Um mich herum wirft die Post gerade jede Menge Papier mit für Laien schwer verständlichen, juristischen Inhalten in die Briefkästen. Befreundete Unternehmer hat’s hauptsächlich getroffen, ein paar Websites von Freunden und einen Sportverein. Es geht bei allen aktuellen Fällen um eine Abmahnwelle wegen der Einbindung von Google Fonts.
Stellt sich die Frage: Was macht meine eigene Website tatsächlich (technisch)? Und warum ist das vielleicht ein Problem? Als Nebenfrage: Warum kann mir das keiner so erklären, dass ich das auch verstehe?
tl;dr: Ich will’s mal versuchen.
Ich bin jetzt weder Jurist noch sonst in irgendeiner Form in Rechtswissenschaften ausgebildet. Ich habe trotzdem mit so einem Blödsinn zu tun, weil Ihr mich hierzu gefragt habt. Und das mehrfach. Ich kann selbst auch nur technisch antworten, aufgrund der höheren Frequenz will ich das denn hier auch mal schriftlich fixieren(, weil gerade schon wieder passiert).
Das Mittel der Wahl für eine Präsentation im Netz („Homepage“) der meisten um mich herum ist wohl zu 90% WordPress, seltener Joomla oder Drupal, noch viel seltener Typo3. Entweder wird das von Hand oder über so einen fürchterbaren Homepagebaukasten des jeweiligen Hosters bereitgestellt. Die wenigsten Menschen sind Entwickler und technisch dazu in der Lage, eine Website komplett zu Fuß auf die Beine zu stellen. Noch weniger von den Nutzern solcher „Homepagebaukästen“ dürften wissen, dass Sie sich mit der Nutzung desselben juristisch angreifbar gemacht haben. Der Fauxpas ist also zunächst mal unwissentlich geschehen, das soll aber nicht vor Strafe schützen.
Die meisten verwenden wohl ein Template, ein „Design-Thema„, sprich ein Muster, welches man i.d.R. ohne Anpassungen direkt einsetzen kann, um eine optisch recht ansprechende Website zu bauen. Viele davon gibt’s frei, manch andere werden z.B. für teuer Geld bei Anbietern wie Themeforest gekauft.
Das Template, welches ich nutze, lädt im Auslieferungszustand z.B. zwei Schriftarten von Google-Servern, würde ich es selbst nicht anpassen, sprich so verändern, dass das nicht mehr passiert.
Dazu kommen noch jede Menge „Plugins„, z.B. für Kontaktformulare, Karten, Einbettung von Videos, externe Dienste, usw.. Manch andere verwenden dazu noch sogenannte CDN-Server/Inhaltscacheserver für Bilder, Videos und anderes, so dass die Website schneller im Browser angezeigt (geladen) werden kann.
Und hier ist der Knackpunkt:
Fast alle diese o.g. Themes und Plugins laden in der Regel Schriftarten, Videos, Bilder, Avatare und anderes Gestrüpp von fremden Webservern (also nicht dem eigenen Server) nach.
Wenn diese Server jetzt ausserhalb der Europäischen Union stehen, hat der Abmahnanwalt damit augenscheinlich ein Problem, weil ja dessen „IP-Adresse“ als personenbezogenes Datum beim jeweiligen Betreiber gespeichert wird. Ich surfe also gar nicht „nur“ auf dieser Website, sondern vielleicht auf 30 anderen mit dazu. Das „Informationelle Selbstbestimmungsrecht“ wird berührt (Link). Sehr wohl müssen die Server der Anbieter nicht zwangsläufig außerhalb der EU stehen – häufig mehr sind diese auf dem gesamten Planeten verteilt, um eine Lastverteilung zu erreichen oder aber um lokal schneller erreichbar zu sein.
Augenblicklich spult man sich über Google auf, weil dort gehostete Schriftarten in eigentlich fast jeder Website benutzt werden. Damit lässt sich wohl gerade gut verdienen. Grundlage dafür ist ein Urteil vom LG München (Link), auf jenes sich die Abmahnenden beziehen.
Wohl ist es mein eigener Browser, jener die Website besucht. Zwecks schickerer Darstellung hat mein Browser (also der Nutzer selbst, weil es so im html-Quelltext steht) dann mehrere Schriftarten von Google heruntergeladen.
Das Urteil des LG München spiegelt die Sichtweise des Abmahnenden, nicht jedoch meine. Ich bin – was die IP des Nutzers betrifft im übrigen auch vorsichtig, jene als personenbezogenes Datum zu werten. Meine persönliche, „sehr technische“ Meinung ist hier jedoch weniger hilfreich, es wird ja aktuell auch anders entschieden.
Update 05.11.2022: Wesentlich differenzierter wird hier die Rechtslage über o.g., technischen Vorgänge von Christian Franz beschrieben (Link), falls Sie sich einlesen wollen (Gefunden über einen Tweet von Stephan Schmidt – Link).
Mit Verlaub, ggü. so Schwergewichten, wie (z.B.) der Süddeutschen, welche von gefühlt 100en von Fremdservern nachladen ist jeder Handwerksbetrieb, der so eine Abmahnung kassiert, ein Waisenknabe. Und wenn ich den „Spiegel“ lese, geht mein Datenverkehr über die USA nach Hamburg, weil die direkte Verbindung im Schengen-Raum langsamer und teurer ist, als den wesentlich schnelleren Anbieter Level3 zu nutzen. Die Annahme, man wäre im Netz anonym, kann ich im Grunde überhaupt nicht nachvollziehen. Der Anwalt will sich im aktuellen Falle lediglich an Dir bereichern, ihm geht’s tatsächlich nur um Dein bestes, nicht um die Verbesserung der Welt.
Was passiert hier gerade? Wie kann ich so etwas verhindern?
Ich selbst will als johnlose.de oder irgendjemand anders aber auch zukünftigen Klagemodellen ausweichen und deswegen alles, was durch meine Website geladen wird, komplett selbst hosten und nicht von Fremdservern nachladen.
Wenn ich jetzt Post von so einem Abmahnanwalt bekommen habe, ist bei meinem Vorhaben wohl irgendetwas schief gelaufen.
Im schlimmsten Falle habe ich mich zwar „früher mal“ längst darum gekümmert, allerdings hat’s nach einem (meist notwendigen) Update die Konfiguration meines WordPress zerschossen, und zwar in sofern, als dass das von mir genutzte „Privacy-Plugin“ mit der neuen WordPress-Version gar nicht mehr funktioniert. Oder das Template mit meinen drölfzig Änderungen, die ich „für den Datenschutz“ gemacht habe, wurde einfach durch eine aktualisierte Fassung überschrieben (ja, ich weiß, man kann das verhindern, aber darum geht’s hier gerade nicht).
Mit Verlaub: Das ist aus meiner Sicht auch völlig normal, da ein WordPress aus Sicherheitsgründen mal grundsätzlich immer auf dem neuesten Stand gepflegt werden sollte. Das WordPress macht das automatisch. Der Schweinemastbetrieb hat eben was anderes im Kopf, als die persönliche Website.
Deutlicher:
Dem indischen Template-Anbieter ist unsere Rechtslage oder die Funktion eines Drittanbieterplugins zur Wahrung der DSGVO übrigens auch mal herzlich egal. Der will, dass das gut aussieht. Ein hochnäsiges Daherziehen über die vermeintliche „Dummheit“ mancher Betreiber von Webseiten für Tischtennisvereine liegt mir deswegen mal überhaupt mal nicht.
Da ich als Milchbauer meine Website selbst gar nicht regelmäßig überprüfe, habe ich also überhaupt nicht mitbekommen, dass meine Website vielleicht „Font-Awesome“ oder „Google Fonts“ oder sonstwas von fremden Servern aus meinetwegen den USA nachlädt. Mir ist nur wichtig, dass die Kuh dort nachlesen kann, wann die Melkzeiten sind oder zu wem meine Milch transportiert wird.
Oder aber ich habe den Browser selbst zur Prüfung verwendet, um den Quelltext meiner Website zu sichten, dabei aber völlig übersehen, dass ich in der betreffenden Website selbst noch angemeldet bin – deswegen verhält sich der Browser auch völlig anders gegenüber einem anonymen Nutzer.
Annahme 1: Nicht nur Google Fonts sind ein Problem
Neben Google Fonts gibt’s drölfzig Varianten von sehr ekelhaften Fallen, in jene ich treten kann. Ich kann mir sehr gut vorstellen, dass Google Analytics, Maps, irgendwelche Marketingdinger, Youtub-Videos und anderes Zeug, was Du auf Deiner Website nutzt, selbstverständlich die IP des Nutzers an die ausliefernde Stelle mitteilt, das ist technisch gar nicht anders möglich. Es ist also nur eine Frage der Zeit, bis irgendwelche Abmahnanwälte die nächste Sau durch’s Dorf treiben.
Annahme 2: Einfache Lösungen sind nur kurzfristig funktional
Die meisten verwenden bereits Plugins zur lokalen Zwischenspeicherung von Fonts. Einige davon funktionieren (im Moment), manch andere schon nicht mehr, obwohl sie in Deinem Blog vielleicht sogar anzeigen, sie würden (noch) funktionieren. Die meisten Ursachen dieses Problems sind automatische Updates, für manche Entwickler ist es schwer, hinterherzukommen. Die Idee, man müsse einfach den Quelltext (CSS) des WordPress Templates verändern, funktioniert – bis zum nächsten Update des Templates oder der verwendeten Plugins. Ich kann wirklich nur – mit Nachdruck – davor warnen, davon auszugehen, dass das Problem mit solch‘ simplen Methoden aus der Welt zu schaffen.
Ich will wohl schreiben, wie ich die (heute) so „umgehe“ – wohl bislang mit Erfolg. Es ist alles gerade nicht wirklich schick und ein ziemliches Gebastel. Ferner folge ich einer kleineren Jura-Bubble auf Twitter Mastodon, jene mich (bislang) ganz gut mit Informationen versorgt.
Was macht johnlose.de denn 2022 so?
Ich kann hier nur schreiben, was ich selbst gerade mache. Das kann niemals Anspruch auf juristische Korrektheit haben, was ich mit Nachdruck noch einmal anmerken möchte. Sprecht also mit Euren Hausjustiziaren oder mit Euren Anwälten, wenn Ihr Fragen zur Rechtslage habt. Punkt.
Um den meisten Anforderungen gerecht zu werden, wurde diese Website, welche Du aktuell liest, (leider) mehrfach umgekrempelt.
Statistiken
Ich habe zum einen Jetpack abgestellt. Um Cookies kam ich ja bislang umhin, allerdings nicht darum, dass das Zählpixel aus Amerikanien geladen wurde. Die Messung der Reichweite (Analyse) habe ich dann zunächst
WP Statistics überlassen, jedoch recht schnell festgestellt, dass ich damit nur noch jeden drölften Besucher zähle (sehr wahrscheinlich aufgrund einer Inkompatibilität mit meinem Cachetool), deswegen habe ich auf Matomo gewechselt, was ich ebenfalls lokal hosten kann.
Matomo wurde m.E. auf ausreichende Anonymisierung konfiguriert – was nicht ganz einfach ist – und auch so, dass beim Anwender kein Cookie gesetzt wird, das war mir recht wichtig. Hier gibt’s aber auch Fallstricke: Zu meinen Fragen und darüber hinaus gibt’s im Moment wohl auch eine für mich spannende Diskussion (Link) auf Mastodon.
Nachladen von Fremdservern
Ebenso nutze ich GDPR-Patron von WP-Liftup (kostenpflichtig) was mir nebst Zwischenspeicherung der Google-Fonts noch so ein bisschen mehr mitbringt, z.B. Youtube-Videos hinter einem Warndingsi zu verstecken. Ich kann wohl nur als Momentaufnahme mitteilen, dass meine Kombination aus Template und Plugin – zu diesem Zeitpunkt / momentan – wohl funktioniert.
Ich glaube aber, dass ich für Twitter, Soundcloud und anderes auch noch ein wenig bauen muss. Das ist derzeit noch ein wenig schwierig, da die meisten Plugins hierfür die Nutzung von Cookies erfordern und ich die Dinger absolut scheue, wie der Teufel das Weihwasser. Ich erwähne es wohl derzeit in meinen Datenschutzhinweisen.
Datenschutztextgenerator
Der juristische Text in meinen Hinweisen zum Datenschutz wird von einem Generator erzeugt. Ich nutze den von Dr. Thomas Schwenke aus Berlin, am Ende der Datenschutzseite (Link) verlinkt. Der hat so ziemlich die meisten Dinger drin. Sehr wohl finde ich den Text für einen Menschen extrem schwierig lesbar, deswegen habe ich den vorab mit meinen Worten ergänzt. Ob das so alles tatsächlich richtig ist, kann mir natürlich auch nur ein Jurist selbst sagen.
Plugins
Ansonsten habe ich an der Website bislang auch jeden „Spaß“ abgedreht. Zum einen gibt es schon seit längerem keine Kommentarfunktion (schon gar nicht von Disqus), kein Kontaktformular und auch keine anderen Elemente mehr, welche von Fremdservern geladen werden. Anderen habe ich dazu auch geraten, z.B. Google Maps zu entfernen, auch wenn es prima zu einer Anfahrtsbeschreibung in der Kontaktseite passt.
Drum prüfe…
Dennoch kann ich nicht wissen, ob ich tatsächlich alles – technisch – richtig gemacht habe. Unter Umständen liege ich mit meinem eigenen Browser ja auch völlig verkehrt, wie ich zuvor erklärt habe.
Deswegen verwende ich das Performanceanalysetool GTMetrix (Link), gehe in einem Report auf „Wasserfall“ und schaue mit einem zuverlässigen Drittanbietertool (was ich nicht mal installieren muss) nach, von wo was auf meiner Website geladen wird:
Um diesen Abmahnanwälten auszuweichen, will ich sehen, dass Inhalte ausschließlich von meinem Server geladen werden, hier sollte (im roten Kasten dargestellt) also ausschließlich „johnlose.de“ stehen.
Im Moment ist das auch so. Das kann sich aber auch ohne meinen persönlichen Eingriff – quasi aus heiterem Himmel – ändern, da sich WordPress, das Template und die Plugins regelmäßig selbst aktualisieren.
In sofern traue ich auch meiner eigenen Website nur so weit, wie ich eine Waschmaschine werfen kann. Deswegen schaue regelmäßig nach, ob sich hier ein Problem eingeschlichen hat. Das kann ich jedem verantwortlichen „Betreiber“ einer Website auch dringend empfehlen.
Ferner will ich Dir mit Nachdruck raten, sofern Du Post bekommen haben solltest, bei einem Juristen Rat einzuholen. Im schlimmsten Fall begibst Du Dich mit einer Antwort an den gegnerischen Juristen auf ziemliches dünnes Eis. Hier steht nur, wie es – in meinen Augen – Ende 2022 vielleicht technisch ganz in Ordnung ist.
Ehrlich: Ich kann an der Rechtslage nix ändern. Wenn sich da derzeit so ein Schlamassel auftut, sich deswegen recht viele eine goldene Nase verdienen, ist m.E. in der Rechtsprechung, in einer Richtlinie oder in der Umsetzung derselben etwas gewaltig schiefgelaufen. Da sollte man vielleicht mal ansetzen.