Google Fonts: DSGVO-konform einbinden

Google Fonts und DSGVO: Was Webseitenbetreiber beachten müssen, um Schriftarten datenschutzkonform zu nutzen.

google_fonts
Inhalt dieser Seite

Urteil des LG München I vom 20.01.2022

Anhand eines aktuellen Falls bezüglich der Nutzung von Google Fonts auf Webseiten ist diese nach Ansicht des LG München I datenschutzwidrig und nicht durch das berechtigte Interesse nach Art. 6 Abs. 1 f) DSGVO abdeckbar.

Das Urteil des LG München I für die Beklagte lautet: Datenschutzverstoß – Schadensersatz und Unterlassungsanspruch für die Weitergabe von IP-Adresse an Google durch Nutzung von Google Fonts.

"Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 - VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an. Die Beklagte verletzte das Recht des Klägers auf informationelle Selbstbestimmung, indem die Beklagte die dynamische IP-Adresse an Google weiterleitete, als der Kläger die Webseite der Beklagten aufrief."

Was sagt das Datenschutzrecht zu der Nutzung von Google Fonts?

Ist Google Fonts DSGVO-konform? Kann ich Google Fonts als Websitebetreiber bedenkenlos nutzen? Sobald dieses Tool in den Fokus gerät, sind sich die Websitebetreiber uneinig. Wir bringen Licht ins Dunkel und zeigen Ihnen, wie Sie Google Fonts bedenkenlos ausspielen und wie auch andere Schriftarten DSGVO-konform genutzt werden können. Denn gegen eine Verwendung von Google Fonts spricht grundsätzlich nichts, solange sich die WebMaster an eines halten:

Die Einbindung von Google Fonts unterliegt der DSGVO. Und das heißt: damit Google Fonts DSGVO-konform genutzt werden kann, bedarf es einer Rechtsgrundlage.

Sammlung personenbezogener Daten durch Google Fonts

Wenn eine Google Font/Schriftart vom Browser des Webseitenbesuchers angefordert wird, erfasst Google die IP-Adresse des Users und verwendet diese für Analysezwecke.

Google macht daraus keinen Hehl und schreibt dies transparent in den AGB zur Google Fonts API. Auch legt Google dar, wie die erfassten Daten genau analysiert werden;

Die aggregierten Nutzerzahlen werden beispielsweise dafür genutzt, um die Beliebtheit einer bestimmten Schriftart zu messen. Das Ergebnis wird dann in Form einer Statistik auf der Google Analyseseite veröffentlicht.

Darüber hinaus nutzt Google auch die Daten des Google Webcrawlers. So findet Google heraus, welche Websites die Schriftarten von Google Fonts nutzen. Diese Daten lassen sich dann in der Google BigQuery-Datenbank von Google Fonts finden.
In Bezug auf die DSGVO sieht sich Google in diesem Zusammenhang als „Controller“ bzw. „Verantwortlicher“ für Google Fonts.

Google Fonts - DSGVO-konform: So geht's!

Doch Google Fonts lässt sich trotz Datenerhebung durch Google DSGVO-konform einsetzen. Wir zeigen Ihnen wie.

Zuerst muss jedoch noch eines geklärt werden: die Rechtsgrundlage. Hier kann entweder ein Berechtigtes Interesse oder eine Einwilligung als Rechtsgrundlage herangezogen werden.

Google Fonts erfasst und verarbeitet die IP-Adresse des Webseitenbesuchers – für die Erhebung solcher personenbezogenen Daten bedarf es einer expliziten Einwilligung durch den Nutzer.

Wir raten davon ab, sich auf das berechtigte Interesse zu stützen. Manch eine/r nutzt argumentiert mit dem Page Speeds, da die Fonts über den Server schneller geladen werden. Allerdings ist der Unterschied zu vernachlässigen. In jedem Fall wäre eine Widerspruchsmöglichkeit in Form eines Opt-Outs wichtig. Es müsste nämlich gewährleistet sein, dass bei fehlendem Opt-In oder einem Opt-Out keine Verbindung zum Google Server durch Google Fonts aufgebaut wird, um den Austausch von Daten zu verhindern. Dies ist in sofern schwierig, als dass dies bereits beim Aufruf der Seite geschieht. Außerdem muss die Möglichkeit geschaffen werden, dass im Fall des Widerspruchs eine Ersatz-Schriftart herhält. Die technische Umsetzung ist unnötig kompliziert – mindestens komplizierter als die datenschutzkonforme Alternative, die wir Ihnen im Folgenden vorschlagen möchten.

Da das berechtigte Interesse keine wirkliche Möglichkeit darstellt, müssen Sie für die Verwendung von Google Fonts auf Ihrer Website unbedingt die Einwilligung des Webseitenbesuchers als Rechtsgrundlage einholen. Doch selbst eine Einwilligung bietet seit dem Schrems II Urteil bezüglich des Privacy Shields (ein Datenschutzabkommen mit den USA) keine 100prozentige Konformität mehr mit der DSGVO.

Datenverarbeitung in den USA

Das liegt daran, dass Google seinen Standort in den USA hat. Beim Aufruf einer Website, die Google Fonts eingebunden hat, wird Kontakt zum Google Server aufgenommen. Dabei können personebezogene Daten wie die IP Adresse des Websitebesuchers übermittelt werden. Bei der Einwilligung über ein Cookie Banner sind folgende Aspekte dringend zu beachten:

Wichtig:

  • Die Kriterien für eine rechtsgültige Einwilligung im Sinne der DSGVO müssen erfüllt sein.
  • Darüber hinaus muss die Einwilligung des Webseitenbesuchers eingeholt werden, bevor ein URL Call von GoogleFonts zur Google Fonts API stattfindet.

BEST PRACTICE: Lokales Hosting von Google Fonts

Wie wir nun wissen, können wir uns weder auf das berechtigte Interesse als Rechtsgrundlage für die Verwendung von Google Fonts stützen, noch reicht die Einwilligung über das Cookie Banner für 100%ige DSGVO-Konformität. Es gibt aber einen Weg, Google Fonts zu nutzen, ohne Nutzerdaten dabei mit Google zu teilen.

Um die standardmäßige Verbindung zum Google Server zu verhindern und die Normen der DSGVO einzuhalten, raten wir zu der lokalen Einbindung der Google Fonts, welches datenschutzrechtlich den besten und sichersten Umgang mit den Schriften darstellt.

Im Fall der lokalen Einbindung von Google Fonts, werden die Schriften vom eigenen Server und nicht von den Google Servern geladen. In diesem Fall können Sie sich auch auf ein berechtigtes Interesse stützen, da keine Daten an Drittanbieter gesendet werden.

Google Fonts Alternativen: DSGVO-konforme Einbindung anderer Webfonts

Wie sieht es mit anderen Fonts von anderen Anbietern aus? Gibt es hier Besonderheiten? Wir stellen Ihnen die drei beliebtesten Fonts vor:

Fontawesome

Bei der beliebten Web Icon Library wird die IP-Adresse ebenfalls übertragen, wenn Sie die Icons anzeigen und laden wollen. So erfasst auch FontAwesome personenbezogene Daten im Sinne der Datenschutz-Grundverordnung.

Folge: Sie benötigen für die Verwendung von FontAwesome eine Rechtsgrundlage nach
Art. 6 DSGVO.

 

Adobe Fonts (Typekit)

Über diesen Dienst von Adobe können Sie auf eine Schriftbibliothek zugreifen. Dabei ist Typekit ein reiner Hosting-Dienst.

Das heißt: ein Hosting auf eigenen Servern oder ein Download des Katalogs sind nicht möglich.

 

Fonts.com

Dies ist der eigene Webfont-Service von Monotype. Er umfasst hauseigene Schriften aber auch Schriften externer Hersteller, beispielsweise Adobe.

fonts.com wird auf Monotype-Servern gehostet. Ein Download zu Layoutzwecken oder Selfhosting ist je nach Tarif möglich.

Fazit: Checkliste zur DSGVO-konformen Einbindung von Schriftarten

  • Werden auf meiner Webseite Google Fonts oder andere Schriftarten verwendet? Wenn ja, wie?
  • Welche Rechtsgrundlage ist einschlägig: berechtigtes Interesse oder eine Einwilligung?
  • Ist eine lokale Einbindung möglich? Wenn nicht: Binden Sie ein Consent Tool oder eine Consent Management Platform ein.
  • Möchten Sie die Schriftart lokal ausspielen? Nutzen Sie die aktuelle Version der Schriftart, laden Sie die Dateien auf den eigenen Server und binden Sie das CSS ein.
  • Das duale Betreiben von lokalen und nicht-lokalen Schriften (Opt-In-pflichtig) wird ebenfalls nicht empfohlen.
 
Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Cookies & 3rd-Party-Services detektieren?

Sicherheit durch regelmäßige Insights-Scans gewinnen und Risiken durch die Einhaltung von rechtlichen Vorgaben reduzieren.

Ihre Vorteile mit dem Privacy Hub

Mit dem Privacy Hub erhalten Sie Zugang zu allen Datenschutz-Features, die Sie für die Umsetzung der DSGVO-Vorgaben auf Ihren Websites benötigen. Mittels Dashboard können Sie das Ergebnis Ihres DSGVO-Scores auf einen Blick erfassen und alle Datenschutzerklärungen zentral verwalten.

google_fonts
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo