Hinweis: Der Text wurde zuletzt am 27.09.2022 aktualisiert, nachdem weitere Abmahnungen wegen Google Webfonts bekannt wurden.
Die EU macht Ernst mit schärferen Datenschutz-Regeln. Im Visier sind zwar hauptsächlich Amazon, Google, Facebook, Dropbox und andere Größen – die neue Verordnung sollte nach den Snowden-Enthüllungen die Privatsphäre europäischer Bürger gegenüber den großen US-Plattformen besser schützen. Die Forderung nach Transparenz bedeutet allerdings auch mehr Aufklärungspflichten und technischen Aufwand für fast alle Websites.
Deshalb sind neue wie bestehende Homepages sind von der neuen Datenschutz-Grundverordnung (DSGVO) ab Mai 2018 mit neuen Aufklärungspflichten und Vermeidungsmaßnahmen im Sinn der Forderung „Privacy-by-default“ betroffen. So bedürfen Zugriffe auf externe Server, gerade außerhalb von Europa, ab dem 25. Mai 2018 der Zustimmung des Benutzers.
Hier einige Punkte, die für Website-Verantwortliche und Webdesigner wichtig sind, zusammengestellt u.a. aus Beiträgen in der i-worker-Mailingliste. Sie betreffen:
- Google Fonts
- WordPress Scripteinbindungen und Kommentare
- Formulare und Newsletter
- Cookies
- Content Distribution Netzwerke
Google Fonts und der Datenschutz
Bei jedem Aufruf von Seiten mit Google Fonts fragt der Browser bei Googles Server an, ob es Änderungen gab an den Schriften oder der CSS-Datei. Damit erkennt Google, von welcher Seite und welcher IP-Adresse eine Anfrage gesendet wird und darüberhinaus einen Großteil des persönlichen Browser-Verlaufs. Viele Websites und insbesondere WordPress-Themes nutzen die kostenlosen und bequem einzubindenden Google Fonts, und nur wenige Personen blocken ihre Referrer oder ähnliches. So erhält Google einmal mehr Input für sein dichtes Netz an Daten, anhand derer jeder normale User, der sich im Internet bewegt, nachverfolgt werden kann.
Hinzu kommt, dass die Daten höchstwahrscheinlich ihren Weg in ein Datenzentrum außerhalb der EU finden, wodurch ein hohes Schutzniveau, wie es aktuell hier der Fall ist, nicht mehr gegeben ist. Geheimdienste, Regierungen und Firmen, die mit derartigen Daten Geld verdienen, haben dann leichtes Spiel.
„Durch das Einbinden seiner Schriftarten registriert Google Fonts jegliche Nutzung Ihrer Website. …. Alles, was Sie auf Ihrer Website in Sachen Verarbeitung personenbezogener Daten anbieten, müssen Sie Ihren Nutzern auch erklären können. Und das am besten in einfacher Sprache. Dass Google Fonts die IP-Adressen Ihrer Nutzer registriert, muss in diesem Kontext betrachtet werden.“ (Quelle: https://www.internetkurse-koeln.de/wie-sie-fuer-wordpress-google-fonts-deaktivieren/)
„Am 25. Mai 2018 tritt die EU Datenschutz Grundverordnung in Kraft. Eine der Auswirkungen für Webworker und Designer: Es dürfen keine Schriftarten (Fonts, Webfonts) aus dem nicht-EU Ausland auf Webseiten nachgeladen werden. (Quelle: https://www.internetkurse-koeln.de/wie-sie-fuer-wordpress-google-fonts-deaktivieren/)
Google Fonts über den eigenen Webserver einbinden
Wie man Google Webfonts lokal speichert und mittels des Google Webfonts Helpers des österreichischen Entwicklers Mario Ranftl einbinden kann, ist hier beschrieben worden: https://t3n.de/news/google-fonts-selber-hosten-751438/ sowie hier: https://die-netzialisten.de/wordpress/google-fonts-ueber-den-eigenen-server-einbinden/
Die meisten kostenlosen wie auch kommerziellen WordPress-Themes binden als „Feature“ Google-Schriften zur Auswahl durch den WordPress-Admin an. Hierauf sollte man beim Verwenden von Themes also verzichten, was leider wiederum Mehraufwand und weniger Komfort bedeutet. Auch der WordPress-Newsletter „WP Letter“ wies schon am 8.2.2018 auf das Thema hin.
Weitere Tipps zur Webfont-Einbindung über den eigenen / shared Webserver (Siehe auch das Update in „Offene Fragen zur DSGVO):
- Der „google-webfonts-helper“ von Mario Ranftl – https://google-webfonts-helper.herokuapp.com/fonts/ – liefert einen Zip-Download mit den von Euch ausgewählten und zu WOFF, WOFF2, SVG konvertierten Google Webfonts plus den erforderlichen CSS-Code (@font-face {…} ) zur Einbindung in Euer Stylesheet.
- Transfonter @font-face Generator für lokal gespeicherte Schriften
Self-Hosted Google Fonts – WordPress Plugin(Achtung: Nicht weiter aktualisiert, funktioniert nicht mehr!)
Gefahr durch eingebundene Google Fonts?
In WordPress selbst tauchen Hinweise auf wie „The German Court ruled that use of Google Fonts without prior consent is a violation of Europe’s GDPR (General Data Protection Regulation) because Google Fonts exposes the visitor’s IP address“. Ob Google Schriften in deinem Website-Installation bzw. bei deinem Theme direkt von den Google Servern geladen werden, kannst du mit diesen Tools kostenlos testen:
- Google-Fonts-Checker – bei SICHER3 GmbH (Check eines einzelnen Dokuments)
- Google Fonts Scanner – bei E-Recht24.de (hier kann optional auch die ganze website gescannt werden)
So könnte ein Prüfergebnis beim SICHER3 Google Fonts Checker aussehen, wenn das Tool direkt von Google-Servern eingebundene Schriften findet, hier die Schriftart ‚Lato‘, die durch die Website in verschiedenen Font-Dateiformaten von Google angefordert und geladen wird:
Wenn solche nachladende Schriften gefunden werden, solltest Du die Schriften lokal auf Deinem Webserver einbinden – also hochladen in ein Verzeichnis, das dann in der CSS-Datei bei der Schriftdefinition gefunden werden kann.
Google Fonts in WordPress: Explizit deaktivieren
Meist muss bei Deinem WordPress bzw. Deinem Theme der Google-Fonts-Download von den Google-Servern noch explizit deaktiviert werden. Dazu kannst du das das Plugin “Disable and Remove Google Fonts” einsetzen. Es entfernt auch Google Fonts, die von den Plugins Divi, MailPoet, Elementor, Beaver Builder und Revolution Slider geladen werden.
Content Distribution Networks (CDNs)
CDNs dürften von der DSGVO auch betroffen sein: Etwa die häufig verwendeten Javascript-Bibliotheken von maxcdn.bootstrapcdn.com, code.jquery.com und Co – diese kommen alle nicht von europäischen Servern.
Formulare, Newsletter, Cookies und Co.
Gerade heute hat der Haufe-Verlag einen Artikel veröffentlicht, in dem er auf neue und strengere Informationspflichten und weitere betroffene Bereiche hinweist:
- Kontaktformulare
- Newsletter
- Social-Media-Plug-Ins
- Analytics-Tools
- Cookies (s.u.)
Weiterhin weist der Haufe-Artikel darauf hin, dass Betroffene nach Art. 17 DSGVO nun unter Umständen Löschansprüche auch gegen Website-Betreiber haben. Diese müssen bei berechtigten Ansprüchen Datenquellen auf ihren Webseiten entfernen. Ebenfalls neu ist schließlich das Recht auf Datenübertragbarkeit, d.h. das Recht des betroffenen Users auf die Übermittlung seiner gespeicherten Daten durch den Website-Betreiber.
Transparenz vs. Nutzerfreundlichkeit
Wenn sich nicht noch Feinheiten ändern sollten, dann dürften laut der neuen E-Privacy Richtlinie die gebräuchlichen Cookie-Popups mit Hinweisen wie „Mit dem Besuch dieser Website akzeptieren Sie die Verwendung von Cookies“ und einem dazugehörigen OK-Button demnächst so nicht mehr zulässig sein.
Der Nutzer könne so nämlich keine „echte“ Wahl treffen, im Sinne der Abgabe einer konkreten Einwilligung. Ebenso wenig reiche es aus, den Nutzer darauf hinzuweisen, selbständig entsprechende Änderungen in den Browser-Einstellungen vorzunehmen. Mit dem Standard „Privacy by default“ müssen die Datenschutzbestimmungen bereits in den Grundeinstellungen umgesetzt sein. Erst per Opt-in-Verfahren können Nutzer ihre Zustimmung erteilen. Sie setzten den Haken vor jeder Transaktion und auch vor jedem Besuch der Seite eines Werbepartners. (Quelle: https://www.onlinesolutionsgroup.de/blog/eu-datenschutz-grundverordnung-die-uhr-tickt-fuer-website-betreiber/)
Eingebauter Datenschutz – Neue Anforderung für die Webentwicklung
Datenvermeidung und Datensparsamkeit unterliegen der Grundidee, dass bei der Datenverarbeitung nur so viele personenbezogene Daten gesammelt werden, wie für die jeweilige Anwendung unbedingt notwendig sind. Die neue DSGVO spricht von Datenminimierung.
Der Grundsatz der Erforderlichkeit – nämlich dass nur diejenigen personenbezogenen Daten verarbeitet werden dürfen, die für die Erfüllung der jeweiligen Aufgabe benötigt werden – betrifft auch den Systemdatenschutz, das heißt die Integration der Datenschutzanforderungen in die IT-Systeme – und damit sind auch Websites, CMS-Systeme, Newsletter-Services u.a. gemeint.
Eine Liste aktuell noch offener Fragen zur DSGVO für Website-Betreiber, Blogger haben wir angelegt: DSGVO – Offene Fragen
Datenschutz – Ein Grundrecht mit Ausnahmen
Datenschutz, habe ich vor kurzem gelesen, sei nichts, was man per Anhaken einer Erklärung herstellen kann. Der Autor schrieb sinngemäß (die Quelle ist mir leider verloren gegangen), Datenschutz und digitale Privatsphäre sollten wie u.a. das Recht auf Leben und auf körperliche Unversehrtheit als Grundrechte angesehen werden, und ihre Sicherstellung sei eine Gemeinschaftsaufgabe, wie die Luftreinhaltung oder die Wasserversorgung.
An dieser Gemeinschaftsaufgabe müssen wir uns als Webentwickler, Webdesigner, Kundenberater, Online-Aufklärer zusammen mit unseren Kunden, den Homepage-Besitzern, beteiligen – ob wir sie nun für sinnvoll und zielführend halten oder nicht.
So weit, so gut? Ausnahmen von den Grundrechten gibt es, und die bestimmt laut Verfassung der Gesetzgeber. Er erlaubt sich etwa als Ausnahme von der Transparenz den Staatstrojaner. Wenn die DSVGO ein Reflex auf Snowden ist, dann ein sehr einseitiger, fürchte ich. Die Politik scheint noch nicht so viel dazugelernt zu haben.
Zur weiteren Kritik auch der Internetwirtschaft an der DSGVO und zu ihren ökonomischen Folgen kann man hier nachlesen.
Interessanter Beitrag – sehr hilfreich und auch der Fonts Checke Tipp oben im Kommentar. Danke dafür
Eine tolle Webseite, vor allem in den gemütlichen Winterzeiten ist es schön solche tolle Blogs zu entdecken.
Lieben Gruß Mia
Witzig, das Thema war damals schon bekannt und nun ist es ausgeartet. Ich bin auf die Urteile und Entwicklungen auf diesem Gebiet gespannt. Danke für den Artikel
Ich finde es komisch, dass Unternehmen sich beschweren und dabei aber oftmals Google Analytics ohne Einwilligung verwenden. Die Hälfte der Cookie-Banner funktioniert auch nur pseudomäßig.
Ich habe meine Seiten alle mit einem Google Font Checker geprüft und dann richtig eingebunden. Problem gelöst!
Google-Fonts-Checker: https://happyworx.de/google-fonts-checker
Danke für den Beitrag, weiter so 😀
Alternativ kann auch folgender Google Fonts Checker verwendet werden: https://devotion-it.de/online-marketing/google-fonts-checker/
Hier werden zusätzlich noch die genauen Schriftarten aufgelistet.
Hallo, vielen Dank für diesen tollen Artikel über das Thema Google Fonts und DSGV. Ich beschäftige mich aktuell sehr intensiv mit der Thematik und der Blogbeitrag hat mir dabei sehr geholfen. Danke dafür.
Grüße Max
Hallo Max,
freut mich wenn der Artikel weitergeholfen hat. Und das Thema DSGVO in der Umsetzung etwas einfacher.
Beste Grüße
Heinz-Günter Weber
Danke für diesen Beitrag und die Aufklärung! Das war mir noch gar nicht allzu bewusst. Kamen in letzter Zeit in dieser Hinsicht noch einmal neue Dinge/Veränderungen der DSGVO dahingehend auf?
Vielen Dank für alle Informationen.
Vielen Dank für diese Details, es ist sehr interessant, also noch einmal sehr geschätzt!
Erstmal lieben Dank, für den Inforeichen Beitrag. Ein Blog sollte dazu dienen, um die Menschen auf dem laufenden zu halten und ggf Hilfestellung anzubieten und genau dies trifft hier zu. Was manch User hier schreiben, ist schon meckern auf hohem Niveau. Keine Frage, Verbesserungspotenzial besteht immer, allerdings kann man sich einen höflichen Ton anlegen.
https://www.7media.de/wp-coaching/dsgvo-neue-datenschutz-anforderungen/datenschutz.html
ist schon sehr geil, wieviele sich immer gleich Webentwickler und Ratgeber nennen… macht eure Sachen erstmal konform!
Ihr nutzt doch selber g.apis … sehe jedoch keine Möglichkeit dem zu verneinen
Danke für den Kommentar. Erst kamen die Kunden, dann diese Seite… Inzwischen sind Google Webfonts für diesen Blog lokal eingebunden. Das Tracking über Google Analytics konnte schon bislang unterbunden werden, siehe https://www.7media.de/datenschutz.html
Selbst wenn ich auf „google Analytics deaktvieren“ klicke, sehe ich eindeutig in der Chrome Developer Console weiterhin den Google Tag Manager laden und eine hergestellte Verbindung zu einem Google Server.
Hallo Dan,
danke für den Hinweis, im Tag Manager hat sich ein Fehler eingeschlichen! Jetzt kommt: Aborting cookie write: User has opted out of tracking.
Schöne Grüße
Im Grunde lähmt die Hysterie um das „neue“ Datenschutzrecht unsere ganze Wirtschaft. Wie soll man Kundenkontakte aufnehmen und pflegen, ohne gegen irgendeine Vorschrift zu verstoßen? Und dann der nun vorgeschriebene Verwaltungsaufwand, das macht doch alles keine Freude mehr. Wenn es ginge, würde ich „die Brocken“ hinwerfen …
Toller Beitrag, danke!
Eine Frage noch: wenn ich Google Fonts lokal einbinde, brauche ich dann einen entsprechenden Hinweis in der Datenschutzerklärung?
Hallo Richard, danke. Deine Frage würde ich verneinen, das hat dann mit den Nutzerdaten und ihrer Erhebung oder Verwendung nichts zu tun.
Es widerspricht den Google Nutzungsbedingungen, deren Fonts lokal einzubinden. Man begeht also einen erneuten Verstoß.
Hallo Tobias, danke für den erneuten Kommentar.
Hast Du dazu einen Link? Auf dieser Seite erklärt nämlich Google selbst, dass zuerst nach lokal installierten Fonts gesucht wird und dass man die lokalen immer synchron halten soll zu den Webfonts:
„Note that when browsers render websites that use the Google Fonts API, they will check if a font is installed locally on your computer, and prefer to use the local version over web fonts. To make sure the fonts installed locally on your personal computer are always up-to-date, we recommend using a fonts manager (such as SkyFonts) that automatically syncs the latest versions of fonts from the Google Fonts API to your computer.“
Damit erlaubt Google für mich explizit die Verwendung auf dem eigenen Webserver / Shared Server.
Hallo Richard,
da ich jeden Tracker und jedes Werbe- und Analysetool in der Datenschutzerklärung beschreiben sollte, ist die Frage zum Datenschutzhinweis in der Erklärung durchaus gerechtfertigt (Informationspflichten), denn auch hier werden persönliche Daten an Dritte ggf. sogar an Drittländer (außerhalb der EU) unkontrolliert transportiert (siehe Artikel).
Der Unterschied zwischen einem lokalen Rechner und einem Webserver ist aber schon klar, oder? Wie man von („installed locally on your computer“) darauf schließt, dass das dann auch für einen Webserver gilt ist mir schleierhaft, gerade im bereich Schriften: z.B. darf ich bei gekauften Schriften meistens diese eben gerade nur lokal verwenden und nicht irgendwo auf dem Server schmeissen.
Die ganzen Empfehlungen, nun Fonts und Maps etc. lokal einzubinden vergessen völlig die urheberrechtliche Dimension des Problems. Hat schon jemand mal geschaut, wem denn das Eigentum an den eingebundenen Dingen zusteht?
Ich denke, dass die Klagen in diesem Punkt erheblich leichter zu höheren Strafen führen werden, als die angebliche und immer wieder unterstellte Datenschutzverletzung durch Google.
Was auch immer wieder vergessen wird, ist, dass Google auch nach aktuellen Privacy-Shield für die Verarbeitung von HR (Personal) Daten seitens der EU zertifiziert ist!
Ich gehe also zunächst mal davon aus, dass Google auch nur das tut, was es als Verarbeitung beschreibt. Sonst würden sich doch hoffentlich die EU-Datenschützer direkt um das Thema kümmern. Das kann doch nicht Aufgabe jeses EInzelnen sein.
Es ist richtig, dass man Google-Fonts lokal bereit stellen sollte. Falsch ist allerdings, dass durch Google-Fonts Google die Nutzung der Website im Detail getracked wird. Google-Fonts kommen mit einer Cache-Einstellung von einem Tag. D.h. es wird nur einmal pro Tag – und nicht bei jedem Click – nachgeschaut, ob die lokal abgelegten Fonts noch aktuell sind (https://developers.google.com/fonts/faq#will_web_fonts_slow_down_my_page).
Google Fonts sind daher wesentlich weniger datenintensiv als z.B. Google Analytics oder Facebook-Like-Buttons. Sie sind aber trotzdem nicht unproblematisch. Da es recht einfach ist, die Fonts lokal vorzuhalten, sollte das gemacht werden. Allerdings muss man sich dann selbst um die Updates kümmern.
Danke für die Präzisierung!
Der Punkt ist dabei eher der hohe Verbreitungsgrad von Google Fonts. Selbst wenn Google von jeder Seite die die Fonts verwendet nur minimale Daten (Datum und IP) abfragt, reicht das bereits aus um ein recht komplexes Benutzerprofil zu erstellen.
„Am 25. Mai 2018 tritt die EU Datenschutz Grundverordnung in Kraft. Eine der Auswirkungen für Webworker und Designer: Es dürfen keine Schriftarten (Fonts, Webfonts) aus dem nicht-EU Ausland auf Webseiten nachgeladen werden.“
Hysterischer Schwachsinn. Augenblicklich erheben sich viel zu viele selbsternannte Datenschutzerklärer und verbreiten jede Menge Unsinn im Netz. Statt dass man mit kühlem Kopf und korrektem Wissen Sinnvolles verbreitet, werden jede Menge Verschwörungstheorien bezüglich des Datenschutzes und der Konsequenzen aus der EU-DSGVO verbreitet. Würde man alles zusammenfassen, was so geschrieben steht, dürfte man in Deutschland keine einzige Website mehr betreiben.
Natürlich nutzt Google beim Einbinden von Fonts Trackingtechnik. Das machen sie genauso, wenn man Google Analytics nutzt oder Google Maps oder YouTube-Videos einbindet. Deshalb gehören entsprechende Hinweise dazu in die Datenschutzerklärung. Dann weiß der Nutzer, dass die IP-Adresse entsprechend bei Google landet. Und der Nutzer kann dann entscheiden, ob er die Seite nutzen will oder nicht. Bindet man mit Zustimmung des Nutzers Facebook, Twitter und Co. in die Seiten ein, geht das mit Google Fonts auch.
Das Risiko sich hier nicht DSGVO-konform zu verhalten ist nicht zu unterschätzen. Streng genommen dürften nach der neuen DSGVO Google Fonts nur dann in die Website geladen werden, wenn der Nutzer dem vorher zustimmt. Das ist aber eher nicht praktikabel. Ähnlich ist es bei Google Maps. Die Teilen-Funktionen für Facebook, Twitter & Co. dürfen ohne die 2-Klick-Lösung wie von heise.de eigentlich auch nicht eingebunden werden. Kein hysterischer Schwachsinn. Wir müssen abwarten, wie die ersten Urteile dazu ausfallen. Ich fürchte aber, auch dann kann keine Entwarnung gegeben werden.
Sorry, aber da muss ich Rainer recht geben! Das ist so typisch deutsch… Abolute hysterische und panikmacherische Spinnerei!
Gibt es einen Anhaltspunkt, dass das „Spinnerei“ ist? Hast Du Kunden, die von Dir vernünftige Aussagen zum Thema erwarten? Man muss vielleicht nicht so weit gehen, wie dieser Artikel empfiehlt – https://www.arminhanisch.de/2018/03/dsgvo-umstellung/ – aber ich denke, dass es einen Graubereich gibt, dessen man sich als Website-Inhaber bewußt sein sollte. Über das Risiko, das unsere Kunden als Webagenturen, Webdesigner usw. eingehen, sollte diese aufgeklärt werden und selbst entscheiden können.
Die Vorgehensweise der Panikmacher ist immer die Gleiche:
Warnen vor angeblichen Gefahren – am besten untermauert durch die maximalen Strafen (das das die maximal Strafen sind, wird natürlich geflissentlich unterschlagen). Quellen werden nie genannt, außer andere „Blogger“ und „Experten“, die der eigenen Meinung entsprechen.
Kommen kritische Kommentare, wird abgewiegelt – „man kann es momentan noch nicht wissen“ – „sicher ist sicher“ – etc.
Google ist selbst dafür verantwortlich die europäischen Richtlinien einzuhalten und hat dazu auch schon geäußert, dass sämtliche Services diese einhalten werden. Wenn ich YouTube, Google Fonts oder Adobe Fonts bei mir auf der Seite nutze, oder auch imgur Bilder in meinem Forum einbinde, bin ich nicht dafür verantwortlich wenn diese widerrechtlich Zugangsinformationen abspeichern, sondern diese Firmen selbst. Nach ihrer Argumentation könnte niemand mehr externe Server, API Anwendungen verwenden, was einfach nur Quatsch ist.
Nicht ohne Grund bieten die ganzen Anwälte mit ihren Datenschutz Generatoren in diesen Richtlinien für Google Fonts an. Eben weil es nicht verboten ist.
„Hinzu kommt, dass die Daten höchstwahrscheinlich irgendwann ihren Weg in ein Datenzentrum außerhalb der EU finden, wodurch ein hohes Schutzniveau, wie es aktuell hier der Fall ist, nicht mehr gegeben ist. Geheimdienste, Regierungen und Firmen, die mit derartigen Daten Geld verdienen, haben dann leichtes Spiel.“
Dieser Satz fasst zusammen, wie Sie gezielt Panik verbreiten – „höchstwahrscheinlich“ – „hohes Schutzniveau“ – „Geheimdienste“.
Aber Sie haben natürlich alles gaaaaanz genau recherchiert.
@Rainer
einfach mal mit einem Anwalt unterhalten – der hat sicher eine andere Meinung als „Hysterischer Schwachsinn“.
Analytics, Maps, YT, CDNs – alles superheikel. Wer bald als erstes die Abmahnung im Briefkasten findet, wird sich wahrscheinlich ärgern, nicht auch ein bisschen hysterisch gewesen zu sein…
@Michael
Die DSGVO ist übrigens eine EU Verordnung – eine kleine Recherche in andersprachigen Foren wird zeigen, dass das Thema nicht typisch deutsch, sondern gerade EU-weit bei allen Web-„Betroffenen“ heiss diskutiert wird
Für meinen Teil gebe ich da eher HGW recht. Die „hysterische Panikmache“ kommt ja eher aus Europa bezüglich unseren ach so sensiblen Daten die ach so böse Seitenbetreiber in unterirdischen Serverfarmen für dunkle Machenschaften verwenden.
Entsprechend überzogen und weltfremd fallen die Regelungen und Normen nebst Sanktionen aus. Und gerade die Regulierungswut in der DSGVO finde ich typisch deutsch. Das wäre ja alles nur halb so schlimm, wenn die DSGVO sich in allen Punkten klar ausdrücken und explizit die Go`s und Nogo`s definieren würden. Nichts anderes verlangt die DSGVO ja selbst von Seitenbetreibern.
Und angesichts der (maximalen) Sanktionen und mannigfaltigen Möglichkeiten in Fettnäpfchen zu treten, besteht natürlich ein Grund zur Sorge. Und wer nicht über das nötige Kleingeld und oder eine Rechtsschutzversicherung verfügt, bei dem kommt verständlicherweise dann eben doch Panik auf. Eine gute Freundin betreibt eine unschuldige, kleine Seite mit Bildern die sie verkauft. Und weil Webfonts eben im Theme eingebaut sind und Jetpack ja jedem empfohlen wurde, hat sie das eben auch. Und Daten sammelt sie ja auch nicht, oder doch? Tja „selbst schuld und doof“ könnte man jetzt sagen…
Die Realität ist doch aber, dass viele Menschen eben kaum noch eine Seite in Eigenregie mit gutem Gewissen ohne Sorge aufmachen können. Die meisten Menschen da draußen sind eben keine „Halb-Juristen“ oder haben eben kein Netzwerk aus Webdesignern und Anwälten um sich. Aber gut, warten wir alle mal ab und schaun gemütlich zu wen es wann warum erwischt.
Frage: angenommen, ich belehre den Nutzer über die Verwendung und hole über einen Button seine Einwilligung, kann ich GoogleFonts (und anderes) entsprechend nutzen. Denn der pure Hinweis reicht nicht aus.
Der Nutzer muss aber erst einmal auf meine Seite. Bei Aufruf wird jedoch bereits bspw. Google Fonts geladen. Wenn ich das blocke, weil ich die Einwilligung noch nicht habe, kann die Seite blöd aussehen. Also führt es doch darauf, dass ich die Fonts lokal laden muss, oder?
Hallo Farant, ja, darauf läuft es nach aktuellem Stand leider raus … Fonts müssen lokal eingebunden oder – unschöner – nach Einverständnis erst geladen werden.
Das Daten über ein CDN nicht auf europäischen Server liegen, wage ich hier mal zu bezweifeln. Ist es doch Sinn und Zweck eines CDN, die Daten auf dem kürzesten Weg zur Verfügung zu stellen. Bei Europäer als von europäischen Server …
Doch selbst wenn, ist der Bezug von Daten über nicht europäische Server nicht verboten. Er muss nur ordnungsgemäss deklariert werden.
Aus welche(n) Paragraph/Absatz wird das „So bedürfen Zugriffe auf externe Server, gerade außerhalb von Europa, ab dem 25. Mai 2018 der Zustimmung des Benutzers.“ geschlossen? oder steht das wortwörtlich in der DSVGO. Entspanntes Websurfen wird dadurch ja auch für den durchschnittlich am Schutz seiner Daten interessierten Benutzer erschwert. Erfahrungsgemäß werden die Zustimmung zu Lizenzen, Cookies, AGB u.ä. einfach weggeklickt. Als Nächstes kommen Browserplugins die nicht nur Popups unterdrücken sondern schon beim Laden im Hintergrund allem Zustimmen.
Hallo Jürgen, es geht um die Transparenz der Datenerhebung. Natürlich wird entspanntes Websurfen dadurch erschwert, das ungeregelte Datensammeln war für Website-Betreiber, Werber und auch den Nutzer sehr bequem. Google, Facebook & Co. haben es uns mit viel Aufwand sehr einfach gemacht sie zu nutzen. Das wird nun ein Stück weit zurückgedreht.
Danke an Heidi Bellio für diesen Tipp für eine Zwei-Klick-Lösung für die Teilen-Buttons für WordPress-Installationen: https://wordpress.org/plugins/shariff/
P.S.: Deine Kommentare nutzen gravatar.com – Ist nicht DSGVO-kompatibel 🙂 Dazu sollte die Angabe der E-Mail-Adresse im Sinne der Datenminimierung optional sein. Am 25.05. ist Payday 😀
siehe: https://netzklad.de/blog/2013/08/01/gefaehrliche-gravatare/
Das ganze Thema ist einen Minenfeld.
Hallo Frank, danke für den Hinweis, der ganze Blog hier wird noch angepasst werden, Avatare sind schon mal deaktiviert. Ich werde das in eine Checkliste aufnehmen und Deinen Text verlinken. Weitere Beiträge folgen also … 🙂
Naja, deaktivieren ist eigentlich auch nicht hübsch. Du könntest ja mit „WP User Avatar“ einen Standard-Avatar für alle Kommentare festlegen und mit ein paar Zeilen PHP dein Bildchen gegen den Hausherren-Avatar austauschen, damit du in der Menge erkennbar bist 🙂
Schöne Grüße und stressfreien 25.!
Hallo Frank,
so hab ich das jetzt auch gemacht
Auch Dir einen entspannten DSGVO-Day 🙂
Der Hinweis auf den Staatstrojaner ließe sich noch um allerlei dem sog. Terrorismus geschuldete Transparenzen sowie die finanzielle Durchleuchtung und das de facto abgeschaffte Bankgeheimnis erweitern.
Fazit: wo der Staat und die ganz Großen spielen, greifen die Gesetze nicht. Die kümmern sich um Mittelstand und Kleinunternehmer. Und die von diesen ausgehenden Datenschutzrisiken sind bedeutungslos gegenüber den Profiling-Kapazitäten von Staaten, Geheimdiensten und Finanzämtern.
Cheers.