Vor einigen Jahren habe ich mit Wordpress für zwei Kunden die jeweiligen Webseite entwickelt - die Webseiten sind aber nicht auf meinem Web-Server gehostet.

Die Schriften waren nicht auf den Kunden-Server Lokal gespeichert sondern mit den Server von google-font verlinkt.

Da zur Zeit über massive Abmahnungen berichtet wird – ich habe eine selbst letzte Woche bekommen, welche ich nicht zahlen werde –, frage ich mich ob ich die Verantwortung für die Anbindung der Schriften für die Webseiten meinen Kunden trage.
Ich werde sie natürlich darüber informieren, aber ich wollte wissen ob ich für den Fall von einen Abmahnung irgendwelche Verantwortung trage.

Was man nie machen sollte genau wegen solcher Komplikationen.
Abmahnungen weswegen denn? Wegen Verlinkung auf Websites Dritter (wie z.B. Google), ohne in den Datenschutzinformationen darauf hingewiesen und/oder die Erlaubnis des Besuchers der Website erbeten zu haben?

Falls das der Fall ist, ist die im Impressum der Website genannte Person verantwortlich. Der Entwickler der Website ist es nicht, jedenfalls nicht gegenüber dem Abmahner. Ob Dein Kunde dann Schadenersatz von Dir fordert, weiß ich natürlich nicht und ob er das überhaupt kann, hängt von Eurem Vertrag ab.

Es geht hier um die Google Fonts Abmahnwelle:
Man muss genau prüfen wer einem da abgemahnt hat. Es gibt da wohl RAs die es immer mit dem gleichen Textbaustein verschicken, die dürften nach den aktuellen Entscheidungen leer ausgehen.
Solange noch keine Abmahnung da ist sollte man schnellstmöglich seine Seiten prüfen, die Info dazu steckt in den Links zu Heise und Born, siehe oben.

@barbagianniEs ist egal auf welchem Server die Webseiten gehostet werden, es geht um das nachladen der Daten von Google. Aufpassen, da gibt es auch noch die Fallstricke mit Google Maps und deren API!

Die Abmahnung geht immer zuerst an den Betreiber der Webseite, der normalerweise auch im Impressum aufgeführt ist. Ob sich nun dein Kunde seine Auslagen für die Abmahnung oder Gebühren die er an seinen RA zahlen muss wieder von dir holt kommt ganz darauf an welchen Vertrag ihr damals abgeschlossen habt.

ich hatte direkt nach dem Urteil alle meine Kunden angemailt und angeboten, die Goole Fonts lokal einzubinden. Das ist z.B. bei älteren Wordpress Templates teils gar nicht so trivial bzw. durchaus etwas Aufwand.
Von denen, die das damals nicht gemacht haben aus Kostengründen, haben jetzt schon 2 diese Abmahnung über 170 € bekommen. Rechtlich sehe ich mich entlastet durch die Warnung damals. Verträge existieren nicht.

Nein.

Vorerst danke an alle für die Rückmeldung!
Ich habe meinen Kunde darüber Informiert und so bin ich etwas entspannt.
Mit Wordpress und Divi ist nicht ganz easy wie mit Wordpress ohne Divi.
Es sind viele Schritten zu berücksichtigen.
Die Webseiten habe ich nicht gestern gemacht, daher muss ich mich wieder einlesen und sehen wie ich sie zusammenaufgebaut habe. Sollte aber kein Problem sein auch weil DIVI-Support spitze ist und sie mir nach 5 Minuten Chat eine Lösung gezeigt haben.


du schreibst "…nach dem Urteil", was war da los?

Es gab ein Urteil. Dann haben Abmahnanwälte versucht, daraus Kapital zu schlagen. Zum Zeitpunkt der Erstellung deiner Kundenseiten war das kein Thema, also betrifft es dich vom Grundsatz her schon nicht. Bei Verträgen über Wartung und Absicherung kommt es auf die Ausgestaltung an. Wenn ein Kunde garantiert rechtssichere Seiten wünscht und Regress dir gegenüber geltend machen möchte, muss die Rechtssicherheit durch Konsultation eines Fachanwaltes bezahlt werden. Die einfachste Form sind Abo Dienste wie z.B. der It Recht Kanzlei oder eRecht24.

Wordpress Seiten kann man mit PlugIns wie OMGF unkompliziert absichern. Ansonsten händisch.

Wann war denn "vor einigen Jahren"? Welche Datenschutz-Richtlinie war da aktuell? Hast Du einen Auftrag, die Webseiten auch seitdem noch zu betreuen und aktuell zu halten?
Und: jetzt treten alle auf den Google-Fonts rum, weil Google halt ein bekannter "schlechter" Begriff ist. Aber gerade wenn man ein Baukastensystem wie Wordpress verwendet, sollte man sich bewusst sein, dass man je nach Template/Plugin sich noch eine Vielzahl anderer externer Quellen an Bord holt, zu denen ebenso die IP übertragen wird. Nur das verstehen ja nicht mal die abmahnenden Anwälte…

Auch die beiden Anbieter integrieren Services anderer Anbieter ohne Zustimmung des Webseiten-Besuchers. Ergo wird die IP des Besuchers an Externe weiter verbreitet. Und niemand kann mir erzählen, dass z. B. eine "Suchmaschine für die eigene Webseite" zwingend durch einen externen Betreiber zur Verfügung gestellt werden muss. Wenn man deren zusätzliches Know-How in der Verarbeitung von Anfragen nutzen möchte ist die Einbindung wahrscheinlich sinnig, aber es ist nicht zwingend nötig.

Ein Cookie Consent tool gehört natürlich zur Grundausstattung und das wird dort auch so kommuniziert.

Am 1. Februar 2022 gab es auf golem.de (und vielen anderen Seiten) die Meldung über ein Urteil vom Landgericht München (Az. 3 O 17493/20) "Einbindung von Google Fonts ist rechtswidrig".
Das war m.E. das erste rechtsgültige Urteil dazu. Darauf habe ich sofort reagiert und alle Kunden informiert.
Da war die jetzige Abmahnwelle noch nicht absehbar.

Hat nur indirekt mit dem Thema zu tun, aber die Wysiwyg-Seitengestaltungssoftware Sparkle hat in ihrer neuesten Version 4.5.2 einen Abmahnschutz bezüglich Google Fonts integriert. Sämtliche entsprechende Fonts werden in die Seite integriert, so dass es nie zu einem Aufruf von Google-Seiten kommen kann und somit auch ein Verstoß gegen die DSGVO ausgeschlossen ist. Vorbildlich, wie ich finde - wenngleich ich weiß, dass es sich bei Sparkle nicht um eine Software für Profi-Seitenentwickler handelt.

Hollaaa…. Danke für die Hinweise. Das hat mich auch bewegt meine Datenschutzerklärung zu überprüfen. Damals habe ich sie über den Datenschutz-Generator von Th. Schwenke generieren lassen und in meine Seite eingebunden. Zum Glück gabs dort eine Passage:

„Eingesetzte Dienste und Diensteanbieter:
• Google Fonts: Wir binden die Schriftarten ("Google Fonts") des Anbieters Google ein, wobei die Daten der Nutzer allein zu Zwecken der Darstellung der Schriftarten im Browser der Nutzer verwendet werden. Die Einbindung erfolgt auf Grundlage unserer berechtigten Interessen an einer technisch sicheren, wartungsfreien und effizienten Nutzung von Schriftarten, deren einheitlicher Darstellung sowie unter Berücksichtigung möglicher lizenzrechtlicher Restriktionen für deren Einbindung. Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Website: https://fonts.google.com/; Datenschutzerklärung: https://policies.google.com/privacy.“

Das sollte dann ja wohl abgesichert sein, oder was meint ihr?

@slmnbey:
Nein, das reicht nicht. Schon mit Laden der Seite werden Daten zu Google übertragen. Das muss unterbunden werden. Ein Hinweis in der Datenschutzerklärung kommt zu spät.

Nur eine seitenblockierende Consent-Box wäre ausreichend, wo die Fonts bzw. die ganze Seite erst nach Einwilligung des Users geladen wird. D.h. ohne Einwilligung könnte die Seite gar nicht aufgerufen werden.

Hi zusammen, also es geht nicht darum Google Fonts zu benutzen sondern um die Frage, ob - wenn man die Fonts von einem Google Server lädt der Datenschutz gewährleistet ist nach unserem Recht. Natürlich hat dann Goggle die IP und damit auch Ort, Uhrzeit ... ist aber ganz normal, anders gehts nicht. Laut Google-Bedingungen sind die Datenschutzanforderungen gewährleistet. Ob das stimmt weiß ich nicht. Wordpress, Joomla und co bieten per se keine Verbindung zu Webfonts an, das sind meist die Templates und Plugins. Die Webfonts kann man dan aber locker statisch einbinden, da gibts ettliche kostenlose Tools dafür wenn man das nicht händisch machen will.
Die Abmahnerei ist aus meiner sicht ziemlicher blödsinn - hab auch so ein Schreiben bekommen inkl. Screenshot von der Website (was nix sagt) und dem Quelltext (was nix sagt, außer daß man Webfonts einbinden kann aber nicht daß man es tut

Ich denk, wenn, dann bekommt man eine Anzeige aber nicht das Angebot, daß für 170 € alles ok ist. (Darf man dann für den Betrag die Webfonts verwenden für den Betrag?). Für eine Firmenwebsite sind 170 Kleinkram, das ist für mich Spam, mehr nicht.

Was wäre oder ist da mit Fontawsome, Adobefonts ... wer auf seiner Seite einen Google Maps Anfahrtsplan eingebunden hat lädt externe Goggle Fonts so oder so, ob er will oder nicht ...

Nochmals vielen Dank für die Aufklärung. Ich hab jetzt alle Google Fonds rausgeschmissen und sie mit websicheren Schriftarten ersetzt. Morgen kommt bestimmt irgend jemand wieder mit irgendwas anderem Bedenklichem um die Ecke. Ich bin nur sprachlos wie weit diese Bedenkenträgerei noch gehen wird. Macht kein Spaß 👿

Ja, eingebettete Videos von Vimeo oder YouTube.

Einen meiner Kunden ist Filmregisseur, für den ich Ausschnitte seiner Filme über Vimeo eingebettet habe. Das ist der Witz seiner Website, deswegen hat er die. Videos lokal einzubinden ist technisch möglich, aber in der Praxis wg. Latenz und Performance nicht annähernd sinnvoll. Es würde für den Kunden bedeuten, vom Wunsch einer eigenen Website Abstand zu nehmen. Im Jahr 2022.
Nein, macht es nicht. Es ist Irrsinn, Faxgerätmentalität, "Neuland" auf Steroiden.

Es gibt einige gute YT Videos, die sich mit der juristischen Seite dieser Abmahnwelle beschäftigen.

Dieser hier zum Beispiel: oder der:

Der Rat dieser Juristen geht in die Richtung: Nicht zahlen. Der Grund: Geschädigt können nur natürliche Personen sein, nicht aber WebCrawler. Da es sich aber um eine Welle handelt, ist es unglaubwürdig, dass ein Mensch diese tausenden von Websites aufgerufen hat und "Uuups" die Google Fonts Einbettung entdeckt hat. Nein, da hat Jemand mit einem Crawler danach gesucht.

Wer mit einem Crawler danach sucht, tut dies in der Absicht das Rechtssystem zu seinen Gunsten auszubeuten und - guess what - das ist strafbar!

Ich selbst binde grundsätzlich Schriften nur lokal für Kunden ein, nur in einem Fall habe ich eine Ausnahme gemacht, weil es schnell gehen sollte und der Kunde - naja, eine schwierige Zahlungsmoral an den Tag legte. Jetzt hats ihn erwischt.

Ganz schlimm finde ich so Stümperseiten aus WP Themes oder anderen Baukästen wo man das immer gleiche Cookie Consent Plugin an die Kopf geschmissen bekommt. Und dann stellt man fest, dass diese Seiten überhaupt keinen Consent brauchen, weil da wirklich gar nichts einbettet ist, keine Analytics, keine Fonts, keine Twitter oder Facebook Buttons, nix.

Diese Seitenbetreiber vergraulen ihre Besucher/ Kunden von ihrer eigenen Seite mit diesem Scheiß, weil sie es nicht besser wissen und weil "alle" das ja so machen, es also dazu gehört, was es oft eben nicht tut.

"Google Fonts: Wir binden die Schriftarten ("Google Fonts") des Anbieters Google ein, wobei die Daten der Nutzer allein zu Zwecken der Darstellung der Schriftarten im Browser der Nutzer verwendet werden."

Mutige Aussage.

"Die Einbindung erfolgt auf Grundlage unserer berechtigten Interessen an einer technisch sicheren, wartungsfreien und effizienten Nutzung von Schriftarten, deren einheitlicher Darstellung sowie unter Berücksichtigung möglicher lizenzrechtlicher Restriktionen für deren Einbindung."

Die Fonts lassen sich auch einbinden, ohne das bei jedem Seitenaufruf eine Verbindung zu Google aufgebaut wird.

[/quote]
Es gab ein Urteil.
[/quote]

Das Urteil bezog sich aber nur auf den verhandelten Fall und ist nicht allgemein gültig. Wir haben auch ein Schreiben (allerdings von einer Privatperson) aus Bayern erhalten, die von uns eine Einmalzahlung von 100,-€ haben wollte um "die Sache" aus der Welt zu schaffen. Daraufhin habe ich Ihn angeschrieben mit der Bitte uns detailiert mitzuteilen, welcher materieller oder immaterieller Schaden ihm denn durch seinen Besuch auf unserer Internetseite entstanden sei (er bezog sich in seinem Schreiben auf Artikel 82 Nr 1 DSGVO Haftung und Recht auf Schadenersatz) und ihm eine Frist gesetzt uns zu antworten. Eine Antwort ist nie gekommen.

…ich bin kein Anwalt, hab mir aber folgendes zusammengereimt:
Und da wäre ich mir nicht mal so sicher, im Urteil auf dem die ganzen Abmahnungen aktuell beruhen steht:

Und ähnliches gilt wohl für die Haftung des Erstellers der Webseite gegenüber dem Seitenbetreiber, siehe z.B. hier ganz gut erklärt: warum der Ersteller grundsätzlich auch für Datenschutzverstöße haftet, wenn es zum Zeitpunkt der Erstellung schon klar war, dass das gegen geltenden Datenschutz verstößt und das dem Webdesigner qua Beruf zuzumuten ist. Das mit den Google-Fonts fällt also recht wahrscheinlich darunter, die Problematik ist ja bereits länger bekannt.

Bin ich froh, meine alten Web-Sünden aus dem Netz genommen zu haben. Könnte mir nicht ausdenken, was man da heute alles abmahnwürdiges finden würde. Vermutlich fällt der massive Einsatz von Frames und Flash heutzutage unter Körperverletzung. 😁

Es gibt bei WordPress einige Plugins, die die Schriften einfach einbinden. Dann werden die nicht nachgeladen. Das kann man auch überprüfen, indem man seine Seite durch einen online Google fonts checker testen lässt.

Selber erklärst Du, Du bist kein Anwalt, aber was einem Webdesigner an juristischer Expertise zuzumuten ist, das weisst Du ganz genau. Ich erkenne hier ein gewisses Missverhältnis zwischen Expertise in den betreffenden Feldern und Deiner Ansicht.

Qua Beruf ist dem Webdesigner nur Web Design zuzumuten und allein in diesem Feld wachsen die Anforderungen jeden Tag an. Sicher zu stellen, dass die DSGVO in all ihren Nuancen und Ungereimtheiten rechtssicher zur Anwendung kommt, ist nun mal ganz sicher nicht der Job eines Web Designers.

Um ein Projekt DSGVO konform zu gestalten, müsste der Webdesigner dem Kunden gegenüber rechtssichere Auskunft erteilen und für die Rechtssicherheit dieser Auskunft haften, was der Webdesigner nicht leisten kann, weil er eben Webdesigner ist und kein Jurist. Um das zu leisten, bräuchte er eine Rechtsabteilung oder müsste dem Kunden die Anwaltskosten eines externen Juristen in Rechnung stellen. Dies würde sein Angebot derart verteuern, dass er sein Angebot vom Markt nehmen und seine Tätigkeit als Webdesigner einstellen kann. Jedenfalls solange er keine Agentur ist.

Dies wiederum kann nicht im Interesse der DSGVO sein, im Interesse des Staates und erst recht nicht im Interesse der Kunden.

Wusstest Du, dass 75% der User eine Website weg klicken, die länger als 3 Sekunden braucht, um am Start zu sein? Eine Seitenblockierende Warnmeldung ist das beste Rezept um das zu erreichen.

Wusstest Du, dass das Ranking einer Website bei Google davon abhängt, wie lange es dauert, bis der User mit der Seite interagieren kann? Wusstest Du, dass diese Zeitspanne nicht in Sekunden, sondern in Millisekunden gemessen wird? Eine Seitenblockierende Warnmeldung ist die beste Methode, eine Website auf die untersten Plätze einer Suchmaschine zu befördern und sie somit ins Nirvana zu schießen.

@ AE-35

Ich stimme dir im Prinzip voll zu. Leider habe ich keinen tiefen Einblick in das Geschäft eines Webdesigners. Eigentlich müsste dieser am Ende seinem Kunden eine Dokumentation zur Webseite übergeben, die darstellt, welche externen Dienste und Quellen in die Seite eingebunden wurden. Denn dein Argument lässt sich ja auch auf den Juristen anwenden, der wiederum kein Webdesigner ist und einer Seite nicht ansehen kann, was alles juristisch abgeklärt werden muss.

Eben und deswegen ist die DSGVO ein Monstrum!

Wenn eine Firma - ein Start-Up oder ein Konzern - eine App oder Website anbietet, deren Einnahmequelle ganz oder teilweise der Verkauf von Daten ist dann darf die DSGVO gerne zuschlagen. Insbesondere, wenn es durch Account-Erstellung zu einer Dateneingabe des Nutzers kommt. Wenn aber eine Website nicht durch sich selbst ein Geschäftsmodell ist, sondern informativen oder werblichen Zwecken einer Dienstleistung dient - z.B. für einen Klempner - dann ist die DSGVO in ihrer jetzigen Form weder für Juristen, noch für Webentwickler umsetzbar.

Zumal es dabei Grauzonen gibt oder zu geben scheint. In der DSGVO gibt es das "berechtigte Interesse" des Webseitenbetreibers, dass er z.B. eine sanfte Form von Analytics durchführen darf, um zu wissen, ob User seine Inhalte überhaupt zur Kenntnis nehmen. Ein Ladenbesitzer will ja auch wissen, ob die Leute das Regal mit den Kurzwaren überhaupt wahrnehmen und ob es wirklich eine gute Idee ist, die Gondel mit den Trendprodukten im Keller zu verstecken.

Hat eine Fußpflegerin also ein "berechtigtes Interesse" dass durch Einbindung von z.B. Google Maps (würde ich aus anderen Gründen nicht empfehlen, aber diese Gründe wären diskutabel) für ihre Kunden besser auffindbar zu sein? Ich würde sagen: Ja, unbedingt!

Hat ein Filmregisseur oder eine Schlauspielerin ein berechtigtes Interesse durch Einbindung von Vimeo- oder Youtube Videos ihr Angebot zu demonstrieren? Ich würde sagen: Ja, unbedingt!

In der Abwägung, ob durch die Übermittlung einer IP für Schriften, Videos, Maps ein Schaden für User entsteht oder ob durch die DSGVO in ihrer jetzigen Form ein Schaden für Anbieter und User entsteht, geht meine Überzeugung in Richtung Schaden durch DSGVO für Anbieter und User.

Eine IP allein ist noch lange kein persönliches Datum zumal sie i.d.R. auch dynamisch gewechselt wird. Eine IP ist noch kein Tracker. Ein Cookie ist noch kein Profil.

@AE-35:
Völlig klar. Wer wegen Google Fonts eine derartige Box schalten würde dem wäre nicht mehr zu helfen.

Derartige Blocker-Consent-Boxen sind sehr verbreitet bei Seiten, die meist sonst hinter einer Bezahlschranke liegen. Mit Zustimmung gibt man quasi seine komplette Privatspäre für den Besuch auf. Da sind dann Fonts, die evtl. von Google geladen werden, das kleinste Problem.

Jetzt übertreibst Du. Sie ist nervig für Seitenbesucher, aber in der Erstellung sehe ich keine unüberwindlichen Probleme.
Ja, beide haben natürlich ein entsprechendes Interesse, aber da gibt es doch auch gar kein Problem: In den Flächen, in denen Videos oder Maps zu sehen sein werden, steht zunächst eine Zustimmungsbox, die erklärt, dass man, um Videos oder Karten betrachten zu können, zustimmen muss, weil das externe Anbieter sind. Alle Zeitungen etc., die ich abonniert habe, machen das z.B. so. Die Zustimmung wird gespeichert, d.h., dass jemand, der Videos gucken will, ein einziges Mal seine Zustimmung erteilt und dann dauerhaft alle Videos sehen kann. Bei Karten entsprechend. Das ist doch nun wirklich simpel zu lösen.

Bei Schriften liegt der Fall doppelt anders: Erstens müssen die logischerweise schon geladen sein, bevor der Nutzer einen Text sehen kann, in dem steht, dass seine Zustimmung dafür erforderlich ist. Und das geht natürlich nicht. (Zunächst andere Fonts zu verwenden, gibt das totale ästhetische wie technische Chaos.) Zweitens aber ist eine Serververbindung für Fonts doch überhaupt nicht erforderlich. Man kann die Fonts herunterladen und lokal installieren. Das ist seit jeher klar, dass das alle diesbezüglichen Probleme löst. Wer das als Webdesigner nicht weiß und stattdessen auf Google verlinkt, der hat seinen Beruf verfehlt.

So unterschiedlich kann man seine Prioritäten setzen. Ich möchte als User keine Website präsentiert bekommen, wo mich statt Inhalten Zustimmungsboxen begrüßen und ich würde auch keinem Anbieter empfehlen seine Website so zu gestalten, denn das sind absolute Showstopper. Bürokratie statt Experience? Niemals, da bin ich Jobsianer. Technisch ist sowas machbar, aber was ist das für eine User Experience wenn man erstmal klicken und warten muss und es dann oft auch einfach nicht funktioniert, siehe die von Dir genannten Einbettungen in Online Zeitungen. Warum? Weil diese eben auch nicht vorgeladen werden können, sondern erst nach der Zustimmung vom Server abgeholt werden müssen. Hier ist es das gleiche wie mit den Schriften, nur noch schlechter, weil z.B. Videos + Javascript eben noch einen Schluck mehr Zeit braucht.

Und wofür das alles? Dafür, dass einem Prinzip genügt wird, das nur deshalb auf die Menschheit los gelassen wird, weil Funktionäre aus einem bestimmten politischen Milieu sich dann doch nicht mit den eigentlichen Verursachern anlegen können, weil Konzerne schlicht mächtiger sind als Hinterbänkler. Stattdessen überlässt man es schlicht der Resource "Bürger" und "dem Markt" das Problem zu lösen, während der Funktionär auf seiner Hinterbank stolz erklärt, er habe etwa bewirkt. Aber ich schweife ab.

Ich verstehe den Impuls hinter solchen Aussagen, finde sie aber problematisch, denn solche Sprüche sollen andere herabsetzen und diskreditieren und sind nicht hilfreich. Solche Aussagen haben auch immer etwas masturbatorisches, finde ich.

Web Entwickler kommen aus so vielen unterschiedlichen Ecken. Es gibt solche, die Geld damit verdienen, vorprogrammierte Wordpress-Templates zusammen zu klicken und die niemals einen Code Editor benutzt haben, bis zu gewissen jungen React Entwicklern, denen CSS Kenntnisse fehlen und die schlicht nicht wissen, wie man Schriften einbettet. In den Kommentaren hier drüber gibt es einige, deren erste und einzige Reaktion auf das Problem ist, ein Wordpress-Plugin zu suchen. Trotzdem kann Jemand, der nicht weiss, wie man Schriften einbettet, große Fähigkeiten haben, Inhalte fürs Web zu gestalten und präsentationsfähig zu machen und sei es durch klicken auf den Installationsbutton von WP. Das sind Fähigkeiten, die einen beträchtlichen Mehrwert haben. Eine konstruktive, weniger klassifizierende Aussage könnte also lauten:
"Wer das als Webdesigner nicht weiß, sollte es lernen".

Eine IP gilt hierzulande als persönliches Datum, auch eine dynamische IP. Bei letzterer benötigt man noch die Uhrzeit für die Identifikation des Anschlussinhabers. Damit kann man zwar als normaler Bürger keine Personen ausfindig machen, als Staatsbehörde aber schon.

Eine IP ist zwar kein Tracker, aber kann dazu genutzt werden. Wenn ich drei Seiten mit Google Fonts aufrufe, weiß Google theoretisch, welche Seiten ich besucht habe. Bin ich bei einem Google-Dienst angemeldet, ist der Personenbezug für Google sogar ein Klacks. Ob sie das machen, steht auf einem anderen Blatt.

Das hat mit Prioritäten Setzen nichts zu tun. Die Rechtslage ist, wie sie sie ist, und man muss ihr genügen.
Wenn Deine Website nur aus Videos besteht, dann hast Du eh was falsch gemacht. Tut sie das nicht, begrüßt der Textinhalt Dich ja, nur das Video noch nicht, und das auch nur beim allerersten Besuch einmal. Wie gesagt, etliche Seiten, die ich aufrufe, machen das so, und ich finde als Nutzer absolut nichts Problematisches daran.

Um das Ganze gefälliger zu machen, kannst Du ja zunächst einen Screenshot aus dem Video anzeigen, vielleicht sogar mit Play-Symbol versehen, und wenn der Nutzer das erste Mal darauf klickt, kommt die Nachfrage, ob es OK ist, mit YouTube verbunden zu werden, danach nicht mehr. Völlig transparent.
Äh – Du weißt, dass die iTunes-AGB, denen Du vor der ersten Nutzung von iTunes zustimmen musst, schon zu einem geflügelten Begriff für das juristische Kleingedruckte avanciert sind?



Und von iTunes siehst Du im Gegensatz zu einer Webseite mit eingebettetem Video vor der Zustimmung gar nichts.
Ich hatte damit nie technische Probleme.
Dann wartet man eben eine Sekunde. Wie schrecklich!

Wenn das Video sooo wichtig ist, dann kann man es, anders als Du behauptest, ja auch selbst hosten; alles, was man dazu braucht, ist ein entsprechend leistungsfähiger Server mit 1-GBit-Anbindung, der kostet ja aber auch nicht die Welt. Und wenn nur ein paar Besucher das Video gleichzeitig sehen wollen, reicht auch eine normale 100-MBit-Anbindung; so mache ich das auf meiner privaten Website, wo die HD-Videos alle lokal gehostet sind und es dennoch nie Probleme gab, sich die online anzusehen.
Es ist nicht das Gleiche, weil man Schriften eben in jedem Fall lokal hosten kann.
Weil es nun einmal rechtliche Grundlagen geben muss, wenn weltweit unübersehbar viele Menschen aufeinandertreffen. Die kann man sicher optimieren, aber im Moment sind sie nun einmal so. Wäre es besser, wenn im Hintergrund beliebig Daten abgesaugt werden, ohne dass es die Nutzer mitbekommen?

Die Cookie-Regelung zum Beispiel finde ich viel schlimmer. Die ist so ausdifferenziert, dass kein Laie durchblickt und aus Zeitgründen kein Fachmann auf jeder Website erneut differenzierte Einstellungen vornimmt. Also wird meist blind auf Alles erlauben oder Alles ablehnen geklickt. Das ist Pseudo, wie die iTunes-Geschäftsbedingungen auch, die sich niemand bei Verstand durchliest. Aber ein einzelner Klick, unter dem sich jeder Nutzer etwas vorstellen kann – nämlich, will ich mit YouTube verbunden werden oder nicht? –, den finde ich sogar nah am Optimum. Denn es kann und darf nicht sein, dass ich die Website xyz.de besuche und schwups, ohne dass ich das ahnen kann oder will, sofort mit YouTube verbunden werde, auch wenn ich diese Website prinzipiell meiden möchte.
Und zwar mit Recht, wenn sie ihr Handwerkszeug nicht beherrschen.
Doch, sie trennen die Spreu vom Weizen. Wenn Freunde oder Bekannte von mir aus Unkenntnis auf jemanden hereinzufallen drohten, der sein Handwerkszeug nicht beherrscht, und ich bekomme das mit, würde ich sofort einschreiten und warnen.
Ich kann nur wiederholen, wenn solche Leute sich als Webdesigner bezeichnen würden, wäre das Hochstapelei. Ich selbst habe nicht das Geringste mit Webdesign als Dienstleistung zu tun, ich mache das nur privat für meine eigene kleine Website. Wenn ich das in Nullkommanix schaffe, Fonts lokal via CSS einzubinden, dann kann man wohl den Anspruch an Menschen, die sich als Webdesigner bezeichnen, stellen, dass sie das auch können.

Ich auch nicht. Geht einfach, sollte jeder Webseitenwickler, der Geld für seine Werke nimmt, mittlerweile aus dem Ärmel schütteln: Googlefonts auf der Website hosten.

Das weiß ich nur zu gut. Aber da, wo man die Know How zum Webseiten erstellen bekommt, da bekommt man auch die Infos, dass Google-Fonts nur unproblematisch sind, wenn Du sie lokal vorhälst.
Nein.
Und damit sollte man dann schon auch etwas Verantwortung übernehmen.
Es würde reichen, dass man dem Kunden offenbart, ich bin neu in dem Metier, ich kenne mich nicht aus mit den rechtlichen Dingen, das muss noch wer anderes prüfen.

Ansonsten zahlt man halt mal 100,- Lehrgeld.
genau, so täte ich das auch, bei WordPress.
Genau, aber so lese ich Weja

Ich würde gerne mal einen anderen Aspekt betrachten. Obwohl ich Weia zustimme wenn er sagt das man sich an gesetzliche Vorgaben halten soll.

Aber hier ist es doch zum Teil etwas anderes. Ein Landgericht in Bayern hat ein Urteil gefällt, dass aus meiner Sicht nicht richtig ist. Soweit ich weiß ist das BGH Urteil gegen einen Webhoster ergangen und nicht gegen eine Privatperson. Ein Webhoster kann die IP-Adresse einem Anschluss zuordnen, dies ist bei einem Privatanwender nicht der Fall.
Der EuGH hat so geurteilt.
----------------------------
Danach kann eine dynamische IP-Adresse für den Website-Betreiber ein personenbezogenes Datum darstellen, wenn der Betreiber über "rechtliche Mittel" verfügt, mit deren Hilfe er die betroffene Person bestimmen bzw. bestimmen lassen kann.
----------------------------
Das trifft auf so gut wie keinen keinen Webdesigner zu. Und auch das stimmt im Zweifelsfall nicht. Wenn mein Auto geblitzt wird muss ich auch nicht am Steuer gesessen haben. Aber daran sieht man wie schwer sich die Juristen mit dem Internet tun.

Also nach dem Urteil des EuGH betrifft uns die Weiterleitung der IP-Adressen nicht.

Jetzt aber zu den Abmahnungen. Ich habe zwei Abmahnungen von zwei unterschiedlichen Anwälten erhalten.
Ich habe von den Anwälten einige Informationen gefordert, danach war Ruhe.
- Vollmacht im Original
Hat der Anwalt normalerweise nicht, da er massenhaft abmahnt und keine Vollmacht für den konkreten Fall hat.
- Adresse des Abmahnenden um ihn anzuzeigen.
- Eidesstattliche Erklärung, dass der Abmahnende nicht Google als Suchmaschine verwendet.
Sonst hat Google die IP-Adresse schon und es ist kein weiterer Schaden entstanden.
- Juristisch eindeutiger Beweis dafür das die Fonts nicht von einem Cache des Providers geladen wurden.
und so weiter uns so fort. Hat echt Spaß gemacht.

Leider haben mein Nachfragen bei der Polizei ergeben, dass sich Ansprüche aus missbräuchlicher Abmahnung zur zivilrechtlich durchsetzen lassen. Eine Onlineanzeige ist somit nicht möglich und die Anzeige etwas aufwendiger. Schwarzfahren ist eine Straftat, aber so was nicht???

Dann habe ich eine Beschwerde an die Anwaltskammern geschrieben, da die Anwälte die Adressen ihrer Mandanten nicht herausgegeben haben. Dieses Verhalten entspricht nicht der Ethik des Juristen. Ich denke mit dem Schreiben an die Anwaltskammer kann man diesen Rechtsverdreher man meisten schaden.

Auch so, vielleicht sollte ich auch noch erwähnen, dass es eine missbräuchliche Abmahnung gibt. Das Oberlandesgericht Frankfurt hat ein entsprechendes Urteil gesprochen. Die Urteile auf die sich die Abmahnung bezog waren alle aus der ersten Instanz. Insofern ist ein Urteil eines Oberlandesgerichtes doch schon etwas wert.

Gruß Berthold

Mit "qua Beruf zuzumuten" ist gemeint, dass man kein Anwalt sein muss, um zu wissen, dass Google Fonts geladen von Google Servern, nicht DSGVO-konform einzubinden sind. Das kann man sicher auch einem Webdesigner zumuten. Das ist im Kern auch die Aussage in dem von mir verlinkten Video; dort erklärt es ein Volljurist im Detail.
Und das musst du vielleicht nicht als Designer, aber wenn du jemandem eine Webseite als Komplettpaket verkaufst, dann gehört eben auch das zu deinen Aufgaben, das ergibt sich, und das hab ich jetzt extra nachgeschlagen, unter anderem aus "BGB § 633 Sach- und Rechtsmangel"  — 
Und was wir uns wünschen oder was Du alles gut fändest (z.B.IP ist kein personenbezogenes Datum) , ist zwar sicher gut gemeint und auch nachvollziehbar, aber leider rechtlich vorerst ohne Belang.
Und es spricht ja nichts dagegen, wenn man mit seinen Kunden vereinbart, dass sie jemanden der in der Sache fit ist, noch mal über die Webseite schauen lassen.
Wenn Du das aber nicht vereinbarst, dann ist es rein rechtlich gesehen zunächst Deine Verantwortung, als Ersteller der Webseite ein Werk abzuliefern, welches keine Rechte von Dritten verletzt.

Viele Grüße

Wir sind selber Designer und Ersteller von Webseiten (keine Baukastensysteme): wenn wir einem Kunden eine Webseite anbieten, dann achten wir auf die Einhaltung der aktuellen rechtlichen Gegebenheiten.

Das ist auch wirklich jedem Beteiligten zuzumuten. Designer müssen sich um Bildrechte, Texter um Urheberrechte (z. B. bei Zitaten etc.) kümmern. Und Programmierer müssen sich eben auch um Lizenzen – z. B. für Plugins – als auch alles, was die DSGVO betrifft, informieren.

Zu behaupten, dass liegt außerhalb der Kompetenz eines Programmierers – falsch!
Man muss nur zwei Sachen beachten:
a) Alles was lokal eingebunden werden kann (Fonts, CSS/JS-Bibliotheken etc.) gehört lokal eingebunden.
b) Keine Kommunikation mit Hosting-Anbieter-fremden Servern, bevor der Besucher nicht zugestimmt hat.

Wenn ein Programmierer bei (a) oder (b) Schwierigkeiten hat, sollte er sich entweder fortbilden oder fremde Hilfe mit an Bord nehmen.

Danke Berthold, ein toller Kommentar!

Aussagen wie "selbst schuld, das sollte man schon wissen" halte ich bei dem Thema für problematisch. Manche Urteile über die Jahre waren nicht immer nachvollziehbar oder auch widersprüchlich. Manches bekommt man nicht gleich mit. Und es gab auch eine Phase, in der war das unkritische hinzuklicken von GoogleFonts regelrecht ein Verkaufsargument der Template- und CMS-Entwickler. Hat man also noch alle Seiten auf dem Schirm, die man vor vier/fünf Jahren aufgesetzt hat?

Ich warte eigentlich noch auf Urteile zu den CookieConsents selbst. Für mein Verständnis sind all die hinzugeklickten und von Fremdservern eingebunden Dienstleistungen zu den Cookies per se fragwürdig. Fremdserver loggen und speichern im Namen des Seitenbetreibers – wer hat da z.b. alles einen individuellen Datenverarbeitungsvertrag abgeschlossen, ausser Abos mit monatlichen Gebühren? Eigentlich ist das Prozedere auch nur sauber auf dem Webspace der Website selbst zu lösen.

Die ganze Cookie- und externe Bibliotheks-Zuladungsmisere gehört in meinen Augen in die Browserverwaltung, mit einer ordentlichen GUI und Transparenz und über die Domains hinweg, damit die unsägliche Individual-Fragerei mal wieder zurückgefahren werden kann.

Und die Möglichkeit, immer noch eine Abmahn-Welle reiten zu können, ärgert mich auch hier wieder – selbst bei einem fachlich eventuell begründbaren Fehler des Hostings. Denn das kann keiner ernsthaft bestreiten, dass es bei den Aufkommen an Abmahnungen immer nur ums Verdienen geht und nicht ums Verbessern. Da hat die Politik zwar im Laufe der Zeit etwas reagiert, aber es ist offensichtlich, dass sie dem ganzen eben nicht Einhalt gebieten wollte. Wenn es einem "Mitbewerber" so von Interesse wäre, dass ich etwas im Seitenaufbau ändere, dann möge er unentgeltlich verwarnen mit Fristsetzung, ansonsten soll er es lassen. Halt stopp, dann rentiert sich das ja nicht mehr …

Weniger Destruktivität, mehr Empathie – und eine Forderung an die Browser-Entwickler, ein System zu entwicklen, das den ganzen Wahnsinn wieder ein wenig eindämmt. Das wäre fein.

Wenn man Webseiten anbietet, sollte man das am Schirm haben. Punkt. Wenn sich die Rechtslage ändert, muss man seine Verträge prüfen und es würde zum guten Ton gehören, den damaligen Auftraggeber anzusprechen. Da trennt sich halt der Gelegenheits-Webseitenbastler vom Profi - das ist nicht abwertend gegenüber dem TE - aber irgendwo ist halt ein Unterschied ...

Also an Google, sie mögen sich ihr Geschäft kaputt machen…

@mateteetasse
Blöd ist halt, dass sich erst was tut, wenn die ersten Abmahnungen kommen.
Vorher war ein fröhliches Schulterzucken und das war auch zum Kotzen.

Ich glaube, über die Frage der Einbettung von Schriften sind wir seit einigen Seiten hinaus. Sollte es jetzt doch noch Jemanden geben, der seine Kompetenz bzgl. dieser Frage demonstrieren möchte, der sollte das unbedingt noch schnell tun.

Danke Statler_RGBG für deinen eben genau diesen empathischen Kommentar.
Mögen alle, aber wirklich alle sich an dich wenden, damit sie für die Zukunft in rechtlichen und technischen Fragen absolut perfekte und wasserdichte Webseiten erhalten. Punkt.
Und dein Kommentar war genau das mit dem Hinweis auf "die Profis": abwertend.

Ebenso an Dings:
Ich sehe es so, dass es hier kein "fröhliches Schulterzucken, das zum Kotzen war" gab, denn das unterstellt einfach eine Böswilligkeit diesbezüglich. Und ich bin der Meinung, dass es noch andere Wege geben sollte, das ganze zu Verbessern, als das einem Verein über Massenabmahnungen zu überlassen, der über seine Website selbst in meinen Augen nur vorspielt, ein öffentliches Interesse auszuüben.

Das ist doch leider die Realität die hier von Statler_RGBG angesprochen fühlt. Selbst oft genug erlebt, da wird etwas hübsches vom "Designer/Künstler/...." an den Kunden verkauft und dahinter klaffen Sicherheitslücken ohne Ende und der Kunde weiß nichts davon da er weder rechtlich noch technisch sich mit der Materie auskennt. Dann kommt das Böse erwachen. Der Kunde ist der Meinung wenn alles funktioniert wird das schon in Ordnung sein. Leider eine totale Fehleinschätzung und woher will der Kunde dies auch wissen, wenn er keine neutrale Betrachtung von einem unabhängigen Dritten bekommt. Wer sich mit der Thematik nicht beschäftigt ist da komplett überfordert.

Eine Webseite die dementsprechend erstellt wurde und alle Aspekte umgesetzt werden, technische Sicherheit, rechtliche Absicherung, Design und Wartung kostet halt dementsprechend, da für jeden Bereich jemand vom Fach angestellt ist. Das kann eine einzelne Person selten vernünftig abdecken.

Das betrifft aber noch ganz andere Website-Themen als die externe Font-Einbindung und spannt den Bogen noch viel weiter.
Wir sind hier ja auch nicht im Widerspruch, dass es ganz viele Punkte zu beachten gibt.
Aber Statler_RGBG ist sich wohl ganz sicher, immer alles richtig zu machen, weil er es ja so professionell macht.
Zumindest las ich aus seinem Kommentar dieses Quentchen überheblicher(?) Sicherheit, die ich aufgrund unserer Gerichtsurteile zum Digitalen und unseres Abmahnrechts für nicht angebracht halte.

@mateteetasse

Gefällt mir sehr was Du sagst und wie Du es tust.

Du liest bzw. interpretierst in den Kommentar persönliche Ansichten und liest etwas zwischen den Zeilen das er so überhaupt nicht geschrieben hat. Du kannst bei diesem Text jederzeit die Bausteine durch andere Berufsgruppen ersetzen. Ob er tatsächlich selbst Webseiten erstellt oder nicht ist hier total irrelevant.

Ich kann auch völlig verstehen, dass hier einige frustriert sind, wollte auch niemandem auf den Schlips treten.
Gerade als Einzelkämpfer hat man da sicher viele Hürden zu überwinden.

Aber so wie man eben ordentliche Buchführung und eine Steuererklärung machen muss, obwohl man als Webdesigner kein Buchhalter ist, so muss man halt auch den Datenschutz ordentlich umsetzen — oder das Ganze auslagern. Macht man mit dem Steuerberater ja auch so.

Aber: in der Regel gibt es eine ganz einfache, wenn auch nicht so komfortable Lösung für die meisten Probleme: man kann Web Fonts lokal hosten, man kann externe Videos erst nach Zustimmung via Klick nachladen, man kann Posts von Instagram oder Tweets ebenso erst nach Bestätigung laden — beim Spiegel ist das finde ich vorbildlich umgesetzt.

Das Hauptproblem ist finde ich auch, dass das z.B. diese ganzen WordPress-Plugins und Themes eher zögerlich oder gar nicht umsetzen und die meisten Leute halt installieren, was gerade ihr Problem löst.

Als generelle Lösung, sollte finde ich eine Option in die Browser wandern: Wer nicht möchte, dass externe Ressourcen nachgeladen werden, der kann eben ein Häkchen setzen und wird beim Besuch der Seite gefragt, ob Inhalte von z.B. Google.com (nur auf dieser Webseite, immer oder nie) nachgeladen werden dürfen. Und wer sich daran nicht stört, der surft ganz normal weiter wie in den guten alten Zeiten.

Oder man schickt eben den Traffic zu Third Parties automatisch durch einen VPN-Service, ähnlich iCloud-Private Relay, diesem muss man zwar auch wieder vertrauen, aber man kann es wenigstens selbst entscheiden.

Natürlich kann man das alles technisch lösen, aber darum geht es doch nicht. Es geht doch darum, dass das Web als ein System gedacht war, das eine niedrige Schwelle zur Teilnahme daran haben sollte. Im Sinne von "…for the rest of us". Diese Gleichgültigkeit gegenüber bürokratische Hürden die die DSGVO bedeutet oder gar die Begeisterung dafür, teile ich nicht. Vor allem deshalb nicht, weil die wirklichen Verursacher und Profiteure von Datenhandel davon 0 betroffen sind. Ich zögere die nach Stammtisch klingende Aussage zu treffen, "Es trifft wieder nur die Kleinen", aber eigentlich ist es so.

Dazu kommt, dass die DSGVO nicht klar und eindeutig formuliert ist bzw. einfach gedeutet werden kann. Diese Abmahnwelle aufgrund eines Urteils ist der Beweis dafür. Bisher waren Google Fonts kein Problem, jetzt sind sie es. Nochmal: Ich selbst habe Fonts sowieso immer lokal eingebunden, obwohl die Halbgötter der Branche einen dafür mitleidig belächeln und auf die Performance über CDN hinweisen.

Es geht aber eben nicht nur ein paar Fonts und Maps. Was ist denn mit Vue.js oder Alpine.js oder petit-vue.js o.Ä das man per Link von einem CDN in seine Seite einbindet? Ist das gleiche wie mit Fonts, nur nicht von Google sondern von einer anderen Quelle. Das gute alte JQuery das per Link von MDN eingebettet werden kann? Plugin Anbieter für Wordpress laden das gerne mal vom CDN einfach in die Site, ohne dass der Laie oder der Themes-Zusammen-Klicker davon etwas weiss. MDN, UNPKG alles in unsicherem Drittstaat, den USA.

Die ganze Serverless Sache - Serverless Functions, Edge Computing, Cloudflare Workers, Cloudinary Images? Alles sind alles CDN Dienste wie Google Fonts.

Der einzige Grund, warum es dafür bisher keine Abmahnungen hagelt ist, dass es zu technisch für den gemeinen Abmahngangster ist, aber streng genommen DSGVO Verstoß. Oder? Welcher der Experten, die hier erklären die DSGVO wäre gaaanz einfach umzusetzen hält dagegen?

Dazu gehört für mich als Nutzer aber, dass ich, wenn ich arglos kleineseiteausdeutschland.de aufrufe, nicht automatisch auch mit einem USA-Medienmoloch verbunden werden will, ohne gefragt zu werden. Während Experten das verhindern können, kann es “the rest of us” nicht. Die mit einem einzigen einmaligen Mausklick zu erledigenden Warnungen vor externen Video-etc.-Weiterleitungen begrüße ich als Nutzer daher ausdrücklich.
Das stimmt nicht. Jeder, der die DSGVO zur Kenntnis genommen hat, wusste von Anbeginn an, dass die externe Einbindung von Fonts nicht geht. Ich persönlich habe mich gewundert, wie lange es gedauert hat, bis die Abmahnungen losgingen. Aber erneut: Da gibt es kein Problem. Fonts lokal einbinden, fertig.
Die Lösung ist auch die gleiche wie bei Fonts: lokal hosten, fertig.
Ich nicht, aber wie schon gesagt aus ganz anderem Grund: Die jetzige Cookie-Regelung finde ich völlig praxisfremd und eine Zumutung für den Nutzer.

köstlich. Und die ist sogar nich frei!
Ich auch. Serverless lokal einbinden und fertig? Ah ja.Ach, jetzt plötzlich? Worüber reden wir hier denn die ganze Zeit?