Zu einem interessanten Urteil in Bezug auf die Weitergabe einer dynamischen IP-Adresse an Google durch die Verwendung von Google Fonts kam es am 22. Januar diesen Jahres: https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/

Schriften gestalten die Identität einer Website erheblich mit. Umso erfreulicher an HTML5 und CSS3 war, dass die Einbindung beliebiger Schriften über @font-face (bereits ab mit dem Internet-Explorer 5 verwendbar, doch in allen anderen Browsern erst mit HTML5 und CSS3 verfügbar) endlich zur allgemeinen Errungenschaft wurde. Ja, richtig, früher konnte man das nicht (so einfach) machen, und die Liste verwendbarer „Webschriften“ war kurz.

IP-Adressen gelten als personenbezogene Daten

Viele WordPress-Themes, und auch manche Plugins, bieten Einstellungen an, aus einer großen Zahl von Schriften die gewünschte(n) zu wählen. Was einem Nichttechniker hierbei vielleicht nicht klar ist: gewählte Schriften werden oft gar nicht auf der Website vorgehalten, sondern von einem Google Server geladen.

Wenn ein Server Ressourcen bereitstellt, wird ihm dabei unvermeidlich die IP-Adresse des anfragenden Rechners bekannt gegeben. In diesem Fall also wird die IP-Adresse des Besuchers einer beliebigen Website, die Google Fonts verwendet, an Google weitergegeben, und sehr oft, ohne, dass er es merkt, geschweige denn, etwas dagegen tun kann. Google könnte auf diesem Weg von dem User besuchte Websites tracken und so ein Profil generieren. Das ist genau, was die DSGVO zu verhindern versucht.

Dem verlinkten Beitrag nach ist es so, dass im Sinne der DSGVO eine IP-Adresse, selbst wenn sie dynamisch ist, eine personenbezogene Information darstellt, die ohne vorherige Zustimmung nicht an Dritte weitergegeben werden darf. Streng genommen müsste die Zustimmung des Besuchers eingeholt werden, BEVOR seine IP-Adresse an den Drittanbieter übermittelt wird, also auch, bevor die Schrift vom Google-Server geladen wird. Doch wie schaut es bisher in der gelebten Praxis aus?

Berechtigtes Interesse – ein heimlicher Persilschein?

Bisher kam mir kein Cookie-Banner-Consent unter, das mich danach fragte, ob es eine Schrift vom Google Server laden dürfe. Ein großer Teil von Websites die Schriften von Google-Servern beziehen, gibt die IP-Adresse der Besucher „einfach“ an Google weiter, und die Website kommt mit den vorgesehenen Typografie-Einstellungen beim Besucher an. Dass es so ist, geht aus der Datenschutzerklärung hervor. So sah ich das z.B. auch auf der Website eines Anwalts der DSGVO- und ePrivacy-thematisch engagiert ist.

Websitebetreiber argumentieren in ihren Datenschutzerklärungen vielfach, das die Verwendung von Webfonts über Drittanbieter-Server ein im juristischen Sinne „berechtigtes Interesse“ darstelle. Dem entgegen steht, dass Schriften nicht zwingend aus anderen Quellen geholt, sondern auch auf dem eigenen Webserver vorgehalten werden können. Damit ist die Verwendung von Webfonts von Drittanbietern eigentlich nicht mehr erforderlich (mag ja sein, dass die eigene Bequemlichkeit unter „Interessen“ fällt, aber wenn das als „berechtigtes Interesse“ verteidigt werden darf, warum dann nicht gleich auch Werbe-Einschaltungen?).

Nach wie vor ignorieren das viele Betreiber, oder sind sich dessen gar nicht bewusst. Woher sollen sie wissen, dass vielen nicht-europäischen Webentwicklern die europäischen Datenschutzvorgaben egal sind. Die Verwendung der Google Fonts API ist eben auch bequem, Plugins und Themes damit billig mit 100erten von Schriften aufzuwerten. Manchmal kann man Google Fonts abschalten. Im blödsten Fall stehen dann nur noch Standard-Schriften zur Verfügung (wie Arial, Verdana, Tahoma… – die man früher eben als Webschriften kannte), im günstigeren Fall lassen Plugins es zu, dass die Schrift vom Theme „geerbt“ wird, was ideal ist, wenn das Theme bereits lokal gehostete Fonts verwendet.

Worauf achten, wenn man Google Fonts nicht von Google laden will?

Die Hauptquelle für Schrifteinbindung ist das Theme. Auch wer externe PageBuilder verwendet, muss mit Google Fonts rechnen. Doch auch bei anderen Plugin mit gestalterischer Funktion ist nicht ausgeschlossen, dass Schriften aus externen Quellen geladen werden. Aufwendige Slider-Plugins gehören dazu, oder auch Plugins, die zusätzliche Blöcke für Gutenberg bereitstellen. Alles, was eine Einstellung für eine Auswahl aus Google Fonts hat, sollte darauf hin überprüft werden, ob man sie – am besten global – abschalten kann, resp. Schriften aus den Theme-Einstellungen übernehmen.

DSGVO-konforme Themes

Wer in der Lage ist, seine gewünschten Schriften über ein Child-Theme selber einzubinden, ist bei der Wahl eines Themes natürlich weniger eingeschränkt. Allerdings stehe ich mittlerweile auf dem Standpunkt, dass man von guten Theme- und Pluginanbietern durchaus erwarten darf, datenschutzkonform zu entwickeln. Dass es technisch möglich ist, Google Fonts bequem auswählen zu lassen und dann lokal zu hosten, haben einige Theme-Anbieter schließlich bereits realisiert. Und je mehr Europäer darauf achten, umso größer wird die Motiviation auch bei Nichteuropäern sein, ihre Produkte datenschutzkonform zu gestalten.

Die gute Nachricht ist, es gibt immer mehr Themes, in denen – wenn nicht von vornherein, dann zumindest optional ober über eine Pro-Erweiterung – die datenschutzkonforme Einbindung von Google Fonts vorgesehen ist. Die gewünschte(n) Schrifte(n) werden dann einfach von Google geholt, auf den Webserver geladen, und fortan lokal bereitgestellt. Die IP-Adressen der Besucher werden nicht an Google weitergeben, und dennoch muss auf nichts verzichtet werden.

Wie kann ich sicher sein?

Für die Untersuchung der eigenen (oder auch fremder) Websites kann ein beliebiger moderner Webbrowser herangezogen werden. Ich verwende dafür gerne den europäischen Browser Opera, der eine Extra-Einstellung für die Anzeige von Drittanbieter-Anfragen hat. In die Dateien- und Datenansicht einer Website gelangt man über (unter Windows) einen Klick auf die rechte Maustaste, während man sich auf der Seite befindet, und „untersuchen“ oder „Element untersuchen“ im Kontextmenü wählt.

Hiermit landet man erst mal an der Position für die Untersuchung der Quelltext-Struktur (in diesem Opera-Browser wäre das unter Elements, unter Firefox heißt es hingegen „Inspektor“, während man es in Edge mit „Elemente“n zu tun hat). Die geladenen Dateien werden unter „Netzwerk“ oder „Netzwerkanalyse“ angezeigt. Sobald man sich hier befindet, muss eine Website nochmal neu geladen werden, damit die Dateien gelistet werden.

Hier nun das schöne Beispiel in Opera, nämlich die 3d-party-requests, die sofort offenbaren, woher die Schriften der Website geladen werden. Es braucht vielleicht etwas Zeit, um sich mit den Werkzeugen, die Browser zur Analyse von Websites zur Verfügung stellen, zurechtzufinden. Doch die eigene Website sollte man damit immer untersuchen. Eventuell um Fehler zu finden, aber eben auch um herauszufinden, wie viele Daten und Dateien geladen werden, und woher sie stammen.

Eine kleine Auswahl von Themes mit lokal hostbaren Google-Fonts ist in diesem Beitrag bereits angeführt. Seit Version 3.6.0 hat auch das Theme Astra seine Features um selbst gehostete Google Fonts erweitert. Wer danach bewusst sucht, wird sicher noch zahlreiche weitere finden, und es werden immer mehr.