Ihr habt es sicher auch gehört oder bei heise gelesen: Da in den meisten wordpress-Seiten (beispielsweise) Google-Fonts extern eingebunden werden, wurde daraus ein DSGVO-Verstoß hergeleitet - ob zu Recht, ist sehr umstritten - und führte zu einer Abmahnwelle, insbesondere seitens der Kanzlei Kilian Lenard im Verbund mit einem Herrn Martin Ismail. Mittlerweile sind den durchschaubaren Aktionen wirksame Abwehrmaßnahmen entgegengesetzt worden, siehe:
Allerdings ist eine Schule nahe unserem Gymnasium von dieser Abmahnpraxis betroffen, sodass mich Euche Meinung interessieren würde, denn:
Ist nicht jede DNS-Abfrage, die beispielsweise bei Google landet, technisch dieser Font-Einbindung relativ ähnlich ? Auch hier wird die IP der aufgerufenen Seite an Google (oder einen weiteren Nameserver-Betreiber) weitergegeben - und damit wird diesem klar, wohin wir wollen. Somit müsste jede offene DNS-Anfrage als datenschutzrechtlicher Verstoß gewertet werden - und das wäre ja absurd. Müsste ein Gericht nicht diese technischen Hintergründe als Begründung akzeptieren, dass die externe Google-Fonts-Einbindung kein nennenswerter Datenschutzverstoß sein kann ?
Oder seht Ihr das anders ?
dass eine IP-Adresse des Nutzers im Internet ein personen-beziehbares Datum sein kann, setze ich als akzeptiert voraus. Daraus folgt, dass dieses Datum den Regelungen der DSGVO unterliegt.
DNS-Abfragen sind erstmal mit HTTP-Anfragen nicht gleichzusetzen. In der DNS-Abfrage will der Client ja erstmal nur wissen, welche IP zu einem Hostnamen gehört. Ob es sich dabei um einen Webserver handelt, weiß der DNS-Server(-Betreiber) erstmal nicht. Wenn die IP einem Webserver gehört, ist unklar, ob dann auch wirklich eine Webseite davon abgerufen wird. Das ist technisch nicht zwingend vorgegeben (aber anzunehmen). Er weiß auch nicht, welche konkrete Seite auf dem Webserver abgerufen werden wird. Bei DNS-Anfragen entscheide ich selbst, wem ich meine Client-IP übermittle. Mit entsprechenden Kenntnissen kann ich da auch eine Auswahl vertrauenswürdiger DNS-Anbieter treffen. Die Vorauswahl (DNS-Server meines Internetanbieters) ist keine schlechte Wahl, weil mein TK-Anbieter an EU-Recht gebunden ist. Das trifft auf Google nicht zu (siehe Schrems I und II Urteile in Verbindung mit dem Gesetzt „Cloud Act“ in den USA).
Wenn jemand Google-Fonts auf seiner Webseite über eine externe URL einbindet, habe ich diese Kontrolle/Auswahl, wohin meine IP weitergegeben wird, nicht. Der Browser überträgt unter Umständen den Referer (URL der ursprünglich aufgerufenen Seite) und nicht nur die Domain. Dadurch kann Google schon mehr Interessen ableiten und Profile erstellen, wenn die vollständige URL übertragen wird statt nur die Domain wie bei DNS (bspw. Aufruf eines News-Portals vs. die komplette URL zum konkreten News-Artikel).
Der Webmaster, der Goggle Fonts nutzt, hat entschieden, dass meine Client-IP ohne Not(wendigkeit) an Google übertragen wird. Eine technische Notwendigkeit die Schriftartendatei aus der Cloud einzubinden besteht nicht. Er könnte die Schriftart auch lokal auf seinem Webserver ablegen, um DSGVO-konform zu bleiben. Er könnte auch analog zu den Cookie-Bannern den Webseitenbesucher um Zustimmung bitten und erst danach die Schriftartendatei aus der Cloud laden lassen.
Das Abmahnunwesen finde ich nicht in Ordnung, dass Webmaster sich an die DSGVO halten müssen und das auch von jemandem „kontrolliert“ wird dagegen schon.