FROM CACHE - de_header

Fonts DSGVO sicher auf Shopify nutzen?

Gelöst
Jensuchtwissen
Tourist
6 0 1

Hallo ihr lieben,

ich richte gerade meinen neuen Webshop ein und will/muss natürlich auch DSGVO-Konform sein.

Da generell Google-Fonts auf Shopify verwendet werden und ich diese auf meiner Seite nutze, müssen diese doch von mir selber eingebunden und gehostet werden? Oder nicht?

Google Fonts-Nutzung ist ja nicht wirklich safe? Wie kann ich also meine zwei Fonts (die ich auf der ganzen Seite verwendet habe) sicher nutzen, damit nicht irgendwann eine Abmahnung ins Haus flattert… Ich habe schon diese tolle Anleitung gefunden 

https://designers-inn.de/google-web-fonts-dsgvo-konform-einbinden/

Jedoch ist sie für Wordpress-Nutzer und nicht für Shopify, weshalb da ein paar Punkte nicht klappen würden.

LG Jen 🙂

2 AKZEPTIERTE LÖSUNGEN

Anerkannte Lösungen
Gabe
Shopify Staff
Shopify Staff
7475 1198 1943

Erfolg.

Hey Jen! @Jensuchtwissen 

Bisher gab es fröhlicherweise noch keine Abmahnung eines Shopbesitzer auf der Shopify Plattform wegen den sog. "Web Safe" Fonts von Google. Siehe aber hier wie du deine eigene Fonts zum Shop hinzufügen kannst. Ggf. wäre es hier erwägenswert mit einem unserer Experten zu sprechen falls du dir trotzdem Sorgen machst diesbzgl.

Hier ein Beitrag im Internet zu diesem Thema:

In den FAQ zu Google Fonts betont Google, dass sie Daten nur zur Darstellung der Schriftarten verarbeiten. Google führt die Daten auch nicht mit Daten aus anderen Google-Diensten zusammen. Einzig zur Analyse der Beliebtheit der verschiedenen Fonts werden aggregierte Daten verarbeitet. Eigentlich eine klare Sache – Google verarbeitet eben nur das, was sie zur Darstellung der Schriftarten benötigen.

Wieso ist es allerdings bei Google Fonts in Ordnung die vollständige IP-Adresse der Nutzer an Google zu übersenden, wenn wir Google Analytics nur mit aktivierter IP-Anonymisierung datenschutzkonform verwenden können? Und kann der Betroffene wirklich vernünftigerweise erwarten, dass seine IP-Adresse in die USA übermittelt und dort von Google gespeichert wird, nur um Schrift anzuzeigen (ErwG. 47)? Es sollte klar sein, dass auch die Verwendung von Google-Fonts datenschutzrechtlich problematisch ist. Ob das berechtigte Interesse der Webseitenbetreiber überwiegt, ist zumindest zweifelhaft.

Empfehlung für die Praxis

Ein überwiegendes berechtigtes Interesse kann nur dann vorliegen, wenn es kein milderes, gleich wirksames Mittel für die Erfüllung des Verarbeitungszwecks gibt. Der „Offline“-Modus erscheint hier jedoch genau das zu sein. Aus datenschutzrechtlicher Sicht ist es daher zu empfehlen, die Schriftarten lokal auf den Servern zu speichern. Nutzen Sie dafür etwa folgende Anleitung.

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Lösung in ursprünglichem Beitrag anzeigen

Gabe
Shopify Staff
Shopify Staff
7475 1198 1943

Erfolg.

Hey @Jensuchtwissen @151RUM 

Unsere Entwickler bestätigen dass unsere Fonts von unserem eigenen CDN gehostet werden, und wir sammeln keine Benutzerinformationen. 

VG,

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Lösung in ursprünglichem Beitrag anzeigen

11 ANTWORTEN 11
Gabe
Shopify Staff
Shopify Staff
7475 1198 1943

Erfolg.

Hey Jen! @Jensuchtwissen 

Bisher gab es fröhlicherweise noch keine Abmahnung eines Shopbesitzer auf der Shopify Plattform wegen den sog. "Web Safe" Fonts von Google. Siehe aber hier wie du deine eigene Fonts zum Shop hinzufügen kannst. Ggf. wäre es hier erwägenswert mit einem unserer Experten zu sprechen falls du dir trotzdem Sorgen machst diesbzgl.

Hier ein Beitrag im Internet zu diesem Thema:

In den FAQ zu Google Fonts betont Google, dass sie Daten nur zur Darstellung der Schriftarten verarbeiten. Google führt die Daten auch nicht mit Daten aus anderen Google-Diensten zusammen. Einzig zur Analyse der Beliebtheit der verschiedenen Fonts werden aggregierte Daten verarbeitet. Eigentlich eine klare Sache – Google verarbeitet eben nur das, was sie zur Darstellung der Schriftarten benötigen.

Wieso ist es allerdings bei Google Fonts in Ordnung die vollständige IP-Adresse der Nutzer an Google zu übersenden, wenn wir Google Analytics nur mit aktivierter IP-Anonymisierung datenschutzkonform verwenden können? Und kann der Betroffene wirklich vernünftigerweise erwarten, dass seine IP-Adresse in die USA übermittelt und dort von Google gespeichert wird, nur um Schrift anzuzeigen (ErwG. 47)? Es sollte klar sein, dass auch die Verwendung von Google-Fonts datenschutzrechtlich problematisch ist. Ob das berechtigte Interesse der Webseitenbetreiber überwiegt, ist zumindest zweifelhaft.

Empfehlung für die Praxis

Ein überwiegendes berechtigtes Interesse kann nur dann vorliegen, wenn es kein milderes, gleich wirksames Mittel für die Erfüllung des Verarbeitungszwecks gibt. Der „Offline“-Modus erscheint hier jedoch genau das zu sein. Aus datenschutzrechtlicher Sicht ist es daher zu empfehlen, die Schriftarten lokal auf den Servern zu speichern. Nutzen Sie dafür etwa folgende Anleitung.

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

151RUM
Entdecker
17 0 5

Hallo @Gabe ,

die Fonts von google werden aber doch über Euch selbst ( Shopify ) gehostet oder? Somit ist es doch quasi so, dass man sie nicht über Google selbst hostet. Oder seh ich das falsch?

Gruß

Gabe
Shopify Staff
Shopify Staff
7475 1198 1943

Hey @151RUM 

Ja, eine gute Frage. Um mal ein Beispiel zu verwenden, ich weiss dass Google Fonts in unseren Chinesischen Shops manchmal sehr langsam loaden oder gar zu page Timeouts führen in China, und da denke ich ist es aus dem Grund, dass die somit von Google (der böse "Bubi" in China) gehostet oder gezogen werden. Shopify ist ja nicht auf der Blacklist in China, wie es bei Google der Fall ist.

Man kann auch jetzt die websichere "Web Safe" Fonts verwenden (siehe diese Liste der W3 Schools), und wenn du die neueste Theme Version mit dem neuen Font Picker testest (einfach eins unserer Themes nochmal zum Shop hinzufügen als Testumgebung), scheint es, dass Monotype-Schriften z. B. in China derzeit nicht blockiert werden von dem was unser Chinesisches Team beobachtet (um das Google Beispiel nochmal zu erwähnen). Ich habe hier einen hilfreichen Blog Artikel zu diesem Thema Google Fonts und das China Beispiel.

Nicht vergessen: es dürfte ausreichen wenn man einen Abschnitt/Paragraphen in der Shop Datenschutzerklärung zum Thema Google und Google Fonts hat.

Aber das Aufrufen einer benutzerdefinierten Schriftart im Theme erfordert eine Menge an benutzerdefiniertem Code sowie das Auffinden jeder einzelnen Klasse, der die Schriftart zugeordnet werden muss, was über den Umfang unserer Unterstützung hinausgehen würde, wie es in unserer Designrichtlinie beschrieben ist.

Ich denke die vorhandenen Fonts in unseren Themes wurden ausgewählt, weil sie auf allen Bildschirmen, Browsern, Page Speeds, Internet Verbindungen, und auch im Druck gut aussehen. Früher hatten wir nicht unterstützte Anleitungen für das Hinzufügen neuer TypeKit-Fonts zu den Shopify-Themes, aber es wurde so unüberschaubar, mit den Aktualisierungen von Drittanbietern für die Integration von Web-Schriften in Shopify-Themes Schritt zu halten, also wurden die Leitfäden entfernt.

VG,

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

151RUM
Entdecker
17 0 5

@Gabe 

wie gesagt, wenn ich in den Quellcode schaue werden alle Fonts über Shopify cdn gehostet und nicht über google.

z.B.

https://fonts.shopifycdn.com/montserrat/montserrat_n6.7a3c341961dc23aaabcc116124b80f2a7abec1a2.woff2...

Ich werde es mal mit in die Datenschutzbestimmungen aufnehmen, aber wenn Shopify das auf seinen Servern selbst hostet, kommt es ja nicht direkt von google.

 

151RUM
Entdecker
17 0 5

Hey @Gabe 

wie gesagt, wenn ich in den Quellcode schaue werden alle Fonts über Shopify cdn gehostet und nicht über google.

z.B.

https://fonts.shopifycdn.com/montserrat/montserrat_n6.7a3c341961dc23aaabcc116124b80f2a7abec1a2.woff2...

Ich werde es mal mit in die Datenschutzbestimmungen aufnehmen, aber wenn Shopify das auf seinen Servern selbst hostet, kommt es ja nicht direkt von google.

 

Gabe
Shopify Staff
Shopify Staff
7475 1198 1943

Genau! Halte mich auf dem laufenden

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Gabe
Shopify Staff
Shopify Staff
7475 1198 1943

Erfolg.

Hey @Jensuchtwissen @151RUM 

Unsere Entwickler bestätigen dass unsere Fonts von unserem eigenen CDN gehostet werden, und wir sammeln keine Benutzerinformationen. 

VG,

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

dirk66
Tourist
8 0 1

Hallo @Gabe,

da du hier im Beitrag sehr aktiv warst hab ich mir mal erlaubt dich zu verlinken.

Ich habe da noch eine – hoffentlich kurze Rückfrage. Ich sehe zwar – wie oben erwähnt – auch die CDN-Links von Shopify im Header… 

<link rel="preload" as="font" href="https://fonts.shopifycdn.com/open_sans_condensed/opensanscondensed_n7.4affb7f68a527b5e8ba3583f0c8be9..." type="font/woff2" crossorigin="">

… weiter unten im <body> taucht aber dieser Link hier auf.

<link rel="stylesheet" href="https://fonts.googleapis.com/css2?family=Open+Sans+Condensed:wght@300;400;700&amp;display=swap" media="all">

Kann man den deaktivieren? Der sorgt ja wieder für einen Aufruf auf GoogleServern womit wir wieder am Anfang der Diskussion wären, oder?

Beste Grüße
D

Gabe
Shopify Staff
Shopify Staff
7475 1198 1943
Hey Dirk! @dirk66 
 
Danke fuer die Infos und hier gibt es ein paar Dinge zu beachten bevor wir die Google Fonts komplett entfernen denn das könnte Probleme für das reibungslose Anzeigen deines Shops und die darin enthaltenen Texte verursachen was auch ohne Zweifel zu einer verminderten Experience der Besucher zu deinem Shop führt.
 
Das folgende bitte zuerst in einer Theme Kopie testen: Du kannst z. B. in die theme.liquid gehen - und ganz oben eine Zeile wie die folgende finden (natürlich Theme-abhängig):
 
<link href='http://fonts.googleapis.com/css?family=Open+Sans:400,700'; rel='stylesheet' type='text/css'>

Lösche die ganze Zeile - oder alles mit fonts.googleapis.com - alles innerhalb des < bis zum > Tag und das dürfte dann klappen

Siehe weitere interessante Links zu diesem Thema hier:
 

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Sandra26
Neues Mitglied
2 0 0

Hallo, gibt es seitens Shopify denn nun eine klare Stellungnahme zum Problem. Sind die Shopify Shops mit jeglichen Google Font sicher. Aktuelle Urteil in einem solchen Fall: https://www.onlinehaendler-news.de/e-recht/aktuelle-urteile/135948-schadensersatz-rechtswidriger-ein...

Gabe
Shopify Staff
Shopify Staff
7475 1198 1943

Hey @Sandra26 

 

Danke für den Link und was der Website-Betreiberin passiert ist, ist sehr bedauerlich. Das Problem ist dass die meisten Plattforms Google Fonts anwenden denn diese sind die einzigen sog. "Web-Safe Fonts", sprich, sie sind WYSIWYG (what you see is what you get) und auch Barrierefreiheiten-freundlich, sprich, gut für User die irgendwie körperlich beeinträchtigt sind. Manche Händler haben versucht ihre eigenen Fonts auf der Webseite einzurichten was aber fast immer zu "Text Rendering" Probleme geführt hat auf verschiedene Browser und auch auf Handy.

 

Dann ist es auch so, dass die meisten Händler, v. a. in Deutschland, einen Cookie Banner eingerichtet haben die die IP des Users "anonymisieren" wie zum Beispiel die GDPR App von unseren deutschen Shopify Partner Beeclever oder die Cookie Consent Manager App.

 

Google Fonts. Wie es funktioniert:

 

Die Google Fonts API fordert Schriftdateien und CSS-Assets an und lädt sie herunter, damit beim Besuch einer Webseite die richtigen Schriftarten angezeigt werden. Diese Inhalte werden im Cache des Browsers gespeichert und bei Bedarf aktualisiert. Wenn die Cache-Assets des Browsers übereinstimmen, können verschiedene Domains die gleichen Assets verwenden. In Googles eigenen Worten:

 

Die Schriftdateien selbst werden ein Jahr lang im Cache gespeichert, was insgesamt dazu führt, dass das gesamte Web schneller wird: Wenn Millionen von Websites alle auf dieselben Schriftarten verlinken, werden sie nach dem Besuch der ersten Website zwischengespeichert und erscheinen sofort auf allen weiteren besuchten Websites. Manchmal aktualisieren wir die Schriftdateien, um ihre Dateigröße zu verringern, die Sprachabdeckung zu erhöhen und die Qualität des Designs zu verbessern. Das Ergebnis ist, dass Website-Besucher nur sehr wenige Anfragen an Google senden: Wir sehen nur 1 CSS-Anfrage pro Schriftfamilie, pro Tag, pro Browser.

 

Wenn der Besucher auf z. B. fonts.com die für die korrekte Anzeige der Seite erforderlichen Schriftarten noch nicht im Cache gespeichert hat, wird eine Anfrage an den Google-Server gestellt, um die richtigen Assets und Dateien zu beschaffen, die im Browser gespeichert und die erforderlichen Google Fonts geladen werden.

 

Und hier wird es knifflig: Sendet die API-Anfrage etwas, das mit personenbezogenen Daten im Sinne der Datenschutzgrundverordnung zu tun hat? Welche Fragen sollten wir stellen, um festzustellen, ob wir Maßnahmen ergreifen müssen?

 

Bei den gespeicherten personenbezogenen Daten handelt es sich mindestens um die IP-Adresse des Website-Besuchers. Und ja, das sind personenbezogene Daten im Sinne der DSGVO, da es sich um eine eindeutige persönliche Kennung handelt.

 

Als Webseitenbetreiber, der die Google Fonts implementiert hat, musst du also die Besucher deiner Website um Erlaubnis oder Zustimmung bitten, bevor die Anfrage an den Google-Server gestellt wird, und das kannst du mit den oben genannten Cookie Banner Apps machen.

Dies ist die Datenschutzerklärung von Google zu Google Fonts:

 

Die Google Fonts API wurde entwickelt, um die Sammlung, Speicherung und Nutzung von Endnutzerdaten auf das zu beschränken, was für die effiziente Bereitstellung von Schriften erforderlich ist.

 

Diese vage Aussage legt nahe, dass personenbezogene Daten (IP-Adresse) gespeichert werden, nachdem die Anfrage gestellt wurde, egal ob sie begrenzt ist oder nicht. Also ist eine Zustimmung erforderlich! Das bedeutet, dass die Website Google Fonts nicht von den Google-Servern laden kann, ohne vorher die Zustimmung einzuholen: Die Website muss Google Fonts sperren, die Zustimmung einholen und schließlich, nachdem die Zustimmung erteilt wurde, die Schriftarten laden. Die Cookie Banner Apps machen genau das.

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog