Derzeit ist es wieder in aller Munde. Das Einbinden der Google Fonts in der eigenen Webseite. Spätestens mit Inkrafttreten der DSGVO ist dies nicht mehr erlaubt, da dadurch Daten in die USA übermittelt werden.
Da aber wieder eine Abmahnwelle läuft, scheinen immer noch einige Webseiten Betreiber die Fonts zu nützen. Dabei ist es recht einfach, diese lokal einzubinden. Bei WordPress reicht ein Plug-in, um dies zu erledigen. Mittels eines Checks über diese Webseite lässt sich das leicht überprüfen.
Die Kanzlei meines Vertrauens beschreibt das Problem wie folgt.
Sind Webfonts von Google auf einer Website eingebunden, wird beim Seitenaufruf eine Verbindung zum Google-Netzwerk aufgenommen wird, damit die verwendeten Schriftstile geladen werden können.
Durch diese Verbindungsaufnahme kommt es zur Übertragung von Nutzerinformationen, insbesondere der personenbezogenen IP-Adresse, an Google.
Diese Übertragung ist nun aus zweierlei Gründen problematisch.
Einerseits fehlt es an einer hinreichenden datenschutzrechtlichen Rechtfertigung für die Informationsübermittlung an Google. Insbesondere können sich Seitenbetreiber nicht auf berechtigte Interessen an der graphisch ansprechenden Seitengestaltung gemäß Art. 6 Abs. 1 lit. f DSGVO stützen, weil hierfür die Übermittlung personenbezogener Daten an Google nicht zwingend erforderlich ist.
Andererseits werden Informationen, darunter auch die personenbezogene IP-Adresse, zumindest auch an Google-Server in den USA übertragen. Drittstaatentransfers sind aber datenschutzrechtlich nur nach den strengen Voraussetzungen der Art. 44 ff. DSGVO zulässig und aktuell für das Zielland USA allgemein nicht rechtskonform möglich, weil es wegen weiter Datenzugriffsbefugnisse der US-Geheimdienste an einem hinreichenden Schutzniveau für personenbezogene Daten fehlt.
Quelle: it-recht-kanzlei.de
Laut der Kanzlei sind auch die Einbindung von YouTube und Co. problematisch. Wenn Google Maps oder YouTube ohne Cookie-Consent Abfrage in einer Webseite eingebunden ist, werden ungewollt durch gesetzte Cookies beim Abspielen die IP-Adressen in die USA übertragen.
Abhilfe schafft ein Cookie Banner
Damit das alles ordnungsgemäß funktioniert, braucht sie Webseite ein Banner, welches das automatische Laden der Inhalte blockiert. Ich selbst nutze dazu das Cookie-Banner von devowl.io. Kostet zwar einmalig Geld, aber es lohnt sich, wenn man keine Abmahnung, aus welchen Gründen auch immer, erhalten möchte.
Das Plug-in scannt auch regelmäßig die Inhalte des Blogs und macht Vorschläge, welche Banner für welchen Content nötig sind, damit alles DSGVO-konform bleibt. Schaut es euch an.
Das Real-Cookie-Banner ist ein Opt-in Cookie und Consent Management Plug-in. Es holt Einwilligungen der Besucher zum Laden von Diensten und zum Setzen von Cookies im Einklang mit der DSGVO, der ePrivacy-Richtlinie und dem TTDSG ein. Ferner helfen dir Content Blocker dabei konform zu sein, selbst wenn dein Theme, ein Plug-in oder Content CSS-, JavaScript-Code oder IFrames lädt, die personenbezogene Daten übertragen würden.
Das Telekommunikations- und Telemediendatenschutzgesetz (TTDSG) wurde 2021 ins Leben gerufen und regelt die Privatsphäre und den Datenschutz.
Mein Rat: Immer zweimal überlegen, was eingebunden wird und wenn dann sollten dementsprechenden Maßnahmen helfen, die TTDSG einzuhalten, weil sonst kann es teuer werden.
Titelbild: pixabay