Froschbauer: EU-Datenschutzregeln mit Google Fonts Quatsch?

Ist es eigentlich nicht voll quatschig, dass ich Google Fonts nicht einfach so in meiner Seite einbinden kann? Natürlich macht der Browser den Request zu Google, bevor die Seite fertig geladen hat – aber der Browser könnte auch nachfragen und fertig, wenn der Nutzer das unbedingt will. Wenn ich nur die HTML-Seite herunterlade (wget etc.), werden die Google Fonts ja auch nicht heruntergeladen.

  1. Servus!

    Ist es eigentlich nicht voll quatschig, dass ich Google Fonts nicht einfach so in meiner Seite einbinden kann?

    Doch. Kannst du. Google zeigt, wie du das mit einem Einzeiler erledigen kannst. Und dann sammeln sie die Daten (Ursprünglich hatten die Browser Fonts gecacht; mittlerweile holen sie sich die immer wieder neu - ein Schelm, wer Böses denkt?).

    Natürlich macht der Browser den Request zu Google, bevor die Seite fertig geladen hat – aber der Browser könnte auch nachfragen und fertig, wenn der Nutzer das unbedingt will.

    Da der Browser das bei 3rd Party Content leider nicht tut, ist es eben verpönt dies zu tun, ohne es in seiner Datenschutzerklärung zu erwähnen und das Einverständnis der Besucher einzuholen.

    Wenn ich nur die HTML-Seite herunterlade (wget etc.), werden die Google Fonts ja auch nicht heruntergeladen.

    Sei mal ehrlich: wie viele % der Nutzer surfen so?

    Der ganze Beitrag war doch eher nur Provokation, oder? Aber vielen Dank für Deine Bearbeitungen im Wiki!

    Herzliche Grüße

    Matthias Scharwies

    --
    Das wirksamste Mittel gegen Sonnenbrand
    ist Urlaub am Ostseestrand!
    1. Doch. Kannst du. Google zeigt, wie du das mit einem Einzeiler erledigen kannst. Und dann sammeln sie die Daten (Ursprünglich hatten die Browser Fonts gecacht; mittlerweile holen sie sich die immer wieder neu - ein Schelm, wer Böses denkt?).

      Kann ich technisch, aber ich meine natürlich, dass ich es nicht einfach so darf.

      Da der Browser das bei 3rd Party Content leider nicht tut

      Eben, aber die Hersteller könnten doch machen, dass er in den Einstellungen einstellen lässt, ob man fremde Inhalte ohne Nachfrage einbinden will oder ob der Browser immer zeigen soll: „Hallo, diese Website will von der und der Seite was einbinden, ist das okay?“ und erst, wenn der Nutzer akzeptiert oder ablehnt, wird die Seite weiter geladen und gerendert.

      Sei mal ehrlich: wie viele % der Nutzer surfen so?

      Darum geht es gar nicht; es geht nur darum, dass es technisch möglich wäre, dass der Browser selbst nachfragt, statt dass die Website selber das Einverständnis einholen muss.

      Der ganze Beitrag war doch eher nur Provokation, oder?

      An wen?

      Aber vielen Dank für Deine Bearbeitungen im Wiki!

      Bitte sehr, wenn Du mir für ein einziges hinzugefügtes Anführungszeichen zu danken hast?!

      So, es wäre doch so schön, wenn ich einfach Bootstrap von cdn.jsdelivr holen könnte und fertig, ohne vorher auf einer (hässlichen? da bs noch nicht geladen ist) Seite ein Einverständnis zu holen. Z.B. für Installerskripte, die nur aus einer PHP-Datei bestehen sollen, wäre das doch mal toll.

      1. Aloha ;)

        Darum geht es gar nicht; es geht nur darum, dass es technisch möglich wäre, dass der Browser selbst nachfragt, statt dass die Website selber das Einverständnis einholen muss.

        Ich verstehe deinen Gedanken - und du hast Recht, die DSGVO nimmt hier eine Verantwortungsverschiebung vor. Ich denke du hast prinzipiell Recht damit, dass es eigentlich die Verantwortung der Clientsoftware wäre, sicherzustellen, dass sie im Sinne des Useres handelt bevor sie Requests abschickt - und nicht die Verantwortung der Seitenbetreiber, der Clientsoftware keine Inhalte zum Nahladen anzubieten.

        Das kann man mit Fug und Recht so sehen.

        Die Entscheidung, das anders zu sehen und die Rechtslage daher anders zu legen hat - meiner Einschätzung nach - aber gute Gründe.

        Zwei wesentliche Gedanken sind dabei vermutlich Anwenderfreundlichkeit und Verhältnismäßigkeit.

        Würde man Browser zwingen, Inhalte von Fremddomains defaultmäßig nicht mehr zu laden, so bedeutet das zunächst mal eine miese User Experience - weil im Zweifel viele Seiten dann aus Anwendersicht auf einmal nicht mehr funktionieren. Das schafft Anreize, eine "Generalzustimmung" zum Laden jeglicher Drittinhalte zu geben (vergleichbar mit dem, was grad mit "Drittanbietercookies" der Fall ist), was letztlich der Intention des Datenschutzes dann wieder schadet. Das will also keiner. Lässt man so eine generelle Zustimmung gesetzlich nicht zu und reguliert das so, dass die Zustimmung einzeln erteilt werden muss, endet das Ganze bei einer wilden Klickorgie (aus Anwendersicht noch schlimmer als die aktuell wegzuklickenden Cookie-Banner). Wer schonmal uMatrix oder ähnliche Browserplugins ausprobiert hat, die genau sowas machen, kennt die Schmerzen, die damit einhergehen.

        Verschiebt man die Verantwortung stattdessen auf die Seitenbetreiber, so wie das gesetzlich gemacht wurde, ist das ein viel geringerer Eingriff (Verhältnismäßigkeit). Tatsächlich ist es ja so, dass man in der Regel als Seitenbetreiber seinen Content eben nicht von cdnsowieso laden lassen muss, sondern selbst hosten kann, oder ggf. sogar nur die Requests auf cdnsoundso über den eigenen Server schleifen müsste, um völlig DSGVO-konform weiterzumachen. Würde jeder das so machen wäre nirgends ein Consent-Banner nötig, die User Experience wäre um Welten besser und die konkrete Anforderung an Seitenbetreiber, um das zu erreichen, ist wirklich überschaubar. Dass sich Seitenbetreiber bedauerlicherweise massenhaft entscheiden, sich lieber zig Einwilligungen zu holen und die User damit zu nerven ist eine Entscheidung der Seitenbetreiber für Bequemlichkeit, für Tracking und gegen ihre User.

        Deshalb ja, ich stimme dir zu, dass hier gesetzlich eine Verantwortungsverschiebung stattgefunden hat, aber nein, ich halte diese nicht für quatschig - sondern für eine im Sinne der Anwender (es geht ja gerade um Verbraucherschutz) sehr sinnvolle und auch durchaus verhältnismäßige Maßnahme zur Verbesserung des Datenschutzes.

        Grüße,

        RIDER

        --
        Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Albers-Zoller
        # Twitter # Steam # YouTube # Self-Wiki # Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
        1. oder ggf. sogar nur die Requests auf cdnsoundso über den eigenen Server schleifen müsste

          Darf ich in einem Install-Skript, welches eine von mir programmierte Software wie ein CMS oder etc. automatisch herunterlädt und entpackt, vielleicht <link rel="stylesheet" href="?css" machen und dann sowas wie if (isset($_GET["css"])) {echo file_get_contents("cdn.jsdelivr.etc");}? Dann wird natürlich die IP des Servers an den CDN weitergegeben…

          Und wie ist das eigentlich, wenn ich außerhalb der EU sitze, eine Website für Open-Source-Software betreibe und da CDNs einbinde, aber eben keine Geschäfte mit europäischen Kunden mache, sondern alles kostenlos bereitstelle? Und dann ein europäischer Besucher meine Seite besucht?

          1. Hallo Froschbauer,

            wenn Du deinen Server als Proxy verwendest, kannst Du machen was Du willst. Der Besucher wird davon nicht berührt.

            Auf europa.eu steht: Die Datenschutz-Grundverordnung gilt nicht, wenn (...) die Verarbeitung durch eine Person erfolgt, die zu einem Zweck handelt, der nicht ihrer gewerblichen, geschäftlichen oder beruflichen Tätigkeit zugerechnet werden kann.

            D.h. in dem von Dir bezeichneten Fall gilt die DSGVO für Dich nicht. Du übst keine geschäftliche Tätigkeit aus. Wie das mit Google aussieht, wenn Du deren Fonts direkt einbindest, ist vermutlich wieder eine andere Sache, denn Datenklau ist deren geschäftliche Tätigkeit.

            Wie ein Serverbetreiber, der die DSGVO missachtet, außerhalb der EU sanktioniert werden kann, habe ich jetzt so schnell nicht herausfinden können. ChatGPT meint, dass es grundsätzlich durchaus möglich ist, die Behörden aber weniger scharf reagieren würden. Weil eine Sanktion internationale Zusammenarbeit braucht.

            Rolf

            --
            sumpsi - posui - obstruxi
            1. wenn Du deinen Server als Proxy verwendest, kannst Du machen was Du willst. Der Besucher wird davon nicht berührt.

              Ja, wenn es mein Server wäre…Es geht aber darum, ein Installationsskript anzubieten, welches Leute auf ihre eigenen Server ziehen können. Und in dem Bootstrap zu verwenden. Da muss ich entweder Bootstrap in die Datei einbetten oder wenn ich das nicht will, kann ich eben einen CDN direkt oder via Proxy mit GET-Parameter an das Skript verwenden. Ich selbst bekomme freilich von der IP der Leute nichts mit. Ist es dann ihre Sache?

              1. Aloha ;)

                Ja, wenn es mein Server wäre…Es geht aber darum, ein Installationsskript anzubieten, welches Leute auf ihre eigenen Server ziehen können.

                Damit bist du nur der Programmierer und nicht der Betreiber des Servers - und damit auch nicht für die DSGVO-Einhaltung verantwortlich. Das ist immer Betreibersache, zumindest im Außenverhältnis.

                Und in dem Bootstrap zu verwenden. Da muss ich entweder Bootstrap in die Datei einbetten oder wenn ich das nicht will, kann ich eben einen CDN direkt oder via Proxy mit GET-Parameter an das Skript verwenden. Ich selbst bekomme freilich von der IP der Leute nichts mit. Ist es dann ihre Sache?

                Ja.

                IANAL, aber die Leute betreiben dann auf ihrem eigenen Server ein Skript, für das sie selbst verantwortlich sind und rufen das dort auch nur selbst auf. Dass du das zur Verfügung stellst ist nett von dir, macht dich aber nicht verantwortlich - du hast ja keinen Vertrag unterschrieben oder irgendwelche Funktionalitäten vertraglich zugesichert.

                Natürlich wärs trotzdem nett von dir, wenn du den Betreibern deiner Software das Tracking ersparen würdest, aber das ist eine moralische, keine rechtliche Frage.

                Grüße,

                RIDER

                --
                Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Albers-Zoller
                # Twitter # Steam # YouTube # Self-Wiki # Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
            2. Aloha ;)

              Die Datenschutz-Grundverordnung gilt nicht, wenn (...) die Verarbeitung durch eine Person erfolgt, die zu einem Zweck handelt, der nicht ihrer gewerblichen, geschäftlichen oder beruflichen Tätigkeit zugerechnet werden kann.

              D.h. in dem von Dir bezeichneten Fall gilt die DSGVO für Dich nicht. Du übst keine geschäftliche Tätigkeit aus.

              Oh-oh, Vorsicht! Nicht-kommerziell heißt nicht zwingend nicht-geschäftlich. Geschäftlich ist ein ziemlich böses, offenes Wort - das war auch schon bei der Impressumspflicht immer wieder ein Knackpunkt. Der Originaltext der DSGVO ist da auch deutlich klarer formuliert. Aus Artikel 2, Absatz 2:

              Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten […] durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten

              Die Formulierung von europa.eu ist also offensichtlich irreführend - und die Website, die Open Source Software verbreitet, mag zwar nicht-kommerziell sein, und vielleicht sogar nicht-gewerblich, aber ob sie nicht-geschäftlich ist... tja. Rein persönlich oder familiär ist das ganze jedenfalls nicht und damit fällt das Angebot in diesem Sinn durchaus unter die DSGVO!

              Ein anderer Ausschlussgrund könnte die Anwendbarkeit von Unionsrecht sein, aber eine Seite, die von einem Unionsbürger betrieben und für Unionsbürger erreichbar ist dürfte da zumindest in der Beweispflicht stehen...

              Grüße,

              RIDER

              --
              Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Albers-Zoller
              # Twitter # Steam # YouTube # Self-Wiki # Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
  2. Ist es eigentlich nicht voll quatschig, dass ich Google Fonts nicht einfach so in meiner Seite einbinden kann?

    Nein.

  3. @@Froschbauer

    aber der Browser könnte auch nachfragen und fertig, wenn der Nutzer das unbedingt will.

    Klar könntest du auch die Seite erst in Systemschriftarten rendern lassen, dann den Nutzer fragen, ob sie sich ausspionieren lassen möchte, und wenn ja, Fonts von Google laden und die Seite nochmal rendern lassen. Aber was wäre das für eine User experience?

    Kwakoni Yiquan

    --
    Ad astra per aspera
    1. Hallo Gunnar,

      könnte man. Aber auch ohne 3rd-Party Cookies spioniert Google einen dann aus (sie würden die nicht aus Chrome entfernen, wenn sie keine anderen Methoden hätten). Deshalb halte ich das Selbsthosten für den einzig sinnvollen Weg.

      Keine Ahnung wie oft Google oder andere Webfont-Anbieter ihre Fonts updaten, aber ich denke, da reicht 1x im Jahr ein Update-Check. Das kann man sich mit PHP oder Bash (je nach Servermöglichkeiten) zusammenscripten, oder macht es auf dem eigenen PC und lädt die Fonts neu hoch, wenn sich was getan hat.

      Man kann nur hoffen, dass WOFF-Dateien ausschließlich Daten enthalten dürfen und keinen Code, der nach Hause telefonieren kann. Oder Links auf externe Ressourcen, die bei Bedarf „freundlicherweise“ nachgeladen werden.

      Rolf

      --
      sumpsi - posui - obstruxi
      1. @@Rolf B

        Aber auch ohne 3rd-Party Cookies spioniert Google einen dann aus

        Wie wollen sie das machen?

        @font-face {
        	font-family: IBM Plex Mono;
        	src: url(https://fonts.gstatic.com/s/ibmplexmono/v4/-F6qfjptAgt5VM-kVkqdyU8n3twJwl1FgsAXHNlYzg.woff2) format("woff2");
        }
        
        :root {
        	font-family: monospace;
        }
        
        :root.consent-given {
        	font-family: IBM Plex Mono, monospace;
        }
        

        Der Webfont IBM Plex Mono wird erst geladen, wenn er verwendet wird, also wenn die Klasse consent-given gesetzt wird (per JavaScript nach Zustimmung durch den Nutzer bzw. serverseitig bei späteren Seitenaufrufen und gesetztem Cookie).

        Codepen

        Kwakoni Yiquan

        --
        Ad astra per aspera
        1. @@Rolf B

          Aber auch ohne 3rd-Party Cookies spioniert Google einen dann aus

          Wie wollen sie das machen?

          Mit der IP.

          1. @@Froschbauer

            Aber auch ohne 3rd-Party Cookies spioniert Google einen dann aus

            Wie wollen sie das machen?

            Mit der IP.

            Und wie soll Google die mitbekommen, wenn gar kein HTTP-Request zu Google gemacht wird?

            (Vorausgesetzt natürlich, man verwendet nicht Googles Browser. Bei Chrome würde ich mir nie sicher sein, was der so alles Böses im Hintergrund macht. Deshalb nutze ich den auch nicht – außer für die CSSBattle und gelegentlich mal zum Testen.)

            Kwakoni Yiquan

            --
            Ad astra per aspera
    2. Der Browser soll nachfragen, bevor die Seite überhaupt fertig geladen wird, nachdem er das Google Fonts-Skript bemerkt hat. Eben damit die User experience gut ist und die Seite nicht selbst ne Einwilligung holen muss.