Skip to content

2022-04

Nachtrag 2023-08: Die Anzahl der Websites, die die hier beschriebenen Fonts einbindet, ist seit Fertigstellung des Artikels vor über einem Jahr deutlich geringer geworden. Was vielfach bleibt, sind andere Aufrufe bei Dritten, die im Zweifel denselben Effekt bewirken. Beim Lesen deshalb einfach das Wort Fonts durch ‘etc.’ ergänzen.

Was ist so problematisch an Online-Fonts?

Aus dem Umfeld eines großen Suchmaschinenbetreibers werden online kostenfrei Fonts angeboten. Sehr viele Websites machen hiervon Gebrauch. Wie dies technisch funktioniert, haben wir hier erläutert. In Kürze: Jede Site, die solche Fonts einbindet, veranlasst den Browser des Nutzers, diese Fonts direkt beim Sponsor abzufordern, sodass dieser die IP Adresse des Websitenutzers erfährt.

Wo ist nun genau das Problem dabei, dass die IP-Adresse des Website-Nutzers durch das Einbeziehen externer Fonts bekannt gemacht wird? Bekanntlich gilt eine IP-Adresse als personenbezogenes Datum. Aber, reden wir hier letztlich nur über eine juristische Spitzfindigkeit oder handelt es sich um ein veritables Problem?

Das vermeintliche Problem liegt weniger in der Tatsache, dass in Einzelfällen mal eine IP-Adresse eines Websitebesuchers an einen Dritten übermittelt wird. Das Problem liegt an der quasi flächendeckend anzutreffenden Anwendung der Fonts des Suchmaschinenanbieters. Ein substantieller Anteil aller Websites nutzt die Fonts. Sites, die die Fonts nicht nutzen, verwenden vielfach wiederum aus dem Umfeld des Suchmaschinenbetreibers bereitgestellte Marketingsinstrumente, die ebenfalls die IP des Nutzers übermitteln.

Websites, die keine Dienste aus dem Umfeld des Suchmaschinenbetreiber eingebunden haben, sind nach unserer Wahrnehmung klar in der Minderheit.

Folge: Die vermeintlich harmlose Übermittlung einer IP Adresse beim Besuch einer einzelnen Website bekommt eine ganz andere Dimension. Gehen wir davon aus, dass beim Abruf der Fonts über den Referer neben der IP Adresse der Sponsor auch erfährt, welche Website diesen Aufruf veranlasst hat. Damit erfährt der Suchmaschinenbetreiber, welche Website die IP Adresse wann aufgerufen hat – und zwar kontinuierlich.

Wir wissen nicht, ob der Sponsor der Fonts tatsächlich aus der Bereitstellung systematisch Daten sammelt und auswertet. Wir stellen lediglich fest, dass aufgrund der hier im Hintergrund quasi flächendeckend gewinnbaren Daten im Zweifel ziemlich differenzierte Profile darüber erstellt werden könnten, welche IP Adresse sich wann für was besonders zu interessieren scheint. Nutzen die Surfer hinter einer IP Adresse wiederum noch Dienste aus dem Umfeld des Suchmaschinenbetreibers, könnte dieser aus der Anmeldung dort theoretisch sogar genau sagen, um welche Person es sich jeweils handelt.

Nutzer, die regelmäßig Seiten z.B. von Selbsthilfegruppen aufrufen, wollen solche Infos vielleicht gerne ganz privat halten. Aus Sicht der DSGVO wäre diese Info auch besonders zu schützen, weil es sich im Zweifel um Art. 9 Daten handelt.

Viele Websitebetreiber binden die Fonts ganz unbewusst ein, auch Anbieter von Sites mit delikaten (sensiblen) Inhalten. Das passiert, weil ihre Agentur es ohne böse Absicht und große Erläuterung einfach tut. Viele Content Management System binden ebenfalls ohne entsprechend deutliche Hinweise über die bereitgestellten Themes oder PlugIns die Fonts des großen Suchmaschinenbetreibers ein. Tatsächlich ist es gar nicht so einfach, z.B. WordPress-Themes zu finden, die keine fremden Fonts automatisch einbinden.

Zur Ehrenrettung von WordPress sei angemerkt, dass die jüngeren von den jährlich neu von WordPress selbst bereitgestellt Themes ‘sauber’ sind. Dies gilt aber nicht für die im großen Stil von Dritten angebotenen Themes.

Diese – wir nennen es mal Sorglosigkeit – führt am Ende zu der großen Verbreitung der Fonts. Erst dadurch erhalten die bei jedem Websitebesuch übermittelten Daten an den Suchmaschinenbetreiber ihre potentielle Brisanz. Erst hierdurch kann ziemlich stimmig nachvollzogen werden, was spezifische User offensichtlich besonders interessiert. Das Beste daran: Es ist kein einziger Cookie nötig und nur der Sponsor der Fonts hat diese Informationen. Damit berühren wir hier potentiell neben dem Datenschutzrecht auch das Kartellrecht; denn alle anderen Werbenetzwerke und Datensammler sind hier außen vor.

Verantwortung?

Wer verantwortet nun die Tatsache, dass ein Suchmaschinenbetreiber potentiell so viel darüber erfahren kann, was einzelne Nutzer im Web interessiert? Nach unserer Auffassung jeder Websitebetreiber, der die Fonts (oder andere Inhalte aus dem Umfeld des Suchmaschinenbetreibers) in seiner Site einbindet – und zwar unabhängig davon, ob es bewusst oder unbewusst über irgendwelche Themes oder PlugIns passiert.

Die Verantwortung für etwas zu tragen, ist per se nicht strafbar. Wenn die Handlung hinter der Verantwortung jedoch unzulässig ist, dann führt die Verantwortung potentiell in Probleme (insb. Bußgeld, Schmerzensgeld).

Versuchen wir deshalb eine Bewertung: Kann die Einbindung von externen Fonts mit einer Rechtsgrundlage aus Art 6 (1) DSGVO unterlegt werden? Theoretisch ja, praktisch wird es jedoch schwierig. Fehlt es an der Rechtsgrundlage, ist die Einbindung in der beschriebenen Form klar unzulässig.

Die Verarbeitung kann im Grundsatz mit einer Einwilligung legitimiert werden. Hierfür wäre aber vor (!) dem ersten Abruf eines Fonts eine informierte und freiwillige Einwilligung erforderlich – und zwar unabhängig davon, ob man auf eine Site über eine Homepage einsteigt oder sonst irgendwie auf einer Unterseite landet. Soweit wir dies beobachten können, ist dies technisch kaum mit vertretbaren Mitteln umsetzbar.

Vielfach wird argumentiert, die Einbingung der Fonts könne über das berechtigte Interesse legitimiert werden. Wir sehen dies anders, da die Bedingungen hierfür nicht erfüllt scheinen:

  • Die Verarbeitung müsste einen legitimen Zweck verfolgen. Die Einbindung von attraktiven Schriftzeichen, deren Nutzungsrechte zudem durch das Angebot des Sponsors offensichtlich großzügig geklärt sind, erscheint erst einmal als legitimer Zweck.
  • Die Verarbeitung muss zur Erreichung des Zwecks erforderlich sein. Technisch betrachtet, ist es nicht nachzuvollziehen, warum die Fonts bei einem Aufruf vom Sponsor über die IP des Nutzers der Website geladen werden müssen. Schließlich wird gerade hierdurch dem Sponsor transparent, wer eben diese Website aufruft.

    Ist das Nachladen von Fonts erforderlich? Klares Nein. Technisch betrachtet können die Fonts natürlich auf dem Webserver des Anbieters liegen und dort ohne Umwege direkt beim Ausliefern der Seite eingebunden werden. Die Site so zu gestalten, dass ein Nachladen durch den Nutzer erforderlich wird, erscheint deshalb eigentlich sogar abwegig und keinesfalls als erforderlich.

    Wie nun in diversen Foren nachzulesen ist, geht das direkte (lokale) Bereitstellen der Fonts aber zulasten der Performance. Das klingt absurd, wir konnten es aber nachvollziehen.

    Hierüber jedoch jetzt eine Erforderlichkeit für einen Onlinebezug und damit für eine Weitergabe der Nutzerdaten an einen Dritten zu begründen, halten wir definitiv nicht für belastbar.
  • Kommt noch ein weiterer Prüfpunkt hinzu: Das berechtigte Interesse kann nicht angewandt werden, wenn im Vorfeld absehbar ist, dass die Verarbeitung bei Nutzern auf Widerstand stoßen wird. Davon ist zumindest bei einigen Nutzern auszugehen, wenn sie denn wüssten, was da wirklich alles im Hintergrund potentiell passiert. Das müsste den Nutzern freilich vom Websitebetreiber über die Datenschutzhinweise erklärt werden, woran es jedoch regelmäßig bei den betroffenen Sites hapert.

    Wie in diesem Artikel dargelegt, können die Folgen aus der Datenübermittlung jedoch theoretisch ziemlich problematisch sein. Ohne sicher zu sein, dass keine Profilbildung stattfindet, darf man nach unserer Überzeugung die Daten nicht leichtfertig übertragen – womit allein deswegen das berechtigte Interesse ausfällt.

Leser, die es bis hierher geschafft haben, fragen sich vielleicht, wieso wir den Namen des Sponsors der Fonts nicht nennen. Schließlich sei doch sowieso klar, wer gemeint ist. Falls das stimmt, wäre dies ein gewichtiges Indiz dafür, dass wir es tatsächlich auch mit einer kartellrechtlichen Frage zu tun haben.