Google Fonts in OSM-Karteneinbindungen?

Google Fonts sind ja gerade “in Mode” für Abmahnungen.
Der Bundesverband eines meiner Vereine warnte gerade die Untergliederungen vorm EInbinden von Google Maps und Youtube, weil auch die Google Fonts drin haben, man solle das Teufelszeugs stets nur verlinken …
… oder OSM einbinden :wink:

Nun finde ich gerade in einem anderen Spezialthemenforum, wo auch einige Webseitenmacher drin sind, den Beitrag von jemand, der auf seiner Seite einen Google Fonts gefunden hat, anscheinend über eine Karteneinbindung, von der er meinte, sie wäre auf OSM-Basis gewesen.
Kann das sein?
Bzw könnte es Arten von EInbindungen geben, bei denen sowas passieren kann?
Gibt ja vmtl. viele Wege mach Rom, äh, zur OSM-Karte …

Ich vermute jemand kann über den Mapbox Konfigurator eine Custom-Schriftart von Google Fonts einbinden.

Link bitte, sonst lässt sich das nicht beantworten. Die Tiles selbst haben natürlich nichts mit Google Fonts zu tun, das muss also irgendein Beiwerk in HTML oder Javascript sein, was von wo auch immer stammen kann.

Link habe ich keinen, war nur eine textuelle Beschreibung.

Hier mal ein reales Beispiel:

In dem Jquery-Plugin jtable befindet sich z.B. in jtable.2.4.0/themes/metro/blue/jtable.css dieser Eintrag:

@font-face {
  font-family: 'Open Sans';
  font-style: normal;
  font-weight: 300;
  src: local('Open Sans Light'), local('OpenSans-Light'), url(https://themes.googleusercontent.com/static/fonts/opensans/v6/DXI1ORHCpsQm3
Vp6mXoaTRa1RVmPjeKy21_GQJaLlJI.woff) format('woff');
}

Dort werden zur Laufzeit Fonts direkt von einem Google-Server geladen - und das ist kritisch.
Es geht hier nicht um die Verwendung der Fonts an sich, sondern nur darum, dass diese Fonts dynamisch von Google geladen werden - ohne dass der Anwender das will.

Lösung:

Die Files werden lokal auf dem eigenen Webserver abgespeichert und dann von dort aus verwendet.

@font-face {
  font-family: 'Open Sans';
  font-style: normal;
  font-weight: 300;
  src: local('Open Sans Light'), local('OpenSans-Light'), url(https://wambachers-osm.website/google/themes/DXI1ORHCpsQm3Vp6mXoaTRa1RVmPj>
}

Gruß
walter

ps. mußte ich vor einigen Wochen bei meiner Software Watchlist (OSM Software Watchlist) ändern.

Natürlich gilt was für google fonts gilt auch für irgendwelche anderen Drittinhalte die zur Laufzeit von “irgendwo” auf dem Internet geladen werden, also openlayers, leaflet und so weiter. Die Abmahnwirtschaft hat das einfach noch nicht gemerkt.

2 Likes

Jein, für Google Fonts hat es ein Urteil gegeben, zu anderen externen Inhalten nicht. Zumindest, soweit ich weiß.

Begründung:

Ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 f) DS-GVO, wie von ihr behauptet, liegt nicht vor, denn X. Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem X.-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an X. stattfindet

(Quelle, Begriff Google wurde zensiert)

Das trifft auf eine Kartenanwendung so ja nicht zu.

1 Like

Natürlich gilt was für google fonts gilt auch für irgendwelche anderen Drittinhalte die zur Laufzeit von “irgendwo” auf dem Internet geladen werden, also openlayers, leaflet und so weiter. Die Abmahnwirtschaft hat das einfach noch nicht gemerkt.

und es gilt auch für Inhalte des Anbieters selbst (Daten die beim Hoster anfallen) und zB. wenn CDNs eingesetzt werden.

Ich weiss. Es gibt spezifisches an dem Urteil, z.B. das man einen Schadenersatz zugesprochen hat weil bei google dem Nutzer besonders unwohl war und das es weit herum publiziert wurde, dass es besonders attraktiv macht in einer Abmahnung darauf hinzuweisen, aber das macht die Nutzung von anderen Drittinhalten nicht weniger rechtswidrig und abmahnbar.

Das trifft auf eine Kartenanwendung so ja nicht zu.

Wenn man sein JS Framework, sprich Leaflet oder OpenLayers um mal bei Karten zu bleiben, nicht lokal vorhält (wie die meisten) so trifft dies ganz genau zu.

1 Like

Ich bin kein Jurist, ich kann dazu nur die Aussage des externen Datenschutzbeauftragten meines Arbeitgebers wiedergeben, dass z.B. die Verwendung von Mapbox weiterhin möglich sei.

Aber das ist jetzt auch Off-Topic.

Ok, ich dachte, du meinst die Kartendaten. Es kann sich ja jetzt nicht jeder Websitebetreiber einen Tileserver hinstellen.

Ok, ich dachte, du meinst die Kartendaten. Es kann sich ja jetzt nicht jeder Websitebetreiber einen Tileserver hinstellen.

ginge schon, vor allem wenn die Karten auf OpenStreetMap beruhen, dafür gibt es Software und Anleitungen, sogar kostenlos :slight_smile:
Wenn man Googlemaps wollte ginge es allerdings nicht ohne Google, das stimmt.

Letztlich ist die Weitergabe von personenbezogenen Daten (z.B. die IP-Adresse des Websitebesuchers) ohne Zustimmung an Dritte “regelmäßig” nicht erlaubt. Egal ob die Weitergabe jetzt an Google- oder OSM-Server erfolgt.

Die Weitergabe personenbezogener Daten an Dritte ist regelmäßig – und ohne Zustimmung des Betroffenen – nicht zulässig . (Quelle: Was sind personenbezogene Daten? I Datenschutz 2022)

Auch im weiter oben schon genannten Urteil heißt es

Das Landgericht führt weiter aus, dass die Beklagte das Recht des Klägers auf informationelle Selbstbestimmung verletze, indem die Beklagte die dynamische IP-Adresse an Google weiterleitete, als der Kläger die Webseite der Beklagten aufrief und somit eine Einwilligung des Webseitenbesuchers weder eingeholt wurde noch werden könnte.

Mit der Einbindung von Google-Fonts direkt von Google-Servern hat es jetzt einfach das erste bekannte Rechtsurteil und im Nachgang eine richtige Abmahnwelle gegeben (viele davon sind aber wohl selbst nicht rechtskonform abgelaufen).

Wer es im Zuge der noch recht neuen (daher gibt es eben auch kaum Urteile dazu) DSGVO nicht darauf ankommen lassen will sollte also grundsätzlich keine fremden Dienste ohne vorherige Einwilligung des Nutzers laden. Dabei wird mindestens die Nutzer-IP, ohne entsprechende Einstellungen meist auch der Referrer, an den Dritten Anbieter weitergeleitet.

Wer sich nicht sicher ist ob er auf seiner Seite Verbindungen zu Dritten aufbaut kann das ganz einfach z.B. mit diesem Online-Tool überprüfen: https://webbkoll.dataskydd.net/

Für viele Seiten, z.B. bei Nutzung von Wordpress, bietet sich da als einfache Lösung ein Content-Consent Plugin an bei dem der Nutzer erst zustimmen muß bevor der Inhalt geladen wird.

Andere Alternativen wenn man gleich von vornherein für Karten keine Daten an Dritte weitergeben will:

  • bei kleinen OSM-Karten reicht oft auch einfach eine Grafik statt einer dynamischen Karte
  • umfangreichere Karten kann man über einen Tile-Proxy bereitstellen
  • Karten mit einem Tile-Server selbst hosten (da gibt es zwar viele Tools, für die meisten aber trotzdem nicht praktikabel)
  • Tiles für kleinere Regionen / Ausschnitte mit Maperitive rendern und selbst hosten

Wer umfangreichere Karten auf seiner Seite einbindet sollte an sich ohnehin eher die Karten lokal hosten oder einen Tile-Proxy verwenden. Sonst belastet man nur die OSM-Server zu sehr, das ist auch extra Teil in der Tile-Policy:

OpenStreetMap data is free for everyone to use. Our tile servers are not. (Quelle: OSM Tile Usage Policy)

2 Likes

wobei es nicht richtig ist, dass der Anbieter die IP Adresse zu Google weiterleitet, das macht der Nutzer selbst, bzw. sind seine Einstellungen so, dass er es zulässt dass sein Browser den font lädt.
Da nochmal ein Banner vorzuschalten wird am Ergebnis nichts ändern. Die einzige Hoffnung bleibt, dass es vielleicht mehr Seitenbetreiber dazu motiviert, die Fonts lokal vorzuhalten (wer ein bisschen aufpasst macht das sowieso schon längst, und die anderen nutzen wahrscheinlich auch analytics und da kommt es auf die Fonts dann auch nicht mehr an).

Naja, das Banner ändert für Websitebetreiber einen ganz entscheidenden Punkt: Es verhindert dass über den Aufruf der eigenen Seite gleichzeitig ohne Einverständnis des Users ein Aufruf von Quellen Dritter stattfindet. Ob man das nun Weiterleiten nennen mag (das oben zitierte Gericht spricht da eben genau von einem Weiterleiten) oder ein anderes Wort dafür findet.
Mit einem Consent-Banner welches das Laden der Inhalte von Dritten auch tatsächlich ohne vorherige Zustimmung unterdrückt kann der Nutzer bewusst entscheiden ob er diesem Dritten seine Daten preisgeben will oder nicht. Damit fährt man als Websitebetreiber nach aktueller Rechtsauffassung im Punkt Datenschutz einfach sicherer.

Hoffe aber auch dass die ganze Thematik für viele ein guter Anstoß ist einfach mal die Einbindung von Inhalten Dritter zu überdenken. Das ist in den wenigsten Fällen notwendig.

Das ist zwar -technisch- so, aber das Gericht sah das -rechtlich- anders (nicht unerwartet, da eine andere Sichtweise essentiell den ganzen Datenschutz ausgehebelt hätte da schlussendlich aller clientside code auf einem Gerät des Nutzers ausgeführt wird, also z.B. auch eine Facebook App auf einem Smartphone). Hab ja das Urteil schon mehrmals verlinkt, aber hier halt nochmals LG München I, Endurteil v. 20.01.2022 – 3 O 17493/20 - Bürgerservice