Moin Community
in diesem Thread geht es um ein sehr aktuelles Thema. Es hat nur relativ indirekt mit PHP zu tun - vor allen Dingen dann wenn man z.B eine Webseite betreibt.
Es geht um Google Fonts - und die derzeit in der Presse immer wieder berichteten Schwierigkeiten in Verbindung mit der DSGVO.
Aber, es ist js noch viel viel umfassender: im Grunde ist das nicht nur ein Problem bloss mit Google Fonts: Ist es nicht vielmehr ein Problem mit Einbindungen aller Art.
Ist es nicht vielmehr so: immer dann wenn etwas von US-Servern bzw. US-Diensten abgerufen wird, kriegen wie hier in Europa Stress mit der DSGVO. Es kommt nicht so sehr darauf an dass (!!!) wir was von US-Servern (oder whatever) beziehen. weil das die DSGVO interessanterweise kaum tangiert. Vor allen Dingen ist es ja so. Der Stress kommt dann, wenn personenbezogene Daten z.B. an US-Server transferiert werden.
Bei dem Google-Fonts-Problem gehts m.E. darum, dass Website-Betreiber Inhalte aus EU-Drittländern holen bzw. sich besorgen oder man könnte auch sagen sich laden. Also kann man mit anderen Worten ja auch sagen: Im Grunde ist praktisch alles, was von extern kommt, ist erst mal ein Risiko. Und dabei ist es völlig egal, on das nun aus der EU, den USA oder aus Panama kommt.
Es gab im Frühjahr ein Urteil bzgl. des Einsatzes von Google-Fonts: bei diesem Urteil gab es Stress wg. der Google-Fonts: Warum? Nun die die entsprechende Website hat Google Fonts genutzt und leider auch die IP-Adresse beim Abruf vom US-Dienst automatisch mit übertragen. Das hat den Stein ins Rollen gebracht. Es ist ja so: Bei jeder Verbindung zu den Google Fonts wird nämlich ebenfalls die IP-Adresse gesendet. Und genau das ist seit der Einführung der DSGVO (also seit Mai 201 nicht mehr erlaubt. Früher war das anders. Das - so kann man sagen ist jetzt nicht mehr erlaubt - und das auch deshalb, weil die betreffende Website leider vorab keine Einwilligung diesbezüglich von den Nutzern eingeholt hatte.
Aber nun könnte man ja auch so argumentieren, dass in dem Falle ggf. eine DSGVO Verträglichkeit vorlag & vorliegen könnte. Übrigens: Der Webseitenbetreiber (in dem oben erwähnten Musterfall) argumentierte auch hier mit einem »berechtigten Interesse« im Sinne der DSGVO. Und ja: es gibt tatsächlich innerhalb der DSGVO die "Konstruktion" der Ausnahme - eines "berechtigten Interesses": Ja - man kann sagen, dass es diese Ausnahme gibt,
Im Fall des Einsatzes von Google Fonts kann man sich aber leider nicht auf ein »Berechtigtes Interesse« nach DSGVO berufen. Es ist ja so: Die Google Fonts können problemlos heruntergeladen werden, um sie lokal einzubinden. Und wenn man das macht, dann ist der Kontakt zu den Google-Servern im Grunde genommen nicht mehr notwendig und deshalb kann man auch sagen dass demzufolge eben kein berechtigtes Interesse einer Verwendung von Daten besteht, die ihrerseits dann ggf. mit der DSGVO in Einklang zu bringen wäre.
das Problematische daran: Also wenn wir gerade gesagt haben, dass hier Daten aus dem Ausland geholt werden, dann ist das noch nicht sehr genau beschrieben. Denn genaugenommen handelt es sich um das aussereuropäische Ausland. Steht es aber so, dann muss an sagen: außerhalb der EU bedeutet dann auch, dass es hier sehr die Frage ist, ob hier denn etwa ohne das Einverständnis der Besucherinnen und Besucher Inhalte geladen werden. Und jetzt kommt der springende Punkt: Um rechtlich hier also unproblematisch zu arbeiten, sollte man im Idealfall einfach die externe Quellen wie Schriftarten oder sagen wir - "Grafiken" ausschließlich lokal von dem eigenen Server zur Verfügung stellen. Dann wäre man auf der sicheren Seite. Dann handelt man im Grunde genommen ja auch DSGVO-konform.
Demgegenüber: Alternativ dürften bei Aufruf einer Website im Grunde zunächst keine Inhalte wie zum Beispiel etwa Google Fonts geladen werden, sondern, wenn an auf der Sicheren Seite bleiben will, dann eben nur halt eine Basic-Standardschrift (Verdana, Times, etc.). Der Seitenbesucher- also der User - er müsste dann halt eine Einwilligung geben und dem Verfahren zustimmen. Das müsste im Grunde vorab passieren. Das wäre die Vorrausetzung für eine DSGVO-Compliance. Damit wär das Problem gewissermaßen abgefrühstückt. Und erst danach dürfen dann die entsprechenden Features (die vom Ausland) geladen werden.
Umgehen könnt man das Problem m.E. mit mehreren - technischen - Verfahren:
a. durch das lokale Zurverfügungstellen der Schriftarten (oder was auch immer) auf dem eigenen Server.
b. durch „Mapping“.
Was meint ihr denn hierzu?
und weitergehend: Also - die Sache mit den Google-Fonts die ist so dass sie praktisch für alle (!!) Seitenbesucher gilt - also sobald ein Besucher die Seite aufruft, ist das Thema bereits "gesetzt" - m.a.W.: sobald der erste Aufruf der Seite erfolgt ist, sind wir schon mitten drinne in der Auseinandersetzung mit der DSGVO .#
...nicht erst, wenn er sich einloggen will oder irgendwie als "Kunde" auftritt - und sich gewissermaßen
a, anmelden oder
b. registrieren oder
c. etwas kaufen will
Stimmt das denn - haben wir es mit den Google-Fonts gewissermaßen so umfänglich und generell mit der DSGVO zu tun!?
Viele Grüße
Pregmatch
und wie geht ihr mit dem Thema um!?
Datenschutz-Grundverordnung: DSGVO als übersichtliche Seite https://dsgvo-gesetz.de
Kommentar