Dynamisch eingebundene Google Fonts nicht DSGVO konform

von | 14/02/2022 | Datenschutz, Onlineshop

…Unterlassungserklärungen und Schadensersatz drohen

Um was geht es?

➔ Google Fonts ist ein Dienst, der eine große Auswahl an sehr hübschen Schriften zur Verfügung stellt, die man z.B. als Schriftart für die eigene Website nutzen kann.

➔ Die Einbindung in die eigene Website kann auf zwei verschiedene Wege stattfinden: 1. dynamisch eingebunden 2. lokal eingebunden

Was ist das Problem?

Auf beiden Wegen wird dem User die ausgewählte Schriftart beim Zugriff auf die Website angezeigt. 

Falls Google Fonts verwendet werden, kann ein Laie nicht auf Anhieb sehen welche der beiden Techniken verwendet wird, es jedoch sehr leicht herausfinden. Als Verantwortlicher sollten Sie auf jeden Fall Ihre Website darauf prüfen.

Bei dynamisch eingebundenen Schriften besteht eine technische Verbindung der jeweiligen Website mit Google. Öffnet ein User die Website, wird dessen IP-Adresse an Google übertragen (Server in den USA), Google lädt daraufhin die angeforderte Schrift nach und sie wird auf dem Display des Users angezeigt.

Da die IP-Adresse ein personenbezogenes Datum darstellt, ist dies definitiv ein Fall in dem die DSGVO Anwendung findet.

Die zweite Möglichkeit der Einbindung hingegen findet lokal auf dem Server der jeweiligen Website statt. Die Schriftdatei wird bei Google heruntergeladen und über das Backend der eigenen Website in die Website integriert.

Öffnet ein User dann die Website, wird die Schrift direkt von dem Server der Seite angefordert und stellt keine Verbindung zu fremden Netzwerken her.

Wie kann man es prüfen?

Die wohl einfachste Art festzustellen, ob eine Website Google Fonts dynamisch einbindet, ist die Analyse über den Webbrowser. Öffnen Sie die jeweilige Website in Ihrem Browser. Im Browsermenü gibt es einen Entwicklermodus, dort finden man „Webinformationen“ – wie es z.B. im Safari-Browser heißt. Wählt man dies an, öffnet sich eine Maske, die für die meisten Laien erst einmal abschreckend wirken dürfte… Wählen Sie „Netzwerk“, hier finden Sie nun eine Reihe URLs, lauten diese immer wie die Hauptdomain, scheinen keine Verbindungen zu anderen Diensten zu bestehen. Finden Sie hier jedoch Google URLs (font.googleapis.com oder fonts.gstatic.com) können Sie von einer dynamischen Einbindung ausgehen. (Falls hier weitere “fremde” URLs zu finden sind, lohnt es sich auch da einen näheren Blick darauf zu werfen)

Wieso werden die Fonts so häufig dynamisch eingesetzt?

Das hat mehrere Gründe.

Websites, die bereits vor der DSGVO entstanden sind, wurden selten nach Geschichtspunkten des Datenschutzes aufgebaut. Es ging viel mehr um die vielen großartigen und oft kostenlosen Möglichkeiten, die durch die Dienste von Google & anderen Anbietern zur Verfügung standen. Das Einbinden der dynamischen Fonts war technisch sehr einfach oder sowieso bereits vorgesehen. Selbst wenn die Website eigentlich ohne Google Fonts erstellt wurde, können durch Einbindung von Funktionserweiterungen (Plugins) Google Fonts oder CDNs nachgeladen werden. Das lokale Einbinden war hingegen eher etwas für Spezialisten und im Vergleich eher aufwendiger.

So hat sich die dynamische Einbindung schnell verbreitet und wurde oft zum Standard, auch heute wird es vielerorts völlig unkritisch gesehen. Wir dürfen hier nicht vergessen, dass das Web global ist und nicht überall das gleiche Datenschutzniveau herscht.

Mit Einführung der DSGVO wurde klar, dass diese dynamische Einbindung im Europa zum Problem werden könnte. Trotzdem gab es für dieses Problem nicht gleich eine einfache Lösung. Nicht alle Web-Entwickler haben Ihre Produkte im Hinblick auf die DSGVO bzw. GDPR optimiert. Viele Website-Betreiber wissen überhaupt nicht, welche Fonts und welche Technik in Ihrer eigenen Website genutzt wird und waren sich somit auch nicht über einen Handlungsbedarf im Klaren. Nichtsdestotrotz liegt es in ihrer Verantwortung.

Wir empfehlen unseren Kunden schon seit Einführung der DSGVO auf dynamische Fonts zu verzichten – Nachteilig war diese Haltung noch in keinem Fall.

Es gab aber auch viele Stimmen, die in der Nutzung der dynamischen Google Fonts ein berechtigtes Interesse gesehen haben. Darum ging es jüngst bei LG München. Hier hatte sich ein Websitebetreiber auf das besagte berechtigte Interesse berufen, um die Google Fonts auf seiner Website einzubinden. Das LG München ist zu dem Urteil gekommen, dass dies nicht zulässig ist (Urteil mit Begründung:  https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/).

Der Kläger konnte einen Unterlassungsanspruch und einen Schadensersatz von 100 Euro erreichen. Wer nun denkt: „ …100 Euro…“ der möge überlegen was es bedeutet, wenn sich da mehrere User einer stark frequentierten Website zu einer Klage zusammen tun würden…

Die Empfehlung geht also klar in die Richtung, dass man die Fonts, sofern man sie nutzen möchte, lokal einbindet.

Wer trotzdem unbedingt dynamisch eingebundene Fonts nutzen möchte, der muss zwingend die Einwilligung des Users einholen. Dies muss selbstverständlich geschehen, bevor die IP-Adresse des Users an Google übermittelt wird.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Der Einsatz von Google Analytics und das Cookie Urteil des EuGH

von | 31/10/2019 | Datenschutz, Onlineshop

Wie letzte Woche bekannt wurde, liegen aktuell verschiedenen Datenschutzbehörden eine große Anzahl an Beschwerden wegen dem Einsatz von Google Analytics vor.

Konkret geht es hierbei um knapp 90.000 Websites, die den Datenschutzbehörden Hamburg und Nordrhein-Westfalen gemeldet wurden, weil diese Websites den Dienst Google Analytics nutzen, ohne die geforderten datenschutzrechtlichen Bestimmungen einzuhalten. [Siehe Artikel…]

Allerdings soll es laut eRecht24 auch Bußgeldandrohungen der Datenschutzbehörden Niedersachsen und Bayern geben, die sich gegen unberechtigtes Tracking richten. 

Anderen Quellen nach, handelt es sich bereits um 200.000 Beschwerden bundesweit.

Um welche Verstöße es sich konkret handelt, ist noch nicht bekannt geworden. Die Möglichkeiten sind vielfältig. Jedoch kann man davon ausgehen, dass auch das Cookie-Urteil des EuGHs vom 01.10.2019 hierbei eine Rolle spielen wird. Hier wurde festgestellt, dass Cookies, die technisch nicht erforderlich sind, eine Einwilligung des Users/Betroffenen erfordern. Hiermit sind explizit Tracking- und Werbe-Cookies gemeint.

Tracking ein berechtigtes Interesse nach Art.6 Abs. 1 lit. f DSGVO?

Bislang wurde von vielen Verantwortlichen zum Thema Tracking mit berechtigtem Interesse nach Art. 6 Abs. 1 lit. f DSGVO argumentiert. Das berechtigte Interesse ist eine Möglichkeit, die Rechtmäßigkeit einer Verarbeitung zu begründen. In diesem Falle wäre eine Einwilligung durch den Nutzer überflüssig. Im Gesetzestext findet sich jedoch die Einschränkung „…sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…“

Der EuGH scheint im Falle der Tracking-Cookies das berechtigte Interesse nicht als gerechtfertigt zu werten, da er eine Einwilligung verlangt. Da wir bereits vor dem Urteil mit dieser Positionierung gerechnet haben, empfehlen wir unseren Kunden schon lange den Einsatz von Google Analytics (und ähnlichen Diensten) nur unter konsequenter Einhaltung der bestehenden Richtlinien einzusetzen.

Neben den bereits länger bekannten Voraussetzungen (kürzen der IP, Vertrag mit Google, Anpassung der Speicherdauer, …) ist spätestens jetzt auch die Cookie Richtlinie als verbindlich ansehen.

Aber ich habe doch einen Cookie-Banner….

Sollten Sie sich bei der Verwendung von Google Analytics noch auf das berechtigte Interesse stützen und keine Einwilligung einholen oder einen Cookie-Banner verwenden der nur ein „Ok“ zulässt, sollten Sie dringend über eine Umstellung nachdenken. Des Weiteren gibt es leider das Problem, dass Cookie-Banner falsch konfiguriert sind und somit auch keine wirksame Einwilligung darstellen.

Oft übersehen – die Datenschutzerklärung

Bitte vergessen Sie nicht, ebenso Ihre Datenschutzerklärung zu überprüfen. Die Notwendigkeit einer Anpassung ist sehr wahrscheinlich.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Was Sie über den Cookie-Banner wissen müssen

von | 17/10/2019 | Datenschutz, Onlineshop

Schon seit Jahren kursieren im Internet die sogenannten Cookie-Banner. Meist kennt man diese in Form einer schmalen Einblendung im Fuß einer Website, die man verschwinden lassen kann, indem man „OK“ anklickt oder sie einfach ignoriert. Sie entstanden in einer Zeit, in der es widersprüchliche Ansichten über die Anwendbarkeit verschiedener Gesetzte gab. Klarheit darüber hätte die schon überfällige ePrivacy-Verordnung bringen sollen, die jedoch noch immer nicht in Kraft getreten ist und wahrscheinlich auch noch ein wenig auf sich warten lassen wird.

Das Thema „Cookies“ wurde nun aber am 01.10.2019 vom Europäischen Gerichtshof entschieden – Urteil siehe hier.

Zuerst einmal: Was machen Cookies?

Cookies sind kleine Textdateien, die von einer Website auf Ihrem Rechner abgelegt werden. Cookies haben unterschiedliche Funktionen und sind nicht alle in einen Topf zu werfen. Sie dienen der Wiedererkennung und der Personalisierung, aber auch der Weiterverfolgung.

Zum einen gibt es die technisch notwendigen Cookies. Sie sorgen zum Beispiel dafür, dass Sie Merklisten, Warenkörbe oder Bestellprozesse, aber auch Logins auf einer Website durchführen können. Das setzen dieser Cookies ist für die technische Funktion der Website oder des Shops unerlässlich und stellt somit den Teil der unumstrittenen Cookies dar, welche in der Regel keiner Zustimmung durch den Nutzer bedürfen. Jedoch muss auch über diese Cookies in der Datenschutzerklärung aufgeklärt werden.

Wann ist die Einwilligung der User nötig?

Ganz anders verhält es sich mit sogenannten Marketing- und Tracking-Cookies. Diese Cookies sind nicht notwendig damit eine Website aus technischer Sicht überhaupt funktioniert, sondern sie bieten dem Betreiber der Website bzw. einem dritten „Cookie-Setzer“ einen Mehrwert, weniger dem User. Daher sind diese Cookies grundsätzlich verboten, mit der Ausnahme, dass der User zu dem Setzen oder Auslesen dieser Cookies freiwillig und aktiv einwilligt. Stillschweigen, Untätigkeit oder bereits ausgefüllte Häkchen und Kästchen sind hier explizit nicht als Einwilligung zu verstehen.

Im Falle dieser Cookies werden die Aktivitäten des Users über die ursprüngliche Website hinaus weiterverfolgt und die Daten häufig an dritte (Third Party Cookies), oft große Datensammler, weitergegeben. Datensammler legen mit den daraus gewonnenen Daten Profile an, damit ist ein User schnell mindestens „berechenbar“, aber oft sogar gläsern und identifizierbar.

Cookies – Wen stört´s?

Welches Ausmaß dies hat, erkennen Sie leicht, wenn Sie sich mal eine große Tageszeitung, ein Magazin oder Online-Shop vornehmen und dort den Cookie-Hinweis (sofern vorhanden) komplett durchlesen. Im Falle eines großen deutschen Magazins, welches ich herausgepickt habe, bis ich auf über 100 Unternehmen gekommen, die unter den Thrid Party Cookies zu finden waren. Die Unternehmen waren quer in der Welt verteilt und hatten Laufzeiten zwischen 7 Tagen und 3 Jahren angegeben. Uns das auf einer einzigen Website.

Erfahrungsgemäß wünschen das die meisten User nicht, insbesondere dann nicht, wenn die Daten an völlig fremde Unternehmen weitergegeben werden und nicht nur dem Betreiber der besuchten Website dienen. In der Vergangenheit wurde dieser Umstand entweder komplett ignoriert, indem es überhaupt keine Erklärung über die Cookies gab oder es wurde halbherzig und falsch umgesetzt. Meinen eigenen Beobachtungen nach sind die meisten Cookie-Banner unzureichend. Fehlerquellen gibt es viele. Sie sollten daher in jedem Fall prüfen (lassen), ob Ihre Website Cookies setzt, darüber hinaus ist zu klären, ob es sich hierbei um Cookies handelt, die eine Einwilligung erfordern. Ist dies der Fall, muss ein Cookie-Banner eingesetzt werden. Sollte Ihr Cookie-Banner nur den „OK“ Button beinhalten können Sie mir Sicherheit davon ausgehen, dass dieser Button nicht die gesetzlichen Bestimmungen erfüllt. Falls Sie bislang auf das sogenannte Opt-Out gesetzt haben, ist dies ebenfalls falsch. Opt-Out bedeutet, dass man ungewünschtes Tracking oder Cookies durch deaktivieren abwählen kann. Man setzt also erst einmal das Einverständnis voraus und lässt dem User nur die Wahl nachträglich die Einstellungen zu verändern. Opt-In ist die aktive Zustimmung durch das gezielte anwählen der Optionen. Dies ist die einzig korrekte Möglichkeit.

Und nun?

Meist können Webseitenbetreiber selbst gar nicht einschätzen, ob die eigene Website Cookies setzt. Oft ist es gar kein Kalkül Cookies zu setzen, sondern es geschieht durch die verwendete Technik oder die anhängigen verwendeten Dienste, über dessen Funktionsweise man sich gar nicht bewusst ist.

Wir beantworten Ihnen gerne Fragen zu diesem Thema.

 

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

PSD2: 2-Faktor-Authentifizierung ab 14.09.2019 Pflicht in Online-Shops

von | 16/08/2019 | Onlineshop

Betroffen von der 2-Faktor-Authentifizierung sind Sie in jedem Fall, wenn Ihr Online-Shop eine Kreditkartenzahlung anbietet. Nicht betroffen sind Online-Shops die ausschließlich den klassischen Weg der Überweisung oder Lastschrift verwenden. Mit PayPal befinden Sie sich in einem besonderen Bereich der der Überprüfung bedarf.

Ausnahmen: Whitelist, wiederholende Zahlungen, Transaktionsrisikoanalyse und Beträge unter 30 Euro

Bei Kleinbeträgen unter 30 Euro, Zahlung von Abonnements oder falls Sie als Händler vom Kunden auf eine sogenannte „Whitelist“ gesetzt werden, ist keine Zwei-Faktor-Authentisierung nötig. Eine weitere Ausnahme bildet die Transaktionsanalyse. Sie gibt dem Zahlungsdienstleister die Möglichkeit, die Notwendigkeit der 2-Faktor-Authentifizierung bis zu einem Höchstbetrag von 500 Euro zu entscheiden, indem das Risiko einer Transaktion analysiert wird. Als Händler haben Sie hierauf keinen Einfluss.

Die Umsetzung der Zwei-Faktor-Authentifizierung wird durch den jeweiligen Zahlungsdienstleister gewährleistet. Visa und Mastercard setzen z.B. als zweiten Faktor auf das biometrisches Authentifizierungsverfahren, in der Regel wird dies der Fingerabdruck auf dem Handy zur Bestätigung einer Zahlung sein.

Aber auch Sie als Shop-Betreiber haben unter Umständen einige Anpassungen in Ihrem Shop vorzunehmen, z.B. im Bereich der Zahlungsschnittstelle, in den AGB oder der Datenschutzerklärung.

Card-Not-Present-Transaktion (wie beim Online-Shop wo die Karte dem Händler nicht physisch vorliegt) die ab dem 14.September getätigt werden, die nicht den genannten Anforderungen entsprechen, müssen abgelehnt werden. Abgesehen von der abgelehnten Zahlung ist die Nichteinhaltung der Zahlungsdienstrichtlinie PSD2 abmahnfähig.

Als Online-Händler sollte man nun, knapp einen Monat vor dem Stichtag, dringend an einer konformen Umsetzung arbeiten. Wichtig ist auch die Information der eigenen Kunden, da diese in den meisten Fällen unzureichend informiert sind. Ab dem 14.09. müssen Sie in Ihrem Shop mit Kaufabbrüchen rechnen, wenn Ihre Kunden unvorbereitet auf das neue Authentifizierungsverfahren stoßen. Bereiten Sie sich auf vermehrte Anfragen vor und überdenken Sie die von Ihnen zur Verfügung gestellten Zahlungsmethoden. Hilfreich sind klassische Alternativmethoden, die nicht nur in der Übergangszeit eine wertvolle Ergänzung darstellen, sondern vielleicht auch wieder vermehrt Fans gewinnen. Viele Nutzer schätzen zwar den erhöhten Sicherheitsstandard, sind jedoch trotz allem nicht bereit biometrische Daten preis zu geben. Andere wiederum verfügen nicht über die notwendige Hardware. Arbeiten Sie an Ihrer Kundenbindung, die Whitelist ist Ihre Chance die Zwei-Faktoren-Authentifizierung zu umgehen.

Übrigens sind von der Zwei-Faktor-Authentifizierung nicht nur Online-Händler betroffen, sondern auch das Online-Banking. Sie werden zukünftig für Transaktionen im Online-Banking-Bereich ebenso eine 2-Faktor-Authentifizierung verwenden müssen. Hier ist das Vorgehen im Hinblick auf die Methode sehr unterschiedlich.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

„Whitelist“ beim Online-Shopping – Licht und Schatten

von | 10/08/2019 | Onlineshop

Mit der Pflicht zur starken Kundenauthentifizierung kommen einige Hürden im Online-Shopping. Wo früher die Eingabe einer Kreditkartennummer ausreichend war, wird zukünftig zusätzlich ein Fingerabdruck gefordert. Bei modernen mobilen Endgeräten meist technisch noch leicht umzusetzen, kommt der Desktop-Shopper schon schnell an seine Grenzen, bzw. benötigt immer ein zweites Gerät in seiner Nähe, nicht selten müssen beide Faktoren in einem bestimmten Zeitrahmen bestätigt werden.

Der Zahlungsdienstleister bestimmt die Kategorie der Faktoren. Dies kann z.B. Wissen (PIN) und Inhärenz (Fingerabdruck) sein. Oder wie im Offline-Shopping Besitz (Karte) und Wissen (PIN). Überwiegend scheinen die meisten Zahlungsdienstleister auf Inhärenz also körperliche Merkmale sprich biometrische Daten zu setzen. Nicht jeder fühlt sich wohl dabei biometrische Daten im Netz zu verteilen. Daran vorbei kommt mal nur, wenn die gesetzlich geregelten Ausnahmen greifen.

Dies ist der Fall bei Abo-Zahlungen oder Kleinstbeträgen unter 30 Euro. Eine weitere Ausnahme bildet die Whitelist: Ihre Kunden können Ihren Shop auf eine sogenannte „Whitelist“ setzen, damit fallen weitere Authentifizierungsmethoden weg.

Sie als Shop-Betreiber sollten diese Chance der Whitelist rechtzeitig erkennen und die Möglichkeit nutzen in dem Sie Ihre (Stamm-) Kunden über die Whitelist informieren. Arbeiten Sie an Ihrer Kundenbindung!

Shops, die auf der Whitelist stehen, könnten unter bestimmten Voraussetzungen echte Vorteile gegenüber den Wettbewerbern haben. Habe ich es gerade besonders eilig, mein Eingabegerät nicht bei mir oder sitze ich gerade im mobilen Funkloch, so bestelle ich voraussichtlich dort, wo ich keine weiteren Hindernisse zu erwarten habe.

Leicht denkbar ist ein weiterer Zuwachs für die global Player, wie z.B. Amazon da diese sicherlich sehr schnell auf einer Whitelist aufgenommen werden.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken