Google Fonts: Schluss mit der Abmahnwelle – Google informiert über Datenschutz und Datenerfassung
Die Schriftarten-Plattform Google Fonts hat es in den letzten Monaten immer wieder in die Schlagzeilen geschafft, aber nicht wegen der eigenen Leistung, sondern der rundherum rollenden Abmahnwelle. Diese sollte zwar erst einmal gestoppt sein, doch das Grundproblem besteht weiterhin, sodass sich Webmaster mit dem Datenschutz und der Datenerfassung rund um Google Fonts beschäftigen und entsprechend reagieren sollten.
Wir haben hier im Blog bereits über die Abmahnwelle rund um Google Fonts berichtet, die irgendwann so groß wurde, dass Google offiziell darauf reagiert hat und nur wenige Wochen später glücklicherweise die Erpresser festgenommen wurden und sich demnächst vor Gericht verantworten müssen. Das Grundproblem mit Google Fonts bleibt aber bestehen, denn durch die externe Einbindung wird eine Verbindung zu Google-Servern aufgebaut, die die Besucher einer Webseite normalerweise nicht verhindern können.
Webmaster könnten das zwar anders umsetzen und erst nach Zustimmung die Schriften laden, aber in der von Google Fonts angedachten Einbindung ist das nicht vorgesehen. Zwar speichert Google nach eigenen Angaben keine Daten über die Nutzer und löscht die erhaltene IP-Adresse direkt nach der Anfrage, aber allein die Kontaktaufnahme zu den US-Servern reicht je nach Rechtsauffassung schon aus, um einen DSGVO-Verstoß zu verursachen.
Auf einer eigenen Seite informiert Google sehr umfangreich über Datenschutz und die Datenerfassung bei Google Fonts. Hier findet ihr eine kurz kommentierte Zusammenfassung der wichtigsten Informationen, die nicht nur für Webmaster, sondern vielleicht auch für interessierte Endnutzer interessant sind.
Was bedeutet die Verwendung der Google Fonts Web API für den Datenschutz meiner Nutzer?
Die Google Fonts API ist darauf ausgelegt, die Erhebung, Speicherung und Nutzung von Endnutzerdaten auf das zu beschränken, was für eine effiziente Bereitstellung von Schriftarten erforderlich ist. Die Verwendung der Google Fonts Web API ist nicht authentifiziert und die Google Fonts API legt keine Cookies fest oder protokolliert sie. Anfragen an die Google Fonts Web API werden an ressourcenspezifische Domains wie „fonts.googleapis.com“ oder „fonts.gstatic.com“ gesendet. Schriftartenanfragen sind von den an google.com gesendeten Anmeldedaten getrennt und enthalten keine Anmeldedaten, die an google.com gesendet werden, wenn andere authentifizierte Google-Dienste wie Gmail verwendet werden.
Google Fonts werden nicht über die Haupt-Domain google.com abgerufen, sodass die Verbindung zu den Cookies und damit dem Login auf der Haupt-Domain schon einmal deutlich erschwert wäre. Eine Datenzusammenführung gibt es nicht, sodass Google nach eigenen Angaben trotz Login auf der Haupt-Domain nicht weiß, welche Nutzer welche Daten abrufen.
Welche Daten empfängt Google von den Besuchern meiner Website über die Google Fonts Web API in meine Website und warum?
Wenn Endnutzer eine Website besuchen, auf der Google Fonts eingebettet ist, senden ihre Browser HTTP-Anfragen an die Google Fonts Web API. Die Google Fonts Web API stellt den Nutzern die Cascading Style Sheets (CSS) von Google Fonts und danach die in der CCS angegebenen Schriftarten zur Verfügung. Zu diesen HTTP-Anfragen gehören (1) die vom jeweiligen Nutzer für den Zugriff auf das Internet verwendete IP-Adresse, (2) die angeforderte URL auf dem Google-Server und (3) die HTTP-Header, einschließlich des User-Agents, der die Browser- und Betriebssystemversionen der Websitebesucher beschreibt, sowie die Verweis-URL (d.h. die Webseite, auf der die Google-Schriftart angezeigt werden soll).
IP-Adressen werden weder auf Google-Servern protokolliert noch gespeichert und sie werden nicht analysiert.
Google verwendet keine der von Google Fonts erfassten Informationen, um Profile von Endnutzern zu erstellen oder zielgerichtete Anzeigen zu schalten.
Es wird lang und breit erklärt, Google Fonts speichert keine Nutzer-spezifischen Daten. Man erhält lediglich die IP-Adresse und die Browserkennung, wobei die IP-Adresse direkt nach dem Abruf wieder gelöscht wird. Weitere Daten, wie Informationen über den Browser, der Zeitpunkt, der Abruf oder die abgerufene Schriftart werden protokolliert und ausgewertet, sind aber keine Nutzer-spezifischen Daten.
Wenn ich Google Fonts über die Google Fonts Web API in meine Website einbette, speichert oder speichert Google die IP-Adressen meiner Websitebesucher?
Wenn Endnutzer eine Website aufrufen, auf der Google Fonts über die Google Fonts Web API eingebettet ist, erhalten die Server von Google die IP-Adressen der Nutzer als Teil der Netzwerkverbindung zwischen Google und dem Nutzer. Google speichert oder speichert die IP-Adressen nicht und löscht sie nach der Übertragung der Schriftart an den anfordernden Nutzer.
Erneut: Die IP-Adresse als einziger Datenpunkt, der einem Nutzer zugeordnet werden könnte, wird nicht gespeichert und ausgewertet.
Welche Vorteile hat es, über die Google Fonts Web API Google Fonts in meine Website einzubetten?
Sowohl Entwickler als auch Endnutzer haben mehrere Vorteile, wenn sie Webschriftarten auf den Google-Servern hosten. Mit Google Fonts kannst du Websites und anderen digitalen Produkten ganz einfach Persönlichkeit und Leistung verleihen. Mittlerweile profitieren Nutzer von ihren ursprünglichen Vorzügen: Sie können das Internet beschleunigen, indem sie im Browser häufig verwendete Schriftarten auf allen Websites im Cache speichern, auf denen die API eingesetzt wird. Dies gilt nicht mehr. Die API bietet jedoch zusätzliche und wichtige Optimierungen, damit Websites schnell geladen werden und die Schriftarten gut funktionieren.
Damit liefert Google gleich die Lösung für das Problem: Schriftarten lassen sich nicht nur extern über die Google-Server einbinden, sondern auch herunterladen und lokal einbinden, womit jegliche Datenschutzprobleme aus dem Weg geräumt sind. Das damalige Argument, dass eine externe Einbindung wegen des Browser-Cache schneller geladen wird, gilt nicht mehr. Trotz aller Probleme dürfte es Google bevorzugen, wenn die Nutzer die Schriftarten weiterhin extern einbinden.
Aus diesem Grund beschreibt man einige weitere Vorteile und Optimierungen, wenn Schriftarten extern eingebunden werden. Technisch mag das alles korrekt sein, aber bei der heutigen Bandbreite und den unzähligen weiteren Einbindungen und Skripten ist das zu vernachlässigen. Ich würde daher jedem Webmaster empfehlen, Schriftarten nicht mehr extern einzubinden, sondern sich ein paar Minuten Zeit zu nehmen und auf eine lokale Einbindung umzustellen.
» Wear OS: Google feiert großen Erfolg – Neustart hat die Anzahl der Wear OS-Smartwatches verdreifacht
Letzte Aktualisierung am 2024-12-04 / Bilder von der Amazon Product Advertising API / Affiliate Links, vielen Dank für eure Unterstützung!
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
ich finde es löblich, falls google die daten wirklich nicht verwendet. dennoch könnte man und das ist auch der springende punkt. webmaster sollten dienste wie google fonts nicht verwenden oder nur nach ausdrücklichem opt-in aktivieren. abgesehen davon hat es für den seitenbetreiber keinen vorteil – wirklich keinen.
schade, dass das thema von massenabmahnern aufgegriffen wurde. aber nur weil die massenabmahnungen unrecht waren, ändert das nichts daran, dass die verwendung von google fonts gegen die dsgvo verstößt. dabei spielt es auch keine rolle, was google mit den daten macht.
Verstehe den Artikel nicht. Google kann posten und erzählen, was sie wollen — das Nachladen der Schriften von deren Server, ohne Wenn und Aber, ist zustimmungspflichtig. Ende. Das hat das Gericht auch klar gesagt. Gekippt wurde die Art und Weise, wie die Abmahner hier groß Kasse machen wollten, das ändert aber NICHTS daran, dass eine rechtlich saubere Abmahnung weiterhin klar erfolgreich wäre. Die IP des Surfers landet auf einem US-Server, das war’s: Konsenspflicht.
Ich weiss auch nicht, warum einige Blogs auch noch meinen, das verteidigen zu müssen: Genau dafür ist die DSGVO da, dass Google nix davon mitkriegt, wo ich herumsurfe. Das alles ist um so ärgerlicher, als es für den Betreiber eine Sache von Minuten ist, die FOnts auf seinen Server zu kopieren und ganz legal und Konsensfrei Google draussen zu halten. Da habe ich kein Mitleid. Ja, Abmahnung ist ein unschöner Sumpf, aber in diesem Fall kann ich das nicht verstehen, warum man ALLE seine Besucher in denk Google-Orkus kübelt, statt mal eben ganz legal ein paar Dateien zu kopieren.
anstatt so harmlose Abrufe unverhältnismäßig viel Aufmerksamkeit zu schenken sollte man bei den üblichen Verdächtigen lieber mal die 100+ Fingerprinting, AdServices, Tracking Pixel, Persistent Cookies und weiß Gott was durchleuchten – ganz egal ob durch den Besucher zugestimmt oder nicht. Niemand liest oder versteht diese dämlichen Cookie Banner in dem Umfang, der nötig wäre. Und selbst wenn, der Aufwand auf User-Seite ist einfach schwachsinnig. Angenommen ich recherchiere etwas, öffne in 15 Minuten 30 verschiedene Auftritte… soll es wirklich meine Pflicht sein, mich zu informieren und mein OK zu geben oder eben nicht? Abgesehen davon kann man in seinem Browser nicht erst seit gestern jegliche Cookies untersagen. Aber ist ja eh nur ein Teil der an Daten interessierten… Browser Fingerprinting und Co, früher das verdeckte Speichern von persistenten Infos mittels Flash, der ganze Grauzonen Schmutz und Co… ist ja voll um Größenordnungen wichtiger als die blöden Google Fonts. Selbst wenn man bei Font Diensten bleiben würde – was ist denn dann mit Linotype oder Adobe oder oder oder? Höchst lächerlich und einfach hip sich immer bloß auf Google zu stürzen.
also ich habe gerade einen Onlineshop verklagt, der diverse Google Geschichten eingebunden hat. egal was Google da labert, ob die speichern oder nicht, die IP-Adresse darf gar nicht erst an Google übertragen werden, basta.
für die Klage hatte ich das Google Fonts Urteil als Ausgangspunkt verwendet.
ich hoffe es gibt noch schön viele berechtigte Abmahnung und Klagen zu diesem Thema.
Streitwert hat das Gericht in München auf 4000 € festgelegt, finanzielles Risiko ist also überschaubar
ich verstehe dich zwar, aber wenn man. diese Anforderung zuende spinnt, muss man ja schon bereits beim DNS anfangen. du weißt nicht, ob dein Provider aus Gründen als Fallback die Google oder cloudflare dns-server nutzt. eigentlich weißt du nur, was mit deiner Verbindung als Nutzer bis zu deinem Router oder ggf bis zu deinem von Endpunkt passiert
ich finde es übertrieben, Google Fonts mit solchen Geschichten schlecht zu machen. sie haben Performance -technisch wirklich einen Mehrwert. soll doch eine Fundstück die Daten lagern, aber das wird wieder zu lange dauern und zu teuer.