Was war das für eine Aufbruchsstimmung, als vor einigen Jahren Web-Designer endlich die Möglichkeit bekamen individuelle Schriften im Webdesign zu verwenden. Dabei ging es explizit natürlich um den echten Einsatz einer Schrift mit einer Schriftdatei und nicht als Grafik. Einige Jahre später gibt es diverse Anbieter, die große Online-Schriftbibliotheken teilweise komplett kostenlos zur Verfügung stellen. Dementsprechend haben auch viele Web-Designer und CMS, Plugin & Theme Entwickler diese zusätzliche Gestaltungsmöglichkeit genutzt und munter alles miteinander verknüpft und integriert.
Doch leider ist es nicht ganz kostenlos, denn bei einem Großteil der Anbieter werden natürlich Daten „abgesaugt“, die indirekt eine Vergütung für die Nutzung des Dienstes darstellen. Und spätestens seit dem finalen Inkrafttreten der DSGVO kommt mit dem konkreten Thema Datenschutz ein komplettes Bollwerk auf diese gestalterische Freiheit zu und hat schon für viel Chaos gesorgt.
Doch gehen wir das mal Schritt für Schritt durch:
Das grundsätzliche Problem mit eingebundenen Online-Schriftbibliotheken
Einer der bekanntesten und gleichzeitig auch besten Anbieter ist Google Webfonts. Google hat mit seinen Webfonts Angebot und der einfachen, wie auch schnellen Verfügbarkeit den Nerv jedes Online-Gestalters getroffen. Viele Schriften, mit diversen Schriftschnitten und sehr umfangreichen Zeichensätzen, gefühlt jederzeit verfügbar, sind einfach extrem verlockend! Und das auch noch kostenlos! Hier taucht dann das Problem auf, denn man bezahlt zwar nicht direkt dafür, doch indirekt wissen wir mittlerweile alle, dass Daten ein Währung geworden sind, die viel mehr Wert sind als wir glauben. Vor allem wenn nicht klar ist, welche Daten wann, wohin und wie oft abgegriffen und übermittelt werden.
Ein konkretes Beispiel ist die sogenannte IP-Adresse, jeder von uns der online ist, erhält diese IP-Adresse größtenteils automatisch zugewiesen. Zu Hause direkt vom Internetanbieter durch den Router/Modem oder in Unternehmen durch die zentralen Server. Die IP-Adresse ist in der Regel einmalig und somit gelangen die „Datenpakete“ dort hin, wohin sie sollen. Sagen wir mal grob, es ist die weltweit einmalige eindeutige Adresse für den Briefkasten. Diese IP-Adresse kann somit auch Rückschlüsse auf den Nutzer oder eher auf den Anschluss „verraten“ … zumindest innerhalb von 24 Stunden! Die wenigsten Privatpersonen nutzen eine feste bzw. statische IP-Adresse und bekommen in der Regel nach 24 Stunden einen neue automatisch zugewiesen.
Wie auch immer, hier wird somit grob von personenbezogenen Daten gesprochen und da werden die Datenschützer hellhörig!
Wenn man nun auf eine Website geht, die Google Webfonts einsetzt, erkennt Google das die IP-Adresse XYZ um Zeitpunkt XYZ zum Beispiel die Schrift Open Sans auf der Website XYZ gelanden hat, weil diese dort eingebunden ist. Zu diesem Zeitpunkt kann Google somit sehen, ein Anschluss aus zum Beispiel Mönchengladbach (detaillierter geht es eigentlich nicht, max. Einwahlknoten), hat auf der Website XYZ die Schrift Open Sans geladen. Das ist im Einzelfall jetzt nicht wirklich spannend, hier geht es um rechtliche Dinge, denn Google ist ein US-amerikanisches Unternehmen und es gibt aktuell keine klare Grundlage für den sogenannten interkontinentalen Datenaustausch zwischen der EU und den USA (vor einiger Zeit ging das noch mit dem EU-US Privacy Shield). Somit dürfen die USA, bzw. im konkreten Fall Google, nicht einmal diese IP-Adresse übermittelt bekommen. Tun sie dies doch, ist dies ein Verstoß nach geltenden EU-Recht im Form der DSGVO!
Die Krux bei der Sache
Pragmatisch würde man nun sagen, okay dann deaktiviere ich einfach alles was mit Google Webfonts zu tun hat. Richtig, da kommen wir dann wieder zum Gestalter zurück, die Freude der freien typografischen Gestaltung ist dann erst einmal wieder verflogen, denn nun wird es noch technischer oder gar unmöglich das mal einfach umzusetzen. Einige wenige Anbieter haben seit der DSGVO entsprechende funktionale Möglichkeiten in ihrer Software umgesetzt, dass man Google Webfonts komplett deaktivieren kann. Aber viele andere nicht und wenn man sich auch Plugins/Erweiterungen/Addons/Themes anschaut, nutzen viele ebenfalls Google Webfonts, um ihre Interfaces gestalterisch attraktiver zu präsentieren.
Das bedeutet, man muss ALLES prüfen und anpassen, damit man hier theoretisch auf der sicheren Seite ist. Im schlimmsten Fall gilt es im Quellcode Dinge anzupassen oder einfach komplett darauf zu verzichten.
Eine Lösung für den legalen Einsatz von Webfonts
Aber es gibt natürlich auch eine reguläre Lösung für die Problematik, denn bei Google Webfonts hat man die Möglichkeit eine lokale Kopie der Schrift und ihrer Schriftschnitte auf dem Webserver zu hinterlegen. Somit werden keine Anfragen mehr an die Google Webfonts Server gestartet und auch keine Daten übermittelt. Es gibt diverse Varianten, wie man dies umsetzen kann und man muss das ebenfalls testen, was im jeweiligen System am meisten Sinn macht.
Positiver Nebeneffekt der lokalen Einbindung, die Konnektivität und Performance der Website kann sich verbessern, denn wenn ich auf der Website weniger Inhalte laden muss, die auf externen Serverfarmen liegen, ist die Wahrscheinlichkeit auch geringer das es mal zu Ladeproblemen kommt. Wobei man hier auch ehrlich sein muss und oft auch das Gegenteil der Fall ist, Stichwort CDN – das ist aber wieder ein anderes Thema.
Wir experimentieren auch mit diversen Möglichkeiten
Wir verschließen uns dem Thema natürlich nicht und haben bereits diverse Ansätze getestet und umgesetzt. Die 100%-Lösung haben wir nicht, die auf jeder Website funktioniert, doch in konkreten Fällen versuchen wir das Thema zu lösen.
Sollten Sie Fragen zur sicheren Einbindung von Webfonts haben, kontaktieren Sie uns.
PS: Diese Thematik betrifft natürlich auch Dienste wie Adobe Fonts oder Font Awesome.
Update 22.11.2022
Mittlerweile gibt es zahlreiche Artikel zu dem Thema Google Fonts/Google Webfonts in Verbindung mit dem Datenschutz und leider auch bereits diverse Abmahnwellen, die durchs Land gezogen sind. Aber auch verstärkt berechtigte und objektive Kritik aus allen Richtungen, da hier das damalige OLG Urteil aus München etwas ausgelöst hat, was wohl damals die fachfremden Entscheider nicht erahnen konnten – trotz entsprechender Hinweise … Ein aktuellen sehr guten Artikel zu dem Thema hat nun der Heise Verlag auf seinen Nachrichten Online-Portal veröffentlicht. Es gibt auch mittlerweile zahlreiche Artikel von diversen Rechtsanwälten, Verbänden und und und … die dieses Thema sehr ausführlich und objektiv bewerten.
Für Web-Designer & -Entwickler gibt es in unserem DEV Blog spic homepage ein paar Tipps zu Google Webfonts speziell für das CMS WordPress & Co.
Update 21.12.2022
Und plötzlich geht es ganz schnell:
„… wurden heute wegen des Verdachts des (teils) versuchten Abmahnbetruges und der (versuchten) Erpressung in mindestens 2.418 Fällen durch die Polizei im Auftrag der Staatsanwaltschaft Berlin Durchsuchungsbeschlüsse in Berlin, Hannover, Ratzeburg und Baden-Baden sowie zwei Arrestbeschlüsse mit einer Gesamtsumme vom 346.000 Euro vollstreckt. …“ via berlin.de/generalstaatsanwaltschaft/presse/pressemitteilungen/2022/pressemitteilung.1277538.php