100 Euro Schadensersatz für Google Fonts und andere externe Zugriffe – Mit diesen Plugins verhinderst du das!

100 Euro Schadensersatz für Google FontsSeit Anfang des Jahres gibt es immer wieder Berichte über Schadenersatz-Forderungen an Website-Betreiber. 100 Euro wollen angeblich normale Internet-Nutzer von den Betreibern haben, weil sie Google Fonts und andere externe Services oder API-Zugriffe in ihrer Website drin haben, ohne vorher die Einwilligung des Besuchers einzuholen.

Was es damit auf sich hat, ob diese Schadenersatz-Forderung berechtigt ist und wie du sicherstellen kannst, dass du diesen Ärger nicht bekommst, darum geht es in meinem heutigen Artikel.

Dabei schildere ich meine eigenen Erfahrungen, gebe Plugin-Tipps und schildere meine Vorgehensweise.

Hinweis:
Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden*.

100 Euro Schadenersatz für Google Fonts

Anfang des Jahres gab es ein Urteil des Landgerichts München, in dem es um die Nutzung von Google Fonts in einer Website ging. Die betreffende Website hatte Google Fonts genutzt und diese über Server von Google eingebunden.

Das Gericht sah dadurch einen Datenschutzverstoß, da die IP-Adresse der Nutzer auf diesem Weg an Google übermittelt wurde, wobei das viele Juristen anzweifeln, ob eine dynamisch vergebene IP-Adresse, die zudem nicht so einfach mit einer Person verbunden werden kann (z.B. nur durch eine richterliche Anordnung eine Ermittlung des Nutzers bei den Internet-Zugangsprovidern), überhaupt personenbezogen ist. Leider ist das durch dieses Urteil nun erstmal wieder so festgelegt wurden.

Wie auch immer, der Website-Betreiber wurde zu 100 Euro Schadenersatz verurteilt, die dem Kläger gezahlt werden mussten.

Auf dieses Urteil beziehen sich nun seitdem Privatpersonen und auch Abmahnanwälte, die das deutsche Internet nach Websites durchsuchen, welche Google Fonts, aber auch andere externe Services und APIs ohne vorherige Zustimmung des Nutzern einbinden bzw. überhaupt einbinden.

Google Fonts lauern überall für WordPress-Nutzer

Google Fonts sind sehr beliebt. Früher konnte man als Webdesigner nur auf die Schriftarten zugreifen, die auf dem Rechner des Besuchers installiert waren.

Da gab es nur wenige Schriften, die auf jedem Rechner zu finden waren und auf die man sich als Webdesigner verlassen konnte. Und so sahen die Websites recht langweilige und eintönig aus, was die Schriften betraf.

Das änderte sich mit den Google Fonts. Google stellt auf seinen Servern hunderte Schriftarten kostenlos bereit, die man ganz einfach in eine Website einbinden kann. Ruft der Nutzer so eine Website auf, dann wird die genutzte Schrift von den Google-Servern geladen und der Text sieht im Browser des Nutzer so aus, wie sich das der Webdesigner vorgestellt hat.

Durch die DSGVO, andere Datenschutzverschärfungen und Urteile wurde die Nutzung der Google-Fonts aber immer problematischer, zumindest in Europa. In den USA ist das kein Problem. Und da die meisten Themes und Plugins aus den USA stammen, ist es wenig verwunderlich, dass in vielen davon Google Fonts (über die Google-Server) genutzt werden.

Und so kann es schnell passieren, dass es in der eigenen WordPress-Website auf einmal Google-Server Aufrufe gibt, die man gar nicht mitbekommt und die zu einer Schadensersatzforderung führen können.

Ich bekam eine Mail mit der Forderung nach 100 Euro

Dass es nicht nur um Google Fonts geht, sondern um die ungefragte Einbindung fremder URLs, zeigt meine persönliche Erfahrung.

Vor einigen Tagen bekam ich eine Mail von einem angeblich normalen Internet-Nutzer, der aus Gewohnheit beim Aufruf der Website nischenseiten-guide.de mal nachgeschaut hat, welche externe Dinge da geladen werden.

In seiner Mail war er ganz empört, dass da massenweise Inhalte von selbstaendig-im-netz.de geladen wurden und forderte nun von mir 100 Euro Schadenersatz innerhalb von 4 Wochen. Andernfalls drohte er damit, sich an ein Abmahnanwalt zu wenden.

Wie viele meiner Leser wissen werden, gibt es aber die Website nischenseiten-guide.de seit gut einem Jahr gar nicht mehr. Ich habe diese damals im Zuge des neuen TTDSG eingestellt und die Domain direkt auf selbstaendig-im-netz.de weitergeleitet. Wenn diese Person also wirklich meine Website normal besucht hätte, dann wäre ihr das aufgefallen.

Deshalb gehe ich davon aus, dass hier einfach mit einem Tool oder Script massenweise Domains gescannt wurden und das Tool dann diese Meldung ausgab. Nachgeprüft wurde hier anscheinend auch nicht, sonst wäre der Person aufgefallen, dass es die Website nischenseiten-guide.de gar nicht mehr gibt.

Und so wurde einfach eine von sicher vielen Mails mit der Schadenersatz-Forderung rausgesendet. Das kann man auch an den Kommentaren auf dieser Website erkennen, wo sich viele melden, die ebenfalls so eine Mail bekommen haben.

Schadensersatzforderungen kein Einzelfall

Natürlich habe ich mit meinem Anwalt darüber gesprochen und ihm die Situation geschildert. Ich war mir sicher, dass die Forderung unberechtigt ist, aber ich wollte wissen, wie ich reagieren soll.

Darüber hinaus hat er mir erzählt, dass bei ihm immer wieder Selbstständige, Unternehmen, aber auch Vereine oder sogar Schulen vorsprechen, die solche Mails bekommen haben. Hier werden also anscheinend vor allem Selbstständige oder Institutionen ins Fadenkreuz genommen.

Leider ist es dann auch oft so, dass diese unbewusst Google Fonts von den Google-Servern einbinden oder andere Services und API-Zugriffe ohne vorherige Einwilligung eingebunden haben. Ob man dann zahlt, liegt natürlich in der Entscheidung der jeweiligen Verantwortlichen. Nur weil die Mail-Schreiber mit dem Anwalt drohen, heißt das noch lange nicht, dass sie das dann auch machen. Ihr Ziel ist es ja möglichst ohne Aufwand an Geld zu kommen. Zudem scheint das auch schon wieder eine gewerbsmäßige Masche zu sein und viele haben auch schon deshalb Anzeige erstattet.

So oder so muss man bei der eigenen Website aber sicherstellen, dass keine externen Services, vor allem von US-Unternehmen, wie Google, ohne Einwilligung geladen werden. Und selbst dann sollte man eigentlich alles vermeiden, was nicht zwingend notwendig ist.

Da gehören Google Fonts sicher dazu, denn ich habe ja schon in einem Artikel vor ein paar Jahren beschrieben, wie man Google Fonts lokal auf der Server speichern und einbinden kann.

Prüfe deine Website auf externe Scripte und Google Fonts

Was kann man also tun?

Man sollte die eigene Website intensiv analysieren, ob Google-Fonts (oder auch andere externe Services) eingebunden sind. Google Fonts werden über fonts.gstatic.com oder fonts.googleapis.com eingebunden.

So bieten die Browser Chrome und Firefox jeweils eigene Entwickler-Tools an, mit denen man sehen kann, welche Scripte und externe Inhalte geladen werden. Dazu tippt man im Firefox auf F12 und bekommt die Netzwerkanalyse angezeigt. Lädt man nun die eigene Seite neu, wird aufgelistet, welche URLs von dieser Seite aufgerufen werden. Hier ein Beispiel:

Google Fonts - Anzeige im Browser

Im Chrome-Browser geht das mit der Tastenkombination Strg + Shift + I. Dann gelangt zur Quellcode-Anzeige und links seht ihr dann, von welchen Domains Dinge geladen werden.

Es gibt allerdings auch Online-Tools, mit denen ihr einzelne Seiten eurer Website analysieren könnt. So nutze ich zum Beispiel regelmäßig webbkoll.dataskydd.net. Dieser Service analysiert eine URL und gibt unter anderen an, wenn externe Services oder auch Cookies geladen werden.

Speziell auf Google Fonts spezialisiert sind Tools von e-recht24.de und sicher3.de.

Eine weitere Möglichkeit ist es, in den Dateien der eigenen Website einfach mal nach googleapis.com oder gstatic.com zu suchen. Dazu lädst du einfach deine komplette Website per FTP herunter und suchst z.B. mit dem Tool Text-Crawler in allen Dateien nach diesen Domains. Damit findest du sehr schnell heraus, welche Plugins und Themes diese einbinden.

Laden von Google Fonts mit Plugins unterbinden

Doch wie kann man das Laden der Google Fonts von Google-Servern unterbinden und damit der Forderung nach Schadenersatz entgehen?

Dafür gibt es verschiedene Möglichkeiten. Am einfachsten ist es ein WordPress-Plugin zu nutzen. Das Plugin Autoptimize ist vor allem dafür da, lokale Scripte zu optimieren, so dass sie schneller laden. Aber es gibt auch eine Einstellung, mit der man Google Fonts entfernen kann.

Google Fonts entfernen mit Plugin

Das funktioniert bei mir recht zuverlässig, aber einmal hat es auch nicht geklappt. Du solltest danach also auf jeden Fall prüfen, ob diese Funktion bei deiner Website funktioniert. Vor allem einzelne Unterseiten, auf denen besondere Funktionen (also bestimmte Plugins) eingebunden sind, solltest du checken. Nicht nur die Startseite!

Da damit aber die Google Fonts nur entfernt werden, solltest du diese dann lokal einbinden, wie ich in meinem Artikel erklärt habe.

Alternativ gibt es das Plugin OMGF. Das Plugin nutze ich selbst nicht, aber es sieht sehr spannend aus. Es scannt automatisch die eigene Website und listet alle eingebundenen Google Fonts auf. Diese Aufrufe werden dann automatisch durch die lokale Font-Version ersetzt, wobei es noch mehr Einstellungen und Möglichkeiten gibt.

Auch das Plugin Disable and Remove Google Fonts verspricht, dass die Google-Fonts automatisch lokal geladen werden. Ausprobieren konnte ich es noch nicht.

Ebenfalls einen Blick wert ist der Borlabs Font Blocker. Dieser ist kostenlos nutzbar und stammt von den gleichen Entwicklern, wie das Borlabs Consent-Plugin, welches ich auf vielen meiner Websites nutze. Allerdings muss man dann auch hier manuell die Google Fonts lokal einbinden.

Manche Themes und Plugins erlauben es zudem in den Einstellungen die Google-Fonts zu aktivieren und zu deaktivieren. Das sind aber leider die wenigsten.

Am besten ist es deshalb, wenn man so wenig wie möglich Plugins nutzt, die Google Fonts laden. Denn wenn mal so ein Plugin zum Blocken der Google Fonts nicht mehr funktioniert, dann sind diese wieder alle da und man bekommt es meist erst zu spät mit.

Vorsicht bei Plugin- und Theme-Updates

Viele Plugins und Themes bekommen regelmäßige Updates. Da sollte man ebenfalls vorsichtig sein, denn es kann natürlich sein, dass der Entwickler mit so einem Update Google-Fonts nachträglich einbindet, weil er es für eine sehr gute Idee hält.

Das ist ein weiterer Grund, die automatischen Plugin- und Theme-Updates nicht zu nutzen, sondern immer manuell zu prüfen, was ein Update mitbringt. Das ist in den jeweiligen Update-Notizen beschrieben. Einfach auf “Details der Version XY ansehen” bei dem betreffenden Plugin klicken.

Nach solchen Updates, vor allem des Themes, sollte man jedes mal prüfen, dass keine Google-Server im Quellcode auftauchen.

Einwilligung einholen

Wer externe Services einbindet, wie YouTube-Videos oder anderes, sollte immer eine Einwilligung einholen. Ob es okay ist die Google Fonts über Google-Server zu laden, wenn man vorher eine Einwilligung einholt, kann ich nicht beurteilen.

Aber das sollte man gar nicht darauf ankommen lassen. Zum einen sieht das eigene Layout nicht gut aus, wenn die Einwilligung nicht erteilt wurde, da die Google-Fonts dann mit System-Schriftarten ersetzt werden. Zudem ist es hier eben sehr einfach möglich die Google Fonts lokal zu nutzen, was man auch tun sollte.

Habt ihr schon eine Schadenersatz-Forderung bekommen?

Mich würde nun natürlich sehr interessieren, ob ihr schon solche Mails mit einer Forderung auf Schadenersatz bekommen habt, weil ihr Google-Fonts noch über den Google-Server eingebunden habt?

Peer Wandiger

7 Gedanken zu „100 Euro Schadensersatz für Google Fonts und andere externe Zugriffe – Mit diesen Plugins verhinderst du das!“

  1. Hallo Peer,

    das mit der DSGVO und Co. nervt langsam und scheint mir ein gefundenes Fressen für Anwälte etc. zu sein.
    Bei den Google Fonts habe ich auch das Plugin “Autoptimize” positiv testen können.
    Des Weiteren kann man beim Page Builder “Elementor” die Option in den Einstellungen deaktivieren. Ob das bei “Divi” auch funktioniert, weiß ich leider nicht und wäre eine Info wert.

    VG Ben

    • Divi nutze ich nicht, aber mit Autoptimize habe ich auch gute Erfahrungen gemacht. Man muss halt immer wieder mal die Website testen und nicht einfach irgendwelche Plugins installieren. Es ist schon ärgerlich, dass so ein Urteil gefällt wurde und man das nicht einfach den Datenschutzbehörden überlassen hat. So ist wieder Tür und Tor für Massenabmahner offen. Wobei sich viele auch wehren, wenn es nach gewerblicher Abmahnung aussieht und Anzeige erstatten.

      Es ist eine Farce und macht manchmal echt keinen Spaß mehr. Deutschland halt.

    • Danke für den Hinweis. Ich hoffe, es hilft. Aber eigentlich müsste wohl ein höher angesiedeltes Gericht hier nochmal ein Urteil sprechen, was diesen Anspruch auf die 100 Euro aufhebt. Das ist lächerlich.

      • Da gibt es wohl auch schon eine Einstweilige Verfügung.

        Hier werden einfach niedrige Beträge angesetzt, in der Hoffnung, der Abgemahnte zahlt aus “Bequemlichkeit”, weil die Anwaltskosten den Mahnbetrag übersteigen.

        Bei 10-20% die so einer Abmahnung eine Überweisung folgen lassen, reichen ein paar tausend Schreiben/Mails aus, um satte Gewinne zu machen.

        Im Vergleich zu Abmahnungen wegen Urheberrechtsverletzungen gibt es bei dieser Abmahnwelle meist nicht einmal ein Mandat.

        Das ist versuchte Abzocke.

        Welcher Schaden entsteht dem Anwalt, den er mit hundert oder tausendfach verschickten Abmahnmails auszugleichen versucht?

  2. Heyho,
    ich habe vor einigen Tagen auch meine Seiten soweit abgesichert, dass keine Fonts mehr geladen wurden. Aber es gibt ein Problem: Werbung, die ich über Google Adsense einspiele, lädt weiterhin Google Fonts und das konnte auch kein Plugin verhindern.

    Es würde mich wundern, wenn ich der Einzige bin, der dieses Problem hat?! Aber hat vielleicht auch jemand eine Lösung gefunden? Hatte jetzt erstmal Adsense runtergeschmissen und nach einer Alternative gesucht, aber da merkt man erstmal wie beschränkt die Auswahl an unkomplizierten, seriösen Werbenetzwerken ist. 🙂

    Wäre also toll, wenn jemand vielleicht auch eine Erfahrung mit Lösung hat? 🙂

    • Hallo Erik,
      Google Fonts zu laden ist ja nicht pauschal verboten. Man muss halt vorher eine Einwilligung dafür einholen.

      Und da du für Google AdSense sowieso eine Einwilligung von jedem Besucher einholen musst, holt man in dem Zug dann wohl auch die Einwilligung für die Google Fonts ein, aber da ich AdSense nicht mehr nutze, kann ich im Detail dazu nichts sagen.

      Tschau,
      Peer

Schreibe einen Kommentar