Ja, wo laufen Sie denn hin?
Zwei Seelen wohnen, ach! in meiner Brust - die eine will sich von der andern trennen
Bei einem Testbesuch der neuen Internetpräsenz, schließlich will man auch wissen, ob es dem flügge gewordenen Schützling in der Fremde gut ergeht, stelle ich aber nun erhebliche Mängel in der Umsetzung der Datenschutz-Grundverordnung fest. Die (zweifellos hübsch anzusehende) neue, temporäre Website bindet gleich von drei verschiedenen Herstellern Fonts und Skripte ein. Dieses Vorgehen überträgt bei Standard-Webbrowsern ohne zutun der Benutzer bereits die persönliche IP-Adresse an die jeweiligen Hersteller, die da wären:
- Google, Inc., USA, Betreiber von "Google Fonts"
- Prospect One, Polen, Betreiber des CDN "jsdelivr.net"
- Fonticons, Inc., Betreiber des FontAweseome
Bei soviel Skripteinbindung ist eine Methode zu erkennen, die bei mir unter dem Begriff "Scheiss drauf!" läuft. Die Rechtssprechung ist hier eindeutig: Die Einbindung von Google Fonts und allen anderen Skripten benötigt die explizite, dokumentierte Einwilligung eines jeden Besuchers. [1], [2], [3] u.v.m.
Dies ist aber gerade bei Schriftarten schwer zu erreichen, da diese bereits beim ersten Aufruf der Website geladen werden. Webfonts dienen dazu, die Darstellung einer Website zu gewährleisten, auch wenn auf dem Rechner des Besuchers die konfigurierte Schriftart nicht installiert ist.
Was tun?
Einerseits bin ich der Kundin immer noch wohlwollend verbunden, andererseits ist mein Recht auf telefonische oder schriftliche Kontaktaufnahme per E-Mail erloschen - die Berechtigung nach Artikel 6 DSGVO ist mit der Beendigung unserer Geschäftsbeziehung entfallen. Außerdem hätte eine Kontaktaufnahme mit einem scharfen Hinweis auf den Verstoß gegen die DSGVO den schalen Geschmack des "Nachtretens", wie es bei Fußballfans genannt wird.
Da ich mich mit einer solchen Sache angreifbar machen würde, muss ich wider meiner Überzeugung auf einen Hinweis verzichten.
