu deaktivieren.
Alternativ gibt es drei Plugins, die genau dies per Knopfdruck für euch tun: „Disable Google Fonts“, „Remove Google Fonts“ und „Remove Google Fonts References“. Alle drei Plugins müssen lediglich installiert und aktiviert werden – eine Konfiguration ist nicht notwendig. Laut zahlreicher Rückmeldungen scheint das zuletzt genannte Plugin bei den meisten Nutzern funktioniert zu haben.
Update vom 01.06.2018
Verbindung zu Google kappen?
Auch mit den drei von mir genannten Plugins scheint das Kappen der Verbindung zum Google Server bei manchen Themes nicht einwandfrei zu funktionieren.
Inzwischen habe ich eine vierte Möglichkeit gefunden, die in meinen Tests auch bei hartnäckigen Themes die Verbindung zuverlässig eingestellt hat. Das Plugin Autoptimize dient eigentlich der Optimierung von HTML, CSS und Javascript, um die Ladezeiten von Websites zu beschleunigen.
In den „Extra-Optionen“ gibt es jedoch auch die Möglichkeit, Google Fonts vollständig zu deaktivieren.
Falls die vorherigen Plugins bei euch nicht funktioniert haben, freue ich mich über euer Feedback zu Autoptimize.
Lokale Nutzung von Google Fonts legal?
In den letzten Tagen haben uns zahlreiche Kommentare und Mails mit der Frage erreicht, ob die lokale Einbindung der Google Fonts legal ist.
Wie im obigen Beitrag selbst, gilt auch hier, dass ich kein Jurist bin und nur wiedergebe, wie ich die Situation verstehe!
Auch wenn der folgende Absatz aus der Entwickler-FAQ zu den Google Fonts immer noch etwas Interpretationsspielraum lässt, ist zumindest eine deutliche Richtung erkennbar.
Zwei Dinge sprechen aus meiner Sicht dafür, dass das in meinem Beitrag beschriebene Vorgehen aus Sicht von Google legal ist: Zunächst einmal gestattet Google die kommerzielle Nutzung seiner Schriften auf allen Websites. Google empfiehlt zwar, die Fonts für Websites von seinen Servern zu laden, bezieht sich hier aber eher auf Performance-Aspekte. Eine lokale Nutzung wird an dieser Stelle nicht ausgeschlossen.
Einen Absatz weiter erlaubt Google sogar ausdrücklich den Download und die Nutzung seiner Fonts auf eigenen Systemen. In der Tat ist der Begriff „lokale Nutzung“ immer noch potenziell missverständlich (es könnte auch die lokale Nutzung auf einem PC gemeint sein), im nächsten Absatz wird jedoch erneut von einer Nutzung auf Websites gesprochen.
Auch wenn das alles keine 100 %ige Garantie ist, lese ich heraus, dass Google die Nutzung seiner Schriften auf dem eigenen Webserver gestattet. Solltet ihr andere Infos finden, schickt mir gerne eine Mail an dsgvo@mittwald.de. Ich passe den Beitrag dann entsprechend an.
Soweit hoffe ich erst einmal, etwas mehr Licht ins Dunkle gebracht zu haben. ;-)
Abschließende Überprüfung
Anschließend solltet ihr eure Webseite neu laden und prüfen, ob die Schriften noch wie gewünscht geladen und dargestellt werden.
Zum Schluss könnt ihr noch mal die Developer Tools bemühen, um sicherzustellen, dass eure Website tatsächlich nicht mehr mit dem Google Server spricht. ;-)
Wenn anstatt der zuvor noch angezeigten Verbindungen zum Google Server (fonts.googleapis.com, fonts.static.com) nun die lokalen Schriften aufgeführt werden, habt ihr die Schriften erfolgreich eingebunden.
Alternativ zur manuellen Konfiguration kann man auch WordPress-Plugins verwenden. Das Plugin DSGVO-Patron bindet neben der Font-Konfiguration auch weitere externe Dienste lokal ein, außerdem entfernt es die IP-Aufzeichnungen bei der Kommentarfunktion im Blog.
Wir wünschen euch viel Erfolg dabei! Solltet ihr noch Fragen oder Anmerkungen haben, schreibt es gerne hier in einem Kommentar!
Hinweis: Da der Autor dieses Artikels kein Jurist ist, stellt dieser Artikel weder eine Rechtsberatung dar, noch ersetzt er eben diese. Bitte wenden Sie sich im Zweifel an einen Rechtsanwalt.
DSGVOnline: AV-Wizard und Wissenspaket
Mit dem AV-Wizard könnt ihr eure AV-Verträge bequem online abschließen und verwalten. Er führt euch Schritt für Schritt durch die Erstellung eines Auftragsverarbeitungs-Vertrages und ermöglicht dank zahlreicher Beispiele aus der Agenturwelt eine schnelle Vertragserstellung.
Alles, was Agenturen zur DSGVO wissen müssen: im DSGVO-Wissenspaket erhaltet ihr ein ausführliches Whitepaper, hilfreiche Checklisten sowie verschiedenste Musterverträge und Vorlagen, die ihr für eure Kundenprojekte, aber auch für die eigene Webseite verwenden könnt.
Kommentare
3) No Modified Version of the Font Software may use the Reserved Font
Name(s) unless explicit written permission is granted by the corresponding
Copyright Holder. This restriction only applies to the primary font name as
presented to the users.
Der Name müßte also überall ersetzt werden (Innerhalb der Font-Daten, Meta Daten, Dateinamen und CSS Files). Dafür müßte man die TTF-Dateien erstmal mit einem Font-Editor bearbeiten. Font Squirrel hat auch so einen Webfont-Generator ähnlich der Heroku App und weist da auch ausdrücklich darauf hin, das sie das nicht können, es aber rechtlich notwendig wäre.
genau das hier ist der Punkt "CSS eurer Website anpassen" wo ich nicht weitergekommen bin. Endlich wird es gut erklärt endlich ein Artikel, der mir perönlich weiter hilft. Vielen Dank dafür macht weiter so.
LG
vielen Dank dir! Super, dass dir unser Beitrag weitergeholfen hat.
Viele Grüße aus Espelkamp.
Kristina
LG, Stefan
Nachdem ich die Pflege eines bestehenden Webshops übernahm, wollte ich die Nutzung der Google Fonts auf System-Fonts umstellen. Weil die Deaktivierung im DIVI-Theme anscheinend nicht funktioniert, habe ich noch die Schriftarten umgestellt. Als das nichts half, fügte ich noch eine Funktion (wp_dequeue_style( ‘divi-fonts' )) hinzu. Auch ohne Erfolg. Autoptimize war schon installiert, nur war keine Einstellung darin vorgenommen. Ich setzte also den Haken bei Extras zum "Google Fonts entfernen". Der alleine reicht aber nicht, es muss auch bei "Allgemein" der "CSS Code optimiert" werden.
Leider funktioniert es bei mir nicht. Ich nutze das kostenpflichte MH Magazine. Ich habe die Fonts entsprechend einer Anleitung runtergeladen, in meinem Fonts-Ordner gespeichert und die CSS-Zeilen vom Google Webfonts Helper in die style.css vom Child-Theme eingefügt. Habe den Pfad für die CSS einmal "../fonts/" und einmal "/fonts/" ausprobiert.
Danach habe ich die Verbindung zu Google Fonts getrennt. Das konnte ich über den Customizer machen, dort kann ich auswählen, ob ich Google Fonts aktivieren oder deaktivieren möchte. Sind sie deaktiviert, gibt es keine Verbindung mehr zu Google Fonts. Allerdings sind dann meine Schriftarten auf Arial geändert, statt Open Sans und Amaranth.
Kann mir jemand helfen, was ich falsch mache?
danke für deinen Beitrag.
Um auf deine Frage einzugehen: Ohne das verwendete Theme genau zu kennen, bieten sich für dich die Developer Tools an! Deshalb wäre es sinnvoll, wenn du analysierst, woher die CSS-Regel kommt, die normalerweise die richtige Schriftart anzeigt.
Wenn du dasselbe nach Deaktivierung von Google Fonts machst, sollte ersichtlich werden, wo genau die Probleme stecken: Vermutlich wurde entweder die CSS-Regel bei Deaktivierung von Google Fonts gelöscht oder der von dir angegebene Pfad zu den Dateien ist nicht aufrufbar.
Ich hoffe, wir konnten dir weiterhelfen.
Viele Grüße
Kristina
Beste Grüße,
nik
@Mittwald, Ein Service wo man seine URL eingeben kann, der einem dann zeigt ob alles externe beseitig wurde, wäre cool.
Im Firefox: F12 (Entwicklertools), dann Reiter "Netzwerkanalyse". Die Seite laden, und die Spalte "Host"auswerten.
Im Chrome: F12 (Entwicklertools), dann Reiter "Sources". Die Seite laden, und rechts die Einträge unter "Network" auswerten.
ich habe hier das Plugin Self-Hosted Google Fonts im Auge, scheint eine recht schnelle und einfachere Möglichkeit für WordPress zu sein.
Grüße
Torben
die Google-Services werden meistens eingebunden und sind dann auch nur mit hohem technischen Aufwand veränderbar.
Uns ist bislang leider keine einfache Lösung bekannt, bei Recaptcha oder Maps die Schriftarten so zu ändern, dass nicht wenigstens die ursprünglichen trotzdem geladen werden.
Somit können wir hier leider vorerst nicht weiterhelfen. Tut uns leid.
Viele Grüße
Kristina
wir können da natürlich keine rechtsverbindliche Aussage treffen und übernehmen keine Haftung!
Was zu sagen ist, ist dass mit Einsetzen von Google Maps die Fonts von Google geladen werden, das ist richtig. Darüber hinaus trackt Google natürlich auch den Benutzer von Maps mit einem Cookie o. Ä. Dieses kann man zum mindestens in der Datenschutzerklärung mit aufnehmen. Weiteres können wir dir hierzu aber nicht sagen.
Viele Grüße
Kristina
=> Witzig, das von einem augenscheinlich auf Abmahnungen spezialisierten RA zu hören, wo einem doch stets dazu geraten wird, Abmahnungen grundsätzlich nie zu ignorieren.
Wenn ich die Schriften, wie hier gezeigt lokal einbinde, muss ich das dann trotzdem in meine Datenschutzerklärung einbinden oder kann ich darauf dann verzichten? z.B. so:
Verwendung von Scriptbibliotheken
Um unsere Inhalte browserübergreifend korrekt und grafisch ansprechend darzustellen, verwenden wir auf dieser Website Scriptbibliotheken und Schriftbibliotheken. Diese werden zur Vermeidung mehrfachen Ladens in den Cache Ihres Browsers übertragen. Falls der Browser diese nicht unterstützt oder den Zugriff unterbindet, werden Inhalte in einer Standardschrift angezeigt.
Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO
Bitte nicht einfach übernehmen: Das ist keine Rechtsberatung!
nach meinem Verständnis müsstest du keinen Hinweis mehr in die Datenschutzerklärung aufnehmen, wenn die Schriften ausschließlich vom eigenen Server geladen werden. Es findet in diesem Fall ja keine Übertragung von Daten an Dritte statt.
Sonst müsstest du diesem Gedanken folgend auch PHP, MySQL und Co. benennen.
Sicher kann ein Hinweis nicht schaden – ich persönlich finde aber, dass man die Datenschutzerklärung möglichst schlank halten sollte, um dem Besucher das Lesen so einfach wie möglich zu machen.
Viele Grüße
Florian
ja, die Fonts werden lokal auf den Rechner des Besuchers geladen, damit diese im Browser korrekt dargestellt werden können.
Im Gegensatz zur Funktionsweise eines Cookies kann ein Besucher bei einem erneuten Besuch durch diese Schriften aber nicht eindeutig identifiziert werden. Das ist ja das Problematische an Cookies.
Insofern sehe ich das aus meiner nicht-juristischen Sichtweise sehr entspannt.
Viele Grüße
Florian
Liebe Grüße
Mannuela
vielen Dank zunächst einmal für dein positives Feedback zum Beitrag!
Als Hosting-Partner für Agenturen legen wir in unseren Beiträgen natürlich den Fokus auf Anwendungen, die Kunden auf unseren Plattformen nutzen können.
Da der Dienst meines Wissens nach seit vielen Jahren ausschließlich auf Google-Servern betrieben werden kann, fehlen uns die Einblicke und Erfahrungen mit diesem Dienst.
Eine Suche nach „blogspot dsgvo“ liefert jedoch zahlreiche Treffer zu Beiträgen, in denen gezielt Fragen zu Blogspot bzw. Blogger beantwortet werden. Und wenn du zukünftig mal auf WordPress umsteigst, weißt du, an wen du dich vertrauensvoll wenden kannst :-)
Viele Grüße
Florian
Das Plugin DSGVO-Patron scheint es schon nicht mehr zu geben.
Funktioniert hat letztlich auf Anhieb das Plugin "EU DSGVO Helper". :-)
Glückauf, Ollie
wie C.D.J. bereits geschrieben hat, ist DSGVO-Patron nach wie vor verfügbar.
Als Hosting- und Servicepartner für Open Source Anwendungen versuchen wir zunächst einmal einen Lösungsansatz zu finden, der ebenfalls auf Basis von Open Source realisierbar ist.
Wir schauen uns die kostenpflichtige Lösung "DSGVO-Patron" aber mal an und nehmen diese ggf. mit in den Beitrag auf.
Viele Grüße
Florian
Für das Einbinden in eine CSS-Datei welches für alle Verzeichnistiefen gilt, ist die Pfadangabe ohne Punkte doch besser geeignet als mit Punkten? Weil wenn eine Seite in einem tiefen Verzeichnis liegt, wirkt die folgende Einbindung nicht mehr:
src: url('../fonts/roboto-v18-latin-100.eot');
Ist diese Angabe deshalb besser?
src: url('/fonts/roboto-v18-latin-100.eot');
Erlauben die CSS-Regeln die Einbindung ohne Punkte?
/wp-content/themes/name-des-themes/fonts/*
sollte problemlos funktionieren.
Ich habe eine Frage bzgl. der Icon-Schriftart "font awesome", die auf vielen Webseiten eingebunden ist. Bezüglich der DSGVO findet man hierzu nur sehr wenige Hinweise, obwohl deren Server ebenfalls in den USA hosten. Ist die Verwendung von FONT AWESOME ähnlich wie Google Fonts zu betrachten?
vielen Dank für Dein positives Feedback!
Ich kann ehrlicherweise nicht genau sagen, wie Fonticons Inc. (der Anbieter hinter Font Awesome) mit den Daten umgeht.
Sicherlich ist die Verwendung von Font Awesome aus Datenschutzsicht etwas unkritischer, da keine Datenkrake wie Google direkten Zugriff auf die Daten hat.
Diese subjektive Sichtweise mal außer Acht gelassen, gelten nach meinem Verständnis aber grundsätzlich die gleichen Spielregeln wie für Regeln.
Allerdings ist es auch bei Font Awesome möglich, ein ZIP mit allen CSS und Fonts herunterzuladen, diese lokal auf dem Webserver abzulegen und von dort aus einzubinden. Insofern gäbe es auch hier eine datenschutzkonforme Lösung.
Inwiefern die Fonticons Inc. diese Lösung offiziell gestattet, kann ich jedoch nicht sicher beantworten.
Viele Grüße
Florian
Teilweise ganz ohne Datenschutzhinweise und viele eben mit Google Fonts.
Und die verweisen auf Art. 6 Abs. 1.
Zitat : " Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten so genannte Web Fonts, die von Google bereitgestellt werden. Beim Aufruf einer Seite lädt Ihr Browser die benötigten Web Fonts in ihren Browsercache, um Texte und Schriftarten korrekt anzuzeigen. Zu diesem Zweck muss der von Ihnen verwendete Browser Verbindung zu den Servern von Google aufnehmen. Hierdurch erlangt Google Kenntnis darüber, dass über Ihre IP-Adresse unsere Website aufgerufen wurde. Die Nutzung von Google Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar. Wenn Ihr Browser Web Fonts nicht unterstützt, wird eine Standardschrift von Ihrem Computer genutzt. Weitere Informationen zu Google Web Fonts finden Sie unter https://developers.google.com/fonts/faq und in der Datenschutzerklärung von Google: "
Haben die alle keine Ahnung ??
von den vielen Aspekten der DSGVO mit großem Interpretationsspielraum ist der des "berechtigten Interesses" sicher der zugleich spannendste und unklarste. Auf jeden Fall ist es ganz sicher Auslegungssache, ob das berechtigte Interesse in diesem konkreten Fall anwendbar ist.
Wie du dem nachfolgend verlinkten Beitrag entnehmen kannst, ist der Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen jedoch der Meinung, dass die Notwendigkeit zur Übertragung von Daten an einen Dienstleister im Ausland in keiner Weise den Schutz der Daten des Websitebesuchers überwiegt ... .Konkret beschreibt er dies am Beispiel von Google Analytics. Dieser Argumentation folgend, wäre auch ein Opt-In für die Google-Fonts notwendig.
https://www.mittwald.de/blog/update-zum-thema-tracking-cookies-nach-datenschutzkonferenz
Eine Bewertung, ob alle Aspekte der DSGVO sinnvoll und zielführend isind, würde ich mir nicht anmaßen wollen. Ich folge mit meiner Aussage ausschließlich der verlinkten Stellungnahme.
Viele Grüße
Florian
Mit der Info von Joachim:
> Joachim am 01.06.2018 - 09:55
"Da ein Kunde von uns eine Abmahnung für die Google Fonts erhalten hat, sehe ich das im Moment nicht so. In der datenschutzerklärung stand das auch. Moniert wurde, das bereits beim Lesen der Erklärung die Fonts von Google geladen wurden."
Woraus ich schließe das auch der meines Erachtens nach weit verbreitete Cookie-Banner von "cookiebot.com" ebenfalls nicht Rechts konform ist. (Dessen Scripte werden auch von deren Servern aus eingebunden)
Und um es mal zu übertreiben alles was in der Datenschutzinformation steht z.B. seine Website bei einem Hoster zu hosten... wäre dann auch nicht legitim, weil es wurde noch nicht gelesen?!
Zuerst mal: *Wenn* die Verwendung von Google Fonts im Sinne der DSGVO tatsächlich "rechtswidrig" sein sollte -- wie kann es dann eigentlich überhaupt sein, dass Google diesen Service in Europa anbietet? Müsste das nicht die erste Adresse sein, an die man schreibt?
Weiter, ich kann mir nur schwer vorstellen, dass die Verwendung von externen Fonts einen rechtswidrigen Wettbewerbsvorteil darstellt. Die Abmahnung ist aber kein juristisches Allround-Tool, das jeden Anwalt dazu befähigt, jeden wegen allem abzumahmen, sondern dient der gegenseitigen Kontrolle und Regulierung von Unternehmen untereinander, zur Einhaltung der Wettbewerbsregeln. Wird diese Tatbestand hier überhaupt tangiert?
Und nochmal die Frage: Was ist denn mit allen anderen Google Services? Maps? Translate? Calendar? Eingebettete Youtube-Videos kommen übrigens auch von Google.
als „rechtswidrig“ würde ich die Google-Dienste nicht unbedingt bezeichnen. Man kann diese durchaus auf seinen Websites verwenden, wenn man den Besuchern vorab die Möglichkeit gibt, selbst zu entscheiden, ob die Daten an den jeweiligen Anbieter übertragen werden sollen.
Mit einer entsprechenden Opt-In-Lösung wäre aus meiner Sicht auch die Nutzung aller Google-Dienste DSGVO-konform möglich.
Schau mal in den nachfolgend verlinkten Beitrag., darin geben wir die Meinung des Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen zum Thema Opt-In wieder. Ich bin der Meinung, dass man diese Ansicht auch auf das Thema Webfonts übertragen kann.
https://www.mittwald.de/blog/update-zum-thema-tracking-cookies-nach-datenschutzkonferenz
Viele Grüße
Florian
Meine Frage: In welchen Wordpress-Themes gibt es ein Feature zur Deaktivierung von Google Fonts? Und wie sieht das bei Editoren wie Thrive Architect oder Elementor aus?
Google hat uns fest im Griff. Höchste Zeit die Verbindungen zu kappen.
Gruß Joachim
ich habe inzwischen eine weitere Möglichkeit gefunden, Google Fonts in einer WordPress-Installation zu deaktivieren.
Das Plugin Autoptimize funktionierte bei mir auch bei der Nutzung von Themes, bei denen die drei anderen Plugins nicht den gewünschten Erfolg brachten.
Versuch es daher mal mit Autoptimize und berichte hier gerne, ob es auch bei dir funktioniert.
Viele Grüße
Florian
vielen Dank für das hilfreiche Tutorial.
Ich habe es gerade umgesetzt.
Mit welchen Tools aber kann ich nun überprüfen, ob die Verbindung zu Google wirklich gekappt wurde?
Danke im Voraus und Grüße aus dem Norden:
Keno
Im Chrome: F12 (Entwicklertools), dann Reiter "Sources". Die Seite laden, und rechts die Einträge unter "Network" auswerten.
eine Frage habe ich noch:
Ich habe nun mit dem Plugin ein Child-Theme erstellt und dort die Fonts hineingeladen.
Leider wird auf meiner Seite nun aber nicht die Schrift angezeigt, die ich hochgeladen habe.
Wo kann der Fehler liegen?
Danke und Grüße!
Das Tool wird ja nicht von Google selbst angeboten und das hat sicher seine Gründe.
im Beitrag selbst gehe ich unter der Überschrift „Lokale Nutzung von Google Fonts legal?“ auf das Thema deiner Frage ein. Darin findest du auch meine Einschätzung zum Thema.
Den Absatz habe ich nachträglich mit aufgenommen, da uns zahlreiche Anfragen zu diesem Thema erreicht haben.
Viele Grüße
Florian
erstmal vielen Dank für die Anleitung!
Ich habe jedoch unterschiedliche Erfahrungen gemacht.
Auf einigen Wordpress Installationen funktioniert es mit dem Plugin "Remove Google Fonts References" tadellos.
Auf einer anderen Installation wird zwar die Verbindung mit Google gekappt, dafür gibt es plötzlich ein neues First-Party-Cookie namens "adinj". Welche Ursache hat das?
Die anderen hier vorgeschlagenen Plugins zum Kappen der Verbindung habe ich versucht. Allerdings erfolglos. vermute, dass es am Theme liegt. Bei dem Theme handelt es sich um das Theme ColorMag.
Bin etwas ratlos...
Sobald ich das Plugin deaktiviere ist das Cookie wieder weg, dafür aber der Kontakt zu Google-Fonts.
Vielen Dank für dein positives Feedback zur Anleitung.
Hinsichtlich der Plugins: Zum Unterbinden der Verbindung zum Google Server haben wir in der Tat sehr unterschiedliche Rückmeldungen bekommen. Mal funktioniert das eine, mal das andere Plugin. Vermutlich muss man hier etwas ausprobieren.
In der Tat ist die Webfont-Integration in vielen Themes bereits fest enthalten, auch im von unseren Kunden häufig genutzten Divi-Theme. Beim Divi-Theme kann man die Webfonts meines Wissens nach jedoch in den Optionen deaktivieren. Vielleicht geht das ja beim ColorMag auch? In der Pro-Variante des Themes scheint es einen entsprechenden Menüpunkt zu geben.
Zum Thema "adinj" finde ich ausschließlich das Plugin "Ad Injection", welches scheinbar dazu dient, verschiedene Werbenetzwerke in eigene Posts einzubinden. Da ich mit WordPress nicht so viel mache, kann ich dir zum Plugin aber nicht so viel sagen. Vielleicht wird es standardmäßig mit deinem Theme installiert? Falls du es nicht brauchst und es in der Liste der installierten Plugins auftaucht, deaktiviere es doch testweise mal.
Viele Grüße
Florian
function removeGoogleFonts(){
global $wp_styles;
$regex = '/fonts\.googleapis\.com\/css\?family/i';
foreach($wp_styles->registered as $registered) {
if( preg_match($regex, $registered->src) ) {
wp_dequeue_style($registered->handle);
}
}
}
add_action('wp_enqueue_scripts', 'removeGoogleFonts', 999);
Ich hoffe es hilft dir weiter! :)
das hat funktioniert. Die Verbindung mit Google ist tatsächlich getrennt. Vielen Dank.
Leider funktioniert das Einbinden der lokalen Schriften nun nicht mehr nach dieser Anleitung und es wird einen andere Schrift angezeigt.
Werde das morgen nochmal in Ruhe durchgehen.
Gruß
Sven
eine Frage habe ich noch dazu. Wenn man die google-Schriften lokal einbindet, sollte man trotzdem in der Datenschutzerklärung darauf hinweisen, dass man google webfonts einsetzt?
Schöne Grüße
Petra Schoch
wenn die Daten ausschließlich lokal geladen werden und keine Übertragung an externe Dienste erfolgt, muss man dies nicht tun.
Sind Sie sich jedoch unsicher oder sollten in anderen Fällen auf jeden Fall Daten übertragen werden, dann gehört die jeweilige Info in die Datenschutzerklärung.
Bitte beachten Sie jedoch unseren Hinweis, dass jegliche Texte und Kommentare, diesen eingeschlossen, keine Rechtsberatung darstellt. Er ersetzt diese auch nicht. Im Zweifel sollten Sie sich also an einen Rechtsanwalt wenden.
Viele Grüße
Florian Jürgens
vielen Dank für Ihre Antwort. Ja, das werde ich wohl so machen, sicher ist sicher. Im Übrigen eine tolle Anleitung, vielen Dank.
Schöne Grüße
Petra Schoch
Den Nutzer vorher zu fragen, ob er für schnellere Ladezeiten darin einwilligt, macht ja an dieser Stelle gar keinen Sinn.
Übrigens: Hat man Google Maps in der Seite eingebunden (dafür gibt es wohl keine lokale Alternative), braucht man sich um das Ersetzen der Fonts kaum noch zu bemühen -- denn dann wird der Googlefont-Server auf jeden Fall auch wieder kontaktiert.
Über den Sinn, Google Fonts zu entfernen, gleichzeitig aber immer noch Youtube, Maps, Analytics, usw., drin zu haben, kann man sicher auch streiten. Hier müssen sicherlich Einzelfallentscheidungen getroffen werden, je nach den genauen Bedingungen der einzelnen Website (also z.B. welche ext. Ressourcen noch so verwendet werden).
PS: wie im ersten Beitrag von Janett haben die im Tutorial genannten Plugins die Verbindung zum Google Font Server nicht unterbrochen. Die Fonts wurden laut Chrome immer noch geladen. Erst das von Janett empfohlene Plugin"Remove Google Fonts References" hat den Job erledigt.
danke dafür und auch für den Hinweis. :-)
Viele Grüße
Kristina
vielen Dank für deine Anfrage.
Wenn du dich zu meinen Händen an support@mittwald.de melden würdest, helfe ich dir gerne persönlich weiter und wir werfen gemeinsam einen Blick auf deinen Account, um festzustellen, was wir da machen können. :-)
Viele Grüße
Florian
Nun habe ich aber momentan schon genug Arbeit am Hals und würde das erstmal nur machen, wenn juristische Konsequenzen zu befürchten wären (und später nachholen). Kann denn ein Abmahnanwalt aus dem Nachladen von Fonts erfolgreich einen kostspieligen Vorgang generieren?
Und wie sieht es denn übehaupt mit dem Einbinden von Google Maps, eventuell dort noch mit Routenplaner, aus?
Auch da lassen sich ja Rückschlüsse gewinnen.
Grüße, Christian
Momentan erlebe ich bei Kunden, dass entweder in vorauseilendem Gehorsam so viel wie möglich umzusetzen versucht wird -- und dabei z.T. auch deutliche "Convenience-Einbußen" in Kauf genommen werden -- eben wie z.B. das ersatzlose Entfernen von Google Maps oder Youtube-Videos. Es gibt tatsächlich auch schon den ersten, der seinen Internetauftritt vor Angst (sic!) lieber komplett abschaltet. Nicht mein direkter Kunde (whew... ;-)), aber in der Nähe.
In den Datenschutzerklärungen, die aktuell so zum Einsatz kommen, kann man i.d.R. auch Absätze zu externen Inhalten wie Googlefonts, Maps, Videos, finden... das übliche halt. Ob dieser Hinweis in der Datenschutzerklärung reichen wird? Denn wenn der Kunde die Website aufmacht, werden die Daten ja schon übertragen. All das werden die Gerichte wohl erst nach dem Stichtag klären. Will man 100% sicher gehen, müsste man ansonsten alle externen Inhalte komplett entfernen, speziell sobald Reiz-Begriffe wie Google oder Facebook damit in Zusammenhang stehen. Oder im Prinzip zu jedem Thema eine Art "2-Klicks-für-mehr-Sicherheit" einbauen: "Soll dieses Video angezeigt werden? blabla-Youtube" "Soll diese Anfahrtskarte angezeigt werden? blabla-Googlemaps". Das wäre vom technischen Umsetzungsuafwand her relativer Wahnsinn :-) Aber, kommt bestimmt auch noch. Witzig wäre natürlich so was wie "Soll diese Schriftart geladen werden?", aber irgendwann kommt dann vielleicht auch noch "Soll dieses Framework geladen werden? blabla-CDN"
zu deiner ersten Frage existiert leider noch keine konkrete Antwort. Das wird sich womöglich mit der Zeit ergeben.
Zu deiner zweiten Frage bzgl. Google Maps: Lies dir doch bitte die zwei anderen Antworten an Thierry Minet und Bertram Simon durch. Da haben wir erklärt, was sich in Bezug auf Google Maps empfiehlt. :-)
Viele Grüße
Florian
Wie immer, auch hier unser Hinweis: Da ich kein Jurist bin, stellt dieser Kommentar weder eine Rechtsberatung dar, noch ersetzt er eben diese. Bitte wende dich im Zweifel an einen Rechtsanwalt.
wenn Google Maps zur Darstellung die Schrift "Roboto" verwendet, dann ist der eigentliche Dienst, den man beachten sollte, Google Maps.
Und hier gilt: Bei Google Maps empfiehlt es sich, direkt unter der Funktion "Maps" darauf hinzuweisen, dass auf der Website Google Maps genutzt wird. Außerdem sollte in unmittelbarer Nähe ein Link sein, der auf die Datenschutzerklärung – worin festgehalten wird, dass Google Maps genutzt wird – weiterleitet.
Natürlich ist es sinnvoll und wichtig, auch mit solchen Dienstleistern AV-Verträge zu schließen.
Viele Grüße
Florian
Wie immer, auch hier unser Hinweis: Da ich kein Jurist bin, stellt dieser Kommentar weder eine Rechtsberatung dar, noch ersetzt er eben diese. Bitte wende dich im Zweifel an einen Rechtsanwalt.
Und was ist mit eingebetteten Inhalten, wie u.a. Google Maps und YouTube Videos?
durch bspw. jQuery oder Libraries kommt es automatisch zur Übermittlung von personenbezogenen Daten (z.B. IP-Adresse). Deshalb empfiehlt es sich, diese selbst zu hosten.
Bei Google Maps ist es besser, wenn du direkt unter der Funktion "Maps" darauf hinweist, dass hier Google Maps genutzt wird. Außerdem sollte in unmittelbarer Nähe ein Link sein, der auf die Datenschutzerklärung – worin festgehalten wird, dass Google Maps genutzt wird – weiterleitet.
Natürlich empfiehlt es sich, auch mit solchen Dienstleistern AV-Verträge zu schließen. ;-)
Viele Grüße
Florian
Auch hier unser Hinweis: Da ich kein Jurist bin, stellt dieser Kommentar weder eine Rechtsberatung dar, noch ersetzt er eben diese. Bitte wende dich im Zweifel an einen Rechtsanwalt.
danke für dein Feedback.
Link ist nun drin. :)
Oder direkt hier klicken: https://fonts.google.com/
Viele Grüße
Jan von Mittwald
Konnte das nicht so klar finde...
ich gehe davon aus, dass das rechtlich kein Problem ist, denn die Google Webfonts haben eine SIL Open Font License, die das Herunterladen erlaubt.
Google sagt dazu selbst:
Sollte ich Schriften auf dem Server meiner eigenen Website hosten?
Wir empfehlen, die Code-Snippets, die auf der Registerkarte "Einbetten" in der Auswahlleiste verfügbar sind, direkt in das HTML und CSS Ihrer Website zu kopieren.
Mehr dazu hier: https://developers.google.com/fonts/faq
Viele Grüße
Jan von Mittwald
Ps. Keine Rechtsberatung! Im Zweifelsfall einen Anwalt kontaktieren.
am besten wäre es, wenn du deine Seite, auf der du die Fonts einbinden möchtest bzw. eingebunden hast, uns per Ticket schickst. Somit können wir das individuell für dich klären. :)
Hast du denn dein http/2 (SSL) an und hast du dieses am Anfang deiner CSS-Datei eingebunden?
Beste Grüße
Kristina
Hinweis: Dieser Kommentar stellt weder eine Rechtsberatung dar, noch ersetzt er eben diese. Bitte wende dich im Zweifel an einen Rechtsanwalt.
wie jedes andere Asset müssen Fontdateien auf den Computer eines Site-Besuchers heruntergeladen werden, bevor sie angezeigt werden können. Schriftarten, die von der Google Fonts-API bedient werden, werden automatisch für einen schnelleren Download komprimiert und nach dem Herunterladen werden sie im Browser zwischengespeichert und von jeder anderen Webseite wiederverwendet, die die Google Fonts-API verwendet.
Da die Google Fonts-API immer häufiger verwendet wird, ist es wahrscheinlich, dass Besucher Ihrer Website oder Seite bereits Google-Fonts in Ihrem Design im Browser-Cache verwenden.
Im Allgemeinen sollte man sich der Größe der Schriftartdateien bewusst sein, die auf der Website oder Seite bereitgestellt werden. Wir empfehlen, nur die benötigten Font-Familien, Stile und Skripts einzubetten. Die Seitenladezeit-Anzeige oben rechts in der Auswahlleiste (bei Google Fonts) zeigt eine Schätzung an, wie sich die ausgewählten Fonts auf die Gesamtladezeit (z. B. langsam, moderat, schnell) einer Website, basierend auf der Anzahl der Familien, Stile und Skripts, auswirkt.
Viele Grüße
Jan von Mittwald
Hinweis: Dieser Kommentar stellt weder eine Rechtsberatung dar, noch ersetzt er eben diese. Bitte wende dich im Zweifel an einen Rechtsanwalt.
Natürlich die nur über css eingebunden werden können.
externe Fonts erzeugen i. d. R. einen IP-Eintrag in den Logfiles der Font-Anbieter, daher wird dadurch immer ein personenbezogenes Datum weitergegeben.
Die sichere Variante ist daher die lokale Einbindung in deinen eigenen Webspace.
Grüße
Jan von Mittwald
Hinweis: Dieser Kommentar stellt weder eine Rechtsberatung dar, noch ersetzt er eben diese. Bitte wende dich im Zweifel an einen Rechtsanwalt.
Kommentar hinzufügen