BLOG
Google Fonts: DSGVO-konform einbinden
31. Januar 2022
Urteil des LG München I vom 20.01.2022
Anhand eines aktuellen Falls bezüglich der Nutzung von Google Fonts auf Webseiten ist diese nach Ansicht des LG München I datenschutzwidrig und nicht durch das berechtigte Interesse nach Art. 6 Abs. 1 f) DSGVO abdeckbar.
Das Urteil des LG München I für die Beklagte lautet: Datenschutzverstoß - Schadensersatz und Unterlassungsanspruch für die Weitergabe von IP-Adresse an Google durch Nutzung von Google Fonts.
"Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 - VI ZR 135/13).
Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an.
Die Beklagte verletzte das Recht des Klägers auf informationelle Selbstbestimmung, indem die Beklagte die dynamische IP-Adresse an Google weiterleitete, als der Kläger die Webseite der Beklagten aufrief."
Was sagt das Datenschutzrecht zu der Nutzung von Google Fonts?
Ist Google Fonts DSGVO-konform? Kann ich Google Fonts als Websitebetreiber bedenkenlos nutzen? Sobald dieses Tool in den Fokus gerät, sind sich die Websitebetreiber uneinig. Wir bringen Licht ins Dunkel und zeigen Ihnen, wie Sie Google Fonts bedenkenlos ausspielen und wie auch andere Schriftarten DSGVO-konform genutzt werden können. Denn gegen eine Verwendung von Google Fonts spricht grundsätzlich nichts, solange sich die WebMaster an eines halten:
Die Einbindung von Google Fonts unterliegt der DSGVO. Und das heißt: damit Google Fonts DSGVO-konform genutzt werden kann, bedarf es einer Rechtsgrundlage.
Sie benötigen Hilfe bei der Umsetzung der DSGVO?
Keine Sorge! Unsere Datenschutzberater stehen Ihnen jederzeit telefonisch oder per Mail zur Verfügung.
Sammlung personenbezogener Daten durch Google Fonts
Wenn eine Google Font/Schriftart vom Browser des Webseitenbesuchers angefordert wird, erfasst Google die IP-Adresse des Users und verwendet diese für Analysezwecke.
Google macht daraus keinen Hehl und schreibt dies transparent in den AGB zur Google Fonts API. Auch legt Google dar, wie die erfassten Daten genau analysiert werden;
Die aggregierten Nutzerzahlen werden beispielsweise dafür genutzt, um die Beliebtheit einer bestimmten Schriftart zu messen. Das Ergebnis wird dann in Form einer Statistik auf der Google Analyseseite veröffentlicht.
Darüber hinaus nutzt Google auch die Daten des Google Webcrawlers. So findet Google heraus, welche Websites die Schriftarten von Google Fonts nutzen. Diese Daten lassen sich dann in der Google BigQuery-Datenbank von Google Fonts finden.
In Bezug auf die DSGVO sieht sich Google in diesem Zusammenhang als „Controller“ bzw. „Verantwortlicher“ für Google Fonts.
Google Fonts - DSGVO-konform: So geht's!
Doch Google Fonts lässt sich trotz Datenerhebung durch Google DSGVO-konform einsetzen. Wir zeigen Ihnen wie.
Zuerst muss jedoch noch eines geklärt werden: die Rechtsgrundlage. Hier kann entweder ein Berechtigtes Interesse oder eine Einwilligung als Rechtsgrundlage herangezogen werden.
Google Fonts erfasst und verarbeitet die IP-Adresse des Webseitenbesuchers - für die Erhebung solcher personenbezogenen Daten bedarf es einer expliziten Einwilligung durch den Nutzer.
Wir raten davon ab, sich auf das berechtigte Interesse zu stützen. Manch eine/r nutzt argumentiert mit dem Page Speeds, da die Fonts über den Server schneller geladen werden. Allerdings ist der Unterschied zu vernachlässigen. In jedem Fall wäre eine Widerspruchsmöglichkeit in Form eines Opt-Outs wichtig. Es müsste nämlich gewährleistet sein, dass bei fehlendem Opt-In oder einem Opt-Out keine Verbindung zum Google Server durch Google Fonts aufgebaut wird, um den Austausch von Daten zu verhindern. Dies ist in sofern schwierig, als dass dies bereits beim Aufruf der Seite geschieht. Außerdem muss die Möglichkeit geschaffen werden, dass im Fall des Widerspruchs eine Ersatz-Schriftart herhält. Die technische Umsetzung ist unnötig kompliziert – mindestens komplizierter als die datenschutzkonforme Alternative, die wir Ihnen im Folgenden vorschlagen möchten.
Da das berechtigte Interesse keine wirkliche Möglichkeit darstellt, müssen Sie für die Verwendung von Google Fonts auf Ihrer Website unbedingt die Einwilligung des Webseitenbesuchers als Rechtsgrundlage einholen. Doch selbst eine Einwilligung bietet seit dem Schrems II Urteil bezüglich des Privacy Shields (ein Datenschutzabkommen mit den USA) keine 100prozentige Konformität mehr mit der DSGVO.
Datenverarbeitung in den USA
Das liegt daran, dass Google seinen Standort in den USA hat. Beim Aufruf einer Website, die Google Fonts eingebunden hat, wird Kontakt zum Google Server aufgenommen. Dabei können personebezogene Daten wie die IP Adresse des Websitebesuchers übermittelt werden. Bei der Einwilligung über ein Cookie Banner sind folgende Aspekte dringend zu beachten:
Wichtig:
- Die Kriterien für eine rechtsgültige Einwilligung im Sinne der DSGVO müssen erfüllt sein.
- Darüber hinaus muss die Einwilligung des Webseitenbesuchers eingeholt werden, bevor ein URL Call von GoogleFonts zur Google Fonts API stattfindet.
Sie benötigen eine DSGVO-konforme Cookie Banner Lösung und möchten zukünftig eine effektive Consent Management Umsetzung?
Dann sind wir der perfekte Ansprechpartner für Sie! Mehr Informationen erhalten Sie über den Button.
BEST PRACTICE: Lokales Hosting von Google Fonts
Wie wir nun wissen, können wir uns weder auf das berechtigte Interesse als Rechtsgrundlage für die Verwendung von Google Fonts stützen, noch reicht die Einwilligung über das Cookie Banner für 100%ige DSGVO-Konformität. Es gibt aber einen Weg, Google Fonts zu nutzen, ohne Nutzerdaten dabei mit Google zu teilen.
Um die standardmäßige Verbindung zum Google Server zu verhindern und die Normen der DSGVO einzuhalten, raten wir zu der lokalen Einbindung der Google Fonts, welches datenschutzrechtlich den besten und sichersten Umgang mit den Schriften darstellt.
Im Fall der lokalen Einbindung von Google Fonts, werden die Schriften vom eigenen Server und nicht von den Google Servern geladen. In diesem Fall können Sie sich auch auf ein berechtigtes Interesse stützen, da keine Daten an Drittanbieter gesendet werden.
Google Fonts Alternativen: DSGVO-konforme Einbindung anderer Webfonts
Wie sieht es mit anderen Fonts von anderen Anbietern aus? Gibt es hier Besonderheiten? Wir stellen Ihnen die drei beliebtesten Fonts vor:
Fontawesome
Bei der beliebten Web Icon Library wird die IP-Adresse ebenfalls übertragen, wenn Sie die Icons anzeigen und laden wollen. So erfasst auch FontAwesome personenbezogene Daten im Sinne der Datenschutz-Grundverordnung.
Folge: Sie benötigen für die Verwendung von FontAwesome eine Rechtsgrundlage nach
Art. 6 DSGVO.
Adobe Fonts (Typekit)
Über diesen Dienst von Adobe können Sie auf eine Schriftbibliothek zugreifen. Dabei ist Typekit ein reiner Hosting-Dienst.
Das heißt: ein Hosting auf eigenen Servern oder ein Download des Katalogs sind nicht möglich.
Fonts.com
Dies ist der eigene Webfont-Service von Monotype. Er umfasst hauseigene Schriften aber auch Schriften externer Hersteller, beispielsweise Adobe.
fonts.com wird auf Monotype-Servern gehostet. Ein Download zu Layoutzwecken oder Selfhosting ist je nach Tarif möglich.
FAZIT
Checkliste zur DSGVO-konformen Einbindung von Schriftarten
Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?
Wir helfen Ihnen gerne:
Ihr Ansprechpartner
Jörg ter Beek
Datenschutzexperte