Durchsuchungen nach Abmahnwelle wegen „Google Fonts“-Nutzung
von caschy | 39 Kommentare
Es ging durch die Medien: Webseitenbetreiber, die Google Fonts eingebunden hatten, bekamen Abmahnungen. Das wurden dann allerdings so viele Abmahnungen einer Person in einer kurzen Zeit, dass es schon den Eindruck erweckte, dass dahinter ein Geschäftsmodell steckt. Andere Betroffene und deren Anwälte gingen dann gegen die Abmahner vor. Nun gab es gar Durchsuchungen, wie die Generalstaatsanwaltschaft Berlin mitteilte – wegen des Verdachts des (teils) versuchten Abmahnbetruges und der (versuchten) Erpressung in mindestens 2.418 Fällen.
Zitat:
Den Beschuldigten wird laut Behörde vorgeworfen, bundesweit Privatpersonen und Kleingewerbetreibende, die auf ihren Homepages Google Fonts eingesetzt haben, per Anwaltsschreiben abgemahnt zu haben. Zugleich wurde diesen angeboten, ein Zivilverfahren gegen Zahlung einer Vergleichssumme in Höhe von jeweils 170 Euro vermeiden zu können. Dass die behaupteten Schmerzensgeldforderungen wegen Verletzung des Rechts auf informationelle Selbstbestimmung nicht bestanden, soll den Beschuldigten dabei bewusst gewesen sein. Entsprechend sollen sie auch gewusst haben, dass für die Angeschriebenen kein Anlass für einen entsprechenden Vergleich bestand, da sie die angeblichen Forderungen gerichtlich nicht hätten durchsetzen können. Die Androhung eines Gerichtsverfahrens soll daher tatsächlich nur mit dem Ziel erfolgt sein, die Vergleichsbereitschaft zu wecken.
420 Anzeigen von „Abgemahnten“, die letztlich nicht gezahlt haben, liegen der Staatsanwaltschaft Berlin inzwischen vor. Aus der Auswertung der Kontounterlagen der Beschuldigten ergibt sich indes, dass etwa weitere 2.000 Personen das „Vergleichsangebot“ aus Sorge vor einem Zivilverfahren und in der unzutreffenden Annahme, der behauptete Anspruch bestünde tatsächlich, angenommen und gezahlt haben.
Neben den Durchsuchungsbeschlüssen hatten die Beamten auch Arrestbeschlüsse mit einer Gesamtsumme vom 346.000 Euro vollstreckt.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Bei allem Respekt, aber das gesamte Konstrukt der Abmahnung ist ein Geschäftsmodell. Das Problem ist doch, dass es diese Möglichkeit bei solchen Sachverhalten überhaupt gibt und das auch gesetzlich gestützt wird.
Ich wurde von einer Hamburger Kanzlei abgemahnt, einen Pornofilm zum Download angeboten zu haben. Ich widersprach, da ich zur Tatzeit im Ausland war und gar nicht Kunde bei Vodafone war. Die Abmahnkanzlei ging nicht auf mich ein und es gab einen Gerichtstermin. mein Anwalt konnte aber Auskunft von Vodafone erzwingen und sie mussten eingestehen, dass ein Fehler vorlag, da sie ein altes Logfile nutzen. wohlgemerkt haben da schon Gerichte der Datenerherausgabe zugestimmt! man sah aus einer Liste aus der Klageschrift, dass in diesem Verfahren über 100 Anschlussinhaber fälschlicherweise herausgegeben wurden.
die Klage wurde dann natürlich zurückgezogen, aber was ist mit den anderen? Das gleiche Abmahnegeschäft läuft weiter…
Aber Achtung: Hier geht es nur darum, dass gewerbsmässig und illegal Abgemahnt wurde. In der Sache hat das Gericht eher gestärkt, dass die extern-Nutzung von Google Fonts ohne Konsens nicht rechtens ist, und durchaus abmahnfähig.
Ich muss sagen, ich verstehe überhaupt nicht, warum da noch nichts passiert ist. Das zustimmungslose Nachladen von Daten von Google ist ganz klar Tracking. Das geht so nicht. Zumal lokales hosten der Fonts komplett legal und sehr simpel ist. Der nächste Abmahner stellt sich weniger dämlich an, und dann wird’s teuer.
Du meinst die Benutzung der Schriften ist legal, wenn du sie auf deinem Server hostest? Hast du dazu die Lizenz erworben oder ist es dann vielleicht eine illegale Benutzung fremder Inhalte?
Im Falle von Google Fonts ist die Antwort darauf ganz klar: Ja.
Siehe hierzu: https://developers.google.com/fonts/faq/privacy#can_i_embed_google_fonts_in_my_website_without_sending_end-user_data_to_google%E2%80%99s_servers
„All the fonts and icons in our catalog are open source and available to anyone, making beautiful typography and iconography accessible to anyone for any project.“ – https://fonts.google.com/about
Das sind freie Fonts unter freier Lizenz.
Google stellt diese Schriften frei zu Verfügung. Jeder, ob privat oder gewerblich, darf die Google-Fonts kostenfrei nutzen, auch auf einem eigenen Server. Es finden sich einige dieser Schriftarten auch in einigen Linux-Distros, Google genehmigt das ausdrücklich. Eine Lizenz braucht man daher nicht erwerben.
> Google genehmigt das ausdrücklich
Die Schriftarten sind nicht VON Google. Die werden bei Google Fonts überhaupt erst angeboten, weil der eigentliche Urheber die Schriftart unter einer OpenSource-Lizenz veröffentlicht hat.
Ja, die Fonts sind Open Source und in der Knowledge Base wird auch beschrieben, wie es geht.
> Das zustimmungslose Nachladen von Daten von Google ist ganz klar Tracking.
Nein, das ist nicht der Fall.
Erstens läd das ja der Nutzer nach, die Leute lassen externe Schriftarten in ihrem Browser ja aktiv zu – müssten sie nicht.
Zweitens liegen doch quasi alle Webseiten entweder auf Google oder AWS. Ist das alles „Tracking“? Wer sowas behauptet fordert einfach ein großes deutsches Intranet. Das muss dann 1&1 hosten, oder so. lol
bei Kundenhosting hat Google/AWS etc. eine ADV mit dem Leistungsnehmer.
Bei freien Diensten nicht, wie der Anbieter da „gewonnene“ Kundendaten nutzt, ist so lange nicht explizit untersagt, sein Bier.
Bist du bei Google eingeloggt und surfst nun herum, Webseiten laden Fonts nach, kann via IP relativ sicher gesagt werden, dass du oder jmd in deinem Haushalt auf den Seiten war.
An Hotspots oder anderen Plätzen mit vielen Clients hinter einer IP natürlich schlechter.
Theoretisch kannst du natürlich unterstellen, dass die Anbieter das einfach immer machen^^
Unabhängig davon, ob du zahlst oder nicht zahlst „kann“ jeder Dienstleister IP-Adressen, speichern und nachverfolgen. Das einzige, was irgendeiner Form von Sicherheit gibt, ist, dass der Anbieter sagt, dass er es nicht tut. Das macht Google Fonts.
Klar kann man trotzdem einen plausiblen Fall beschreiben, dass jemand über sein (aktives, von der Software des Nutzers ausgehendes!) aufrufen von Google Fonts mehr Daten generiert als ursprünglich beabsichtigt. Das gilt dann allerdings für alle externen Ressourcen. .. insofern sollte der Nutzer das einfach ganz plump in seinem Browser deaktivieren.
Das ist weitaus zuverlässiger als irgendwelche Verbote und irgendwelche Richter, die das dann vielleicht irgendwann mal für Einzelfälle durchsetzen. Beinahe fahrlässig, so etwas über das Recht Regeln zu wollen, wenn der Nutzer das bereits heute ganz nach seinen Wünschen lösen kann.
Aber genau da liegt das Problem. Denn du als Betreiber einer Webseite bist dafür verantwortlich ob Google Daten speichert oder nicht. Theoretisch gibt es dafür aktuell (nachdem Privacy Shield aufgehoben wurde) noch die sogenannten Standardvertragsklauseln. Jedoch verpflichten diese dich als Betreiber sicherzustellen, dass die Datenschutzgrundverordnung eingehalten wird… und wie willst du das jetzt machen? In die USA fliegen, bei Google anklopfen und mal fragen, ob du ne Tour durch deren Rechenzentrum mit einsicht in die Logs bekommst? Wohl eher nicht.
Genau da liegt jetzt eben der Unterschied zu einem Dienstleister mit Vertrag, dort kannst du in der Regel einen Auftragsverarbeitungsvertrag mit dem Anbieter abschließen (man kann diesen sogar mit Google abschließen für so Dinge wie Analytics, Tag Manager, Recaptcha, etc.), jedoch selbst dann ist das Übermitteln der IP-Adresse an Server in die USA ein nach TTDSG fragwürdiges Konzept.
Und nein, nicht der Nutzer selbst muss beim Betreten einer Seite sowas wie Fonts blockieren… das ist Schwachsinn und auch nicht der Sinn der DSGVO/TTDSG. Für das Blockieren bis zur Freigae durch den Nutzer ist der Betreiber verantwortlich, das ist ganz klar geklärt. Insbesondere dadurch, dass beim Betreten einer Webseite nur für den Zweck der Nutzung der Webseite notwendige Daten erhoben werden dürfen … und das ist bei Fonts ganz sicher nicht der Fall, da du diese 1. auch über den eigenen Server ausspielen kannst und 2. auch einfach Standardschriftarbeiten verwenden könntest 😉
Das ganze auf den Nutzer abzuwälzen ist fahrlässig und klingt schwer nach Victim blaming. Mit solch einem Argument könnte man alles erschlagen. Ein paar überspitzte Beispiele: Verteilen von Viren und Malware auf der eigenen Webseite? Legal, der Nutzer kann ja auch einfach einen Virenschutz verwenden kann um es zu blockieren! Speichern der vollständigen IP-Adresse und anschließende Verfolgung mittels Super-Cookies im Web? Legal, der Nutzer kann ja einfach mittels diverser Block-Extensions alles blockieren oder einfach nicht die Seite besuchen! Kreditkarten-Daten geklaut? Egal! Der Nutzer hätte sich ja über ein weiteres Kreditkarten-Unternehmen eine Kreditkarten-Ersatznummer/Virtuelle Kreditkarte generieren lassen können, die er dann sperren könnte.
Das ist eine grundfalsche Argumentation.
Eine Website, die *irgendwas* von einem *externen* Server nachlädt, seien Bilder, Fonts, Scripte, Karten oder Videos, was auch immer, muss dafür aktiv Konsens per Banner einholen. Es ist nicht Aufgabe des Besuchers, irgendwas an seinem Browser „ausschalten“ zu müssen.
Jeder Nutzer darf, ohne irgendwas einstellen zu müssen, davon ausgehen, dass ein Besuch auf example.com ausschliesslich Daten auf diesem Server generiert. Nirgendwo anders.
Für Hoster gibt es Verträge, dass diese Daten nicht genutzt werden dürfen. Für Google Fonts gibt es einen solchen Vertrag nicht.
Ich verstehe ehrlich gesagt diese Diskussion nicht. Als damals die DSGVO angekündigt wurde, haben wir auf unseren Sites den Netzwerkbrowser der Devtools aufgemacht und die Domains angeguckt, die da aufgerufen wurden. Nicht alles davon kontrollieren wir selber, weil 3rd-Party-Tools wie Tagmanager etliches „einschleppen“.
Die Liste haben wir unserem Kunden geschickt und gesagt: Hier, dafür brauchst Du Verträge, oder Konsens, oder raus damit. Und Dank CSP wird da inzwischen auch nix neues mehr eingeschleppt. Hat gedauert, und ja, es wurden Fristen gerissen, aber inzwischen ist das durch.
Da hat damals keiner auf den Mimetype geguckt und gesagt: „Ausser natürlich für Fonts. Fonts sind wunderbare Zauberdateien. Fonts darf man!“. Nein, natürlich darf man nicht, ob nun Fonts oder Texte oder leere Dateien oder exotische RequestTypes oder oder oder — nix darf „von draussen“ kommen, dem nicht zugestimmt wurde, oder wo es Verträge gibt.
Mich wundert etwas, wenn dann sowas wie „Deutsches Internet“ kommt. Wir betreiben Shops, in denen täglich schon mal 300.000 Verkäufe getätigt werden, und trotzdem DSGVO-konform. Sogar mit Fonts.
> Eine Website, die *irgendwas* von einem *externen* Server nachlädt
Die ganze Argumentation eines „externen“ Servers mag rechtlich große Tragweite haben, ist technisch (also „in echt“) aber Unfug. Es gibt nur das eine lokale System des Nutzers und dann eben alles andere.
> Es ist nicht Aufgabe des Besuchers, irgendwas an seinem Browser „ausschalten“ zu müssen.
Was Browsing angeht ist der User der alleinige Verursacher aller Netzwerk-Anfragen. Die Browser-Hersteller könnte man noch in die Pflicht nehmen, das erschiene mir noch irgendwo plausibel. … aber der Gedanke, dass wenn weltweit irgendwo eine Datei auf eine andere verweist irgendein Schaden entsteht, das mag man sich aus verdeckten Motiven heraus rechtlich so zurecht legen, aber wie gesagt: „in echt“ entsteht da keinerlei Schuld, Schaden oder überhaupt nur Ursächlichkeit für den Urheber oder Hoster dieser Datei.
> Jeder Nutzer darf, ohne irgendwas einstellen zu müssen, davon ausgehen, dass ein Besuch auf example.com ausschliesslich Daten auf diesem Server generiert. Nirgendwo anders.
Oh boy. Hoffen wir mal, dass du nicht allzubald nachliest, was ein DNS Server ist. Bevor du überhaupt anfängst zu tippen hat jeder moderne Browser schon mindestens 10 Netzwerkanfragen gemacht. Das müsstest du doch wissen, steht es doch sicher in irgendwelchen unsinnigen Textwänden bei der Installation der Software. 😀
> Für Hoster gibt es Verträge, dass diese Daten nicht genutzt werden dürfen. Für Google Fonts gibt es einen solchen Vertrag nicht.
Natürlich hat auch Google Fonts ToS, so wie vermutlich jeder größere Service im Internet.
> Ich verstehe ehrlich gesagt diese Diskussion nicht.
Entschuldige die Offenheit, aber dieser Eindruck entsteht bei mir auch.
Sollte ich deiner Argumentation folgen können, war anscheinend jeder VAG-Fahrer damals auch Schuld am Abgasskandal…
Leute! Man muss nun wahrlich kein Anwalt sein, um über solche Argumentationen den Kopf zu schütteln. Der Fahrer hat im guten Glauben der technischen Freigabe des Fahrzeugs vertrauen dürfen, diese war vorsätzlich verfälscht, und somit geht die Haftung auf den Verursacher dahinter.
Wer auch nur grob über die DSGVO-Regeln drüberliest, versteht, dass er keinerlei 3rd-Party einbauen darf, ausser er hat Konsens oder einen Vertrag zur Datenverarbeitung. Man muss doch auch nach mehreren Jahren DSGVO inzwischen mal selbst gerallt haben, dass man nirgendwo, auf keiner Website, irgendwas in der Art von youtube, maps, twitter, – Einbettungen zu sehen bekommt, ohne dass man seinen Friedrich-Wilhelm druntergemacht hat. Wie um alles in der Welt kommt man auf die hanebüchene Idee, man dürfte „mal eben“ was von ausgerechnet Trackingweltmeister Google nachladen?
Sorry, verstehe ich nicht. Ja, es gibt juristische Fallstricke, aber dieser Fall ist doch sowas von bombensicher falsch, was wird da noch diskutiert? Kein Consent, keine Fonts.
> Man muss nun wahrlich kein Anwalt sein, um über solche Argumentationen den Kopf zu schütteln.
Das war doch gar keine rechtswissenschaftliche Argumentation? Ich fürchte ein Staatsexamen hilft dir hier nicht weiter. 😀
> Wie um alles in der Welt kommt man auf die hanebüchene Idee, man dürfte „mal eben“ was von ausgerechnet Trackingweltmeister Google nachladen?
Wer hat das geschrieben? Worauf beziehst du dich? Bist du vielleicht im falschen Thread?
Die DSGVO mag das verlangen – es ist halt sachlich betrachtet Unsinn.
> was wird da noch diskutiert?
Ja, klär uns doch auf: Was diskutierst du hier bitte? 😀
Dass man die Browser-Hersteller in die Pflicht nehmen könnte, hab ich doch explizit erwähnt.
Der Vergleich wäre doch eher, die Schuld bei den Straßenbauern, Kartenanbietern oder Ölraffinerien zu suchen.
Junge, Du strickst dir da was ganz wildes zusammen. Das ist, ob es dir nun gefällt oder nicht, nunmal die Rechtslage. Es ist vollkommen egal, ob dein ,lokales System oder der Server Daten nachlädt, und wie das technisch angestossen wird — sobald das passiert, muss vorher Consent gegeben sein. Rechtslage. Punkt.
Was den DNS angeht: Schau mal in deinen DSL-Vertrag. In genau dem hast Du nämlich Consent für deinen Zugangsprovider erteilt oder widersprochen, in beiden Fällen ist der Fall abgedeckt.
Der User ist auch nicht „Verursacher“. Wenn der Ursache einen Brief an Erika schickt, kann er davon ausgehen, dass Erik den nicht lesen kann. Wenn ich example.com aufrufe, darf ich davon ausgehen, dass absolut nichts an/von google.com geschickt wird.
Ob dir das nun gefällt oder nicht: Dafür zu sorgen ist DEINE Pflicht. Du hast das in deine Website eingebaut, Du muss um Erlaubnis bitten.
> Google Fonts ToS
Unwirksam, wenn nicht Consent eingeholt wurde, und unwirksam, weil Google loggt.
> Junge, Du strickst dir da was ganz wildes zusammen.
„Junge“? Fängst du gleich an zu rappen oder was? 😀
> Das ist, ob es dir nun gefällt oder nicht, nunmal die Rechtslage.
Das ändert doch gar nichts an meinem Argument, oder? Glaubst du irgendwo gelesen zu haben, ich hätte die Rechtslage geleugnet? Falls ja lies besser noch mal nach.
> Es ist vollkommen egal, ob dein ,lokales System oder der Server Daten nachlädt, und wie das technisch angestossen wird — sobald das passiert, muss vorher Consent gegeben sein. Rechtslage. Punkt.
Es mag rechtlich wichtig sein, sachlich ist es Unsinn. Das ist übrigens genau das, was ich geschrieben hatte. Zitat aus meinem Kommentar:
> das mag man sich aus verdeckten Motiven heraus rechtlich so zurecht legen, aber wie gesagt: „in echt“ entsteht da keinerlei Schuld, Schaden oder überhaupt nur Ursächlichkeit für den Urheber oder Hoster dieser Datei.
Insofern bin ich froh, dass du mir hier (trotz deiner offensichtlichen Krawallabsicht) zustimmst! 😀
> Was den DNS angeht: Schau mal in deinen DSL-Vertrag. In genau dem hast Du nämlich Consent für deinen Zugangsprovider erteilt oder widersprochen, in beiden Fällen ist der Fall abgedeckt.
In meinem DSL Vertrag steht nichts zu meinem DNS Provider. … und in deinem vermutlich auch nicht. Überhaupt solltest du einen verschlüsselten DNS konfigurieren und auf gar keinen Fall den deutschen/zensierten von der Telekom verwenden. 😉
> Der User ist auch nicht „Verursacher“. Wenn der Ursache einen Brief an Erika schickt, kann er davon ausgehen, dass Erik den nicht lesen kann.
Erstmal herzlichen Glückwunsch zu dem sachlich falschen Beispiel des Briefgeheimnis. Jeder kann deinen Brief lesen, wenn er möchte. Kommt auch ständig vor, verschick einfach mal Bargeld und erlebe, wie es wie durch Zauberhand nicht ankommt. Ich liebe es, wie Kommentarspalten-Rechtsgespräche zuverlässig an der Realität scheitern.
Zweitens: „Wenn ich example.com aufrufe, darf ich davon ausgehen, dass absolut nichts an/von google.com geschickt wird.“ Wenn du (wie beinahe jeder) Chrome nutzt, wird davon „absolut“ (? relativ oder was ?) etwas an Google geschickt. Wenn du dich verschreibst macht Google sogar Vorschläge, was du gemeint haben könntest. … und dein Browserverlauf wird üblicherweise auch synchronisiert. Du musst doch merken, dass die Aussage viel zu radikal ist um sie plausibel zu verteidigen? 😀
> Ob dir das nun gefällt oder nicht: Dafür zu sorgen ist DEINE Pflicht. Du hast das in deine Website eingebaut, Du muss um Erlaubnis bitten.
Hö? Ich hab doch gar keine Webseite? Aber Pflicht ist hier natürlich auch relativ. Letztlich ist das Schwert der DSGVO für den erdrückend überwiegenden Teil der Webseitenbetreiber (vornehmlich den außereuropäischen) ein außerordentlich stumpfes Schwert.
> Unwirksam, wenn nicht Consent eingeholt wurde, und unwirksam, weil Google loggt.
Die ToS sind selbstverständlich vollkommen unabhängig von irgendeinem Consent. – Wieso sollte das in irgendeinem Zusammenhang stehen? Das ist ja nicht mal die selbe Rechtsbeziehung. … und dein „unwirksam, weil Google loggt“ ist entweder unvollständig bequellt, oder wohl das kürzeste Rechtsgutachten der Welt. 😉
Du argumentierst also lieber mit der gefühlten Wahrheit? Jörg hat die geltende Rechtslage komplett richtig erklärt und nur darum geht es. Und bezüglich „stumpfes Schwert“: Die Mühlen der Justiz mahlen langsam, aber sie mahlen. Google musste gerade erst, gerichtlich entschieden, sein Consent Tool anpassen. Es gibt zig Beispiele, wo Unternehmen bereits nicht unbeträchtliche Summen an Strafe zahlen mussten. Das größte Problem der DSGVO ist es, dass es zu vielen Fällen einfach noch keine Urteile gibt. Die kommen aber langsam.
„Zweitens: „Wenn ich example.com aufrufe, darf ich davon ausgehen, dass absolut nichts an/von google.com geschickt wird.“ Wenn du (wie beinahe jeder) Chrome nutzt, wird davon „absolut“ (? relativ oder was ?) etwas an Google geschickt.“
Da gibt es einen ganz großen Unterschied. Das eine (den Browser zu Nutzen) machst du als Privatperson bewusst. Das darfst du. Du darfst als Privatperson auch Google Nutzen und denen ALL deine Daten geben, völlig legal. Es ist aber etwas anderes, wenn jemand Drittes deine Daten ungefragt an Google weitergibt und genau das ist das, was hier diskutiert wird und was eben rechtlich indiskutabel ist.
Dazu mal ein Beispiel, was du vielleicht besser verstehst: Wenn du Interesse an einem Produkt hast und dich für einen Newsletter zu diesem Produkt anmeldest ist das deine Sache und völlig legitim. Wenn ich jetzt deine E-Mail-Adresse hätte, fändest du es doch sicher auch nicht gut, wenn ich die bei irgendwelchen Werbetreibenden angeben würde ohne dein Einverständis einzuholen, oder? Ich könnte jetzt sagen: Ist doch kein Problem.. du hast deine E-Mail eh schon 100x weitergegeben, also muss das auch für mich in Ordnung sein! Außerdem kannst du auch einen Spam-Filter verwenden, wenns dich stört!
Genau das ist es, was du hier gerade propagierst.
Achja und zum Thema die DSGVO wäre ein stumpfes Schwert, du hast echt überhaupt keine Ahnung wieviel Einfluss die EU hat, oder? Man mag ja gerne und viel darüber lästern, aber guck dir doch mal ein paar Urteile zum Thema Datenschutzverstöße von z.B. US Firmen in der EU an 😉 Noch dazu haben mittlerweile viel mehr Länder und auch US Bundesstaaten Gesetze im ähnlichen Umfang wie die DSGVO. Es geht also immer mehr in genau DIESE Richtung und nicht etwa in die von dir dargestellte „Ist nur in der EU so, überall sonst im Internet ist der Wilde Westen“-Theorie.
Jannik, ohne dir zu nahe treten zu wollen: Du hast in der Praxis scheinbar keinen großen Kontakt mit Datenschutzthemen. Das was Jörg schreibt, ist völlig korrekt. Als Anbieter stehst du in der Pflicht, dein Angebot DSGVO konform zu gestalten. Der User kann erwarten, dass keine externen Quellen aufgerufen werden. Möchtest du externe Dienste einbinden, kann das per Consent Tool in gewissem Rahmen ja auch passieren, du musst aber sicherstellen, dass bei einer Ablehnung auch kein aufruf stattfindet. Die DSGVO regelt die Verantwortlichkeit hier sehr deutlich.
Gar kein Stress, du trittst mir nicht zu nahe! 🙂
> Als Anbieter stehst du in der Pflicht, dein Angebot DSGVO konform zu gestalten.
Bist du der Auffassung, ich hätte dem irgendwo widersprochen? Falls ja: Warum?
> Der User kann erwarten, dass keine externen Quellen aufgerufen werden.
Naja, jeder kann erst mal alles erwarten. Das ist dann halt in der Praxis einfach meistens eine falsche Erwartung.
Ich hab den Eindruck hier bekommen ganz viele diese Doppelbewertung zwischen dem was rechtlich verpflichtend ist und dem was tatsächlich in der Welt passiert nicht sehr gut auf die Kette.
> Möchtest du externe Dienste einbinden, kann das per Consent Tool in gewissem Rahmen ja auch passieren, du musst aber sicherstellen, dass bei einer Ablehnung auch kein aufruf stattfindet. Die DSGVO regelt die Verantwortlichkeit hier sehr deutlich.
Das stimmt so leider nur sehr bedingt. Erstmal könnten die Verantwortlichkeiten in der DSGVO wesentlich deutlicher geregelt werden, mal nur rein handwerklich gesprochen, zweitens stützt sich diese Anforderung an ein technisch vordergründiges Verständnis externer Dienste. (Das hatte ich ja weiter oben schon geschrieben.)
> Bist du der Auffassung, ich hätte dem irgendwo widersprochen? Falls ja: Warum?
Ganz klar ja, hiermit: „Beinahe fahrlässig, so etwas über das Recht Regeln zu wollen, wenn der Nutzer das bereits heute ganz nach seinen Wünschen lösen kann.“
> Naja, jeder kann erst mal alles erwarten. Das ist dann halt in der Praxis einfach meistens eine falsche Erwartung.
Die TTDSG sieht das aber anders 😉
> „Es ist nicht Aufgabe des Besuchers, irgendwas an seinem Browser „ausschalten“ zu müssen.“
Mag sein, es sollte aber auch nicht die Aufgabe des Betreibers einer Webseite sein, sich darum zu kümmern, was für Daten seitens des Hosters übertragen und ggf. auch ausgewertet werden. Denn der ist es, der die Daten erhebt und überträgt, *nicht* der Anbieter des Webangebotes.
> „Wir betreiben Shops, in denen täglich schon mal 300.000 Verkäufe getätigt werden, und trotzdem DSGVO-konform. Sogar mit Fonts.“
Ja, sicher, aber dafür ist auch ein in meinen Augen unverhältnismäßig hoher Aufwand zu betreiben, der am Ende keinem etwas bringt. Wenn man Profi ist und solche Webseiten gewerblich betreibt, kann man natürlich sagen, dass das eine Kleinigkeit ist. Aber dem kleinen privaten Webseitenbetreiber ist sowas schlicht nicht zuzumuten, denn wie gesagt ist der es nicht, der Daten speichert, überträgt und auswertet.
Mit diesen und vielen anderen Regelungen hat man in vielen Jahren das, was das Internet einst ausgezeichnet hat, nahezu vollständig „kaputtreguliert“. War es mal eine Spielwiese für Kreativität muss man heute selbst bei einer kleinen Präsenz ständig mit der Angst leben, wenigstens abgemahnt zu werden.
Ich sehen mich zurück nach den Zeiten, wo man einfach eine Webseite öffnen und die Inhalte anschauen konnte, ohne dass man erst irgendwelche Cookie-Banner wegklicken musste.
> Denn der ist es, der die Daten erhebt und überträgt, *nicht* der Anbieter des Webangebotes.
Falsch. Der Hoster hat damit auch gar nichts zu tun (Abgesehen davon ist die Datenübertragung des Hosters klar über einen AVV geregelt ohne den bekommst du heute eh kein Hosting angebot mehr, von daher ist auch das die Aufgabe des Webseitenbetreibers). Aber davon mal ab geht es hier um das Einbinden externer Ressourcen und diese werden nicht einfach durch den Hoster eingebunden sondern durch die Webseite und die liegt zu 100% im Verwaltungsbereich des Betreibers. Du kannst dich aktiv dafür entscheiden Google Fonts über google.com einzubinden oder diese lokal auf deinen Server zu kopieren und von dort auszuspielen. Für deine Webseite macht das keinen Unterschied, für den Besucher allerdings schon.
Bei der Abmahnwelle geht es um den Datenschutz. Denn die Google Fonts Dateien liegen auch auf Servern außerhalb der EU. Und wenn diese Schriftarten aus der nicht EU geladen wird, wird der Datenschutz nicht eingehalten da „persönliche Daten“ übermittelt werden, z.B. die IP.
Man stelle sich ein Paralleluniversum vor, in welchem der Datenschutz durch den Standort des Servers beeinflusst würde. Urkomisch.
Das ganze Argument ist nur ein Feigenblatt für Datennationalismus.
Das ist genau der Punkt den Jörg on seinem Kommentar erwähnt hat. Nur wurde dieser durch die Diskussion zur Nutzlizenz leider zerrissen, die aber überhaupt nicht relevant ist. Das Problem liegt eher an Systemen wie z.B. WORDPRESS und dem allgemeinen Hosting. Es wird viel zu einfach gemacht eine Seite zu erstellen (Baukasten Prinzip) und dann wird vom Nutzer verlangt die DSGVO einzuhalten. Das kann so nicht funktionieren. Dass sich natürlich jetzt ausgerechnet ein griechischer Anwalt und ein türkischer/vietnamesische*r Kläger sorgen um die Einhaltung der DSGVO machen, lässt da ganze nochmals absurd erscheinen. Aber ein Verstoß liegt vor – ja.
Hatte auch so ein Schreiben bekommen, mit adressiert an mich mit dem Firmennamen eines meiner Klienten. Hab ich zur Seite gelegt und nix gemacht, da ich nicht korrekt angesprochen wurde und da ein Bot meine Seite besucht und kein Mensch. Dummfang. Ich nehme an, die haben Seiten von deutschen Webagenturen als Startpunkt für ihr Crawling benutzt.
Das Abmahnwesen gehört einfach trockengelegt , peer Gesetz. Wer einem andern einen Regelverstoß vorwirft soll das über ein ordentliches Gerichtsverfahren klären lassen. damit werden dann viel höhere Hürden aufgebaut und die sinnlose Welle „jeder kann jeden für jedes erstmal abmahnen“ wird endlich gebrochen. anwälte die mit sowas Geld machen sind die Prostituierten des Rechtswesens.
Das Konzept der Abmahnung ist soweit ich weiß weltweit einzigartig und die meisten Rechtsräume kommen vollkommen ohne ein vergleichbares Werkzeug aus.
Von Abmahnungen profitieren vermutlich vor allem Anwälte und VPN Anbieter.
> Das Abmahnwesen gehört einfach trockengelegt , peer Gesetz.
Bin ich prinzipiell deiner Meinung, ich gebe aber zu Bedenken, dass Du dann tatsächlich eine Anzeige, Anwaltskosten und Verurteilung an den Hacken hast. Und das wird mglw. deutlich teurer.
Das Gericht hat in diesem Fall ja schon angedeutet, dass Google Fonts ohne Consent rechtswidrig ist, und nur die Massenabmahnung selbst abgewiesen. Das heisst, Du bist dran, mit allen Kosten plus Schadenersatz.
Es ist hier in den Kommentaren viel zuviel von der DSGVO die Rede. Wisst Ihr überhaupt was das ist?
Die schützt persönliche Daten, keine Fonts und hat mit dem angesprochenen Fall nichts zu tun.
Weiterhin begründet die DSGVO keine Urheberrechtsansprüche.
Wenn Google Fonts unter freien Lizenzen stehen, z.B. GPL oder Apache oder wasweißich, ist die Nutzung prinzipiell erlaubt, je nach Lizenz eben auch mal nur als nichtkommerzielle Nutzung (GPL).
Die DSGVO kommt zum Tragen, wenn auf der Webseite persönliche Daten abgefragt werden, z.B. in einem Kontaktformular, oder auf der Seite veröffentlicht sind, z.B. Kontaktdaten. In diesen Fällen muss die DSGVO eingehalten werden, durch Information der Betroffenen und deren Zustimmung und weitere Maßnahmen, die die DSGVO fordert, z.B. Auskunft über Datenspeicherung und Nutzung, Löschung der Daten etc.
Also, wie in einem Kommentar unten mal angesprochen, jemand mit WordPress einfach mal eine Webseite baut, braucht er sich über die DSGVO null Gedanken zu machen, solange er kein Kontaktformular mit Datenabfrage einbaut und nur seinen eigenen Namen und Adresse im Impressum veröffentlicht.
Das hat aber nichts mit der Nutzung urheberrechtlich geschützter Inhalte zu tun. Diese Nutzung muss vom Rechteinhaber genehmigt werden. Er kann dies tun, indem er sie von vornherein unter eine freie Lizenz stellt, z.B. GPL, oder indem er den Einzelfall genehmigt, oder indem er ein Nutzungsrecht verkauft.
Du bist in der Diskussion irgendwo falsch abgebogen. Es geht hier nicht um die Nutzung der Fonts und deren Lizenz, sondern dass diese Font-Dateien von Google-Servern nachgeladen werden. Dabei generiert dieser Request Tracking-fähige Logeinträge bei Google. Darin liegt der DSGVO-Verstoss, darum geht es: “IP 1.2.3.999 lädt lustig.ttf , weil er sich grad example.com anguckt“.
Es könnte auch ein Musikstück, eine JavaScript-Library oder eine leere Textdatei sein, egal, der Request auf die Datei ist nicht DSGVO-konform.
@Jörg: Danke, verstanden. Die müssten also die Fonts auf ihrem Server statisch einbinden.
Ich dachte die Abmahnmafia hätte sich auf die Lizenzen gestürzt.