Aktuell werden Briefe von Abmahnanwälten verschickt, die Website-Betreiber im Namen eines Besuchers der Website für die externe Nutzung von Google Fonts kostpflichtig abmahnen. Es geht in der Regel zwar um verhältnismäßig geringe Summen. Dennoch ist es ärgerlich und muss technisch in einem engen Zeitrahmen gelöst werden.
Außerdem vergessen viele, dass Google Fonts meistens nicht die einzigen Ressourcen sind, die von externen Servern geladen werden.
Warum ist die Einbindung externer Ressourcen überhaupt abmahnfähig?
Wenn Sie zum Aufbau Ihrer Seite externe Daten, wie z.B. Schriftarten, einen Kartenausschnitt, ein Video, usw., konnketieren müssen, tut dies nicht ihr Server sondern der Browser (und damit das Gerät) Ihrer Besucher. Mit dem dafür erforderlichen Verbindungsaufbau zu externen Server muss zwangsläufig auch die IP-Adresse des Besuchergerätes mitgeschickt werden.
Laut Europäischen Gerichtshof (EuGH) gelten sowohl statische als auch dynamische IP-Adressen von Webseitenbesucher als personenbezogene Daten im Sinne der DSGVO.
Das implizite Nutzen externer Datenquellen oder Services ist somit zustimmungspflichtig.
Während das Einholen einer Zustimmung bei Einzelkomponenten einer Webseite - wie z.B. die googleMaps-Karte oder das YouTube-Video - noch benutzerfreundlich umsetzbar ist, macht dies bei Schriftarten wenig Sinn bzw. führt zu unerwünschten Darstellungsproblemen wenn der User nicht zustimmt.
Wir empfehlen daher, Schriftarten - soweit sie lizenzfrei sind - lokal auf dem eigenen Webserver abzulegen und dann über TYPOSCRIPT und CSS einzubinden. Übrigens gilt das nicht nur für die Google Webfonts sondern auch für die beliebten awesomefonts, die jede Menge Icons bereit stellen.
Übrigens ist das Verlinken von externen Quellen wie z.B. Social Media Accounts oder direkt zu GoogleMaps selbstverständlich nicht zustimmungspflichtig. Folgt der User einem dieser Links, sind die Betreiber der Zielwebsite selber in der Verantwortung die Seiten DSGVO-kompatibel anzubieten.
Wie finde ich heraus, ob meine Website externe Ressourcen einbindet?
Es ist relativ einfach herauszufinden, ob auf Ihrer Website Google WebFonts (oder andere Ressourcen) eingebunden werden:
Öffnen Sie den Chrome-Browser
Drücken Sie F12 (oder gehen Sie über das Drei-Punkt-Menü rechts oben auf "weitere Tools" und dann auf "Entwicklertools")
Zur besseren Ansicht: Wählen Sie bei den Entwicklertools im Drei-Punkt-Menü unter "Dock side" den Punkt Dock to Bottom (das Tool wird dann unten horizontal angezeigt)
Gehen Sie nun auf die Registerlasche "Network"
Machen Sie hier ein Häckchen unter 3rd-parts requests
Rufen Sie nun Ihre Website im Browser auf
Wenn nun in der darunter liegenden Tabelle Dateinamen auftauchen, werden von der Seite diese als externe Dateien geladen. Es gibt dann mit hoher Wahrscheinlichkeit Handlungsbedarf.
Video: Website auf externe Ressourcen untersuchen
Vorgehen
Was ist nun zu tun, um externe Ressourcen DSGVO-kompatibel auf Ihrer TYPO3 Website einzubinden? Dabei gibt es zwei Herangehensweisen:
1. Externe Ressourcen lokal einbinden
Im Idealfall können Sie extern genutzte Ressourcen lokal auf Ihrem Webserver installieren und von dort einbinden. Hierzu zählen z.B.:
google Webfonts
das CSS-Framework Bootstrap
die JavaScript-Bibliothel jQuery
Insbesondere diese drei Komponenten bieten ein hohes Abmahnrisiko und sollten wenn möglich lokal eingebunden werden.
Tipp: Auf die Reihenfolge achten
Wenn Sie externe Ressourcen wie CSS- oder JavaScript-Dateien lokal einbinden, achten Sie unbedingt darauf, dass die Reihenfolge wie bislang erhalten bleibt. Ansonsten kann es - besonders bei schlecht umgesetzten Websites - zu unerklärlichen Fehlern kommen, die sehr viel Kopfzerbrechen bereiten.
2. Zustimmung von den Besuchern einholen
Zu den Ressourcen, die Sie nicht lokal installieren können oder dürfen gehören beispielsweise:
googleMaps (und alle Karten, die die Maps-API nutzen)
YouTube-Videos
googleAnalytics
SocialMedia-Timelines
Informationen von fremden Services, die üver ein Code-Snippet (meistens mit iframe) eingebunden werden
In diesen Fällen müssen Sie ausdrücklich die Zustimmung des Besuchers einholen (sog. OptIn-Verfahren). In der Regel lässt sich dies über eine Consentbox managen. Für TYPO3 haben wir mit der wacon_cookie_management-Extension ein Modul entwickelt, das genau das macht.
Tipp: Eigene Videos lokal bereit stellen
Die Nutzung von YouTube hat einige Vorteile, insbesondere was die Performance angeht. Es kann sich aber durchaus lohnen, eigene Videos auch lokal bereitzustellen. Erstens benötigen Sie keine Zustimmung des Users. Zweitens werden nützliche Videos im Suchergebnis
