BLOG

Google Fonts: DSGVO-konform einbinden

21. Januar 2021

Inhalt der Seite

    Was sagt das Datenschutzrecht zu der Nutzung von Google Fonts?

    Ist Google Fonts DSGVO-konform? Kann ich Google Fonts als Websitebetreiber bedenkenlos nutzen? Sobald dieses Tool in den Fokus gerät, sind sich die Websitebetreiber uneinig. Wir bringen Licht ins Dunkel und zeigen Ihnen, wie Sie Google Fonts bedenkenlos ausspielen und wie auch andere Schriftarten DSGVO-konform genutzt werden können. Denn gegen eine Verwendung von Google Fonts spricht grundsätzlich nichts, solange sich die WebMaster an eines halten:

    Die Einbindung von Google Fonts unterliegt der DSGVO. Und das heißt: damit Google Fonts DSGVO-konform genutzt werden kann, bedarf es einer Rechtsgrundlage.

    Sammlung personenbezogener Daten durch Google Fonts

    Wenn eine Google Font/Schriftart vom Browser des Webseitenbesuchers angefordert wird, erfasst Google die IP-Adresse des Users und verwendet diese für Analysezwecke.

    Google macht daraus keinen Hehl und schreibt dies transparent in den AGB zur Google Fonts API. Auch legt Google dar, wie die erfassten Daten genau analysiert werden;

    Die aggregierten Nutzerzahlen werden beispielsweise dafür genutzt, um die Beliebtheit einer bestimmten Schriftart zu messen. Das Ergebnis wird dann in Form einer Statistik auf der Google Analyseseite veröffentlicht.

    Darüber hinaus nutzt Google auch die Daten des Google Webcrawlers. So findet Google heraus, welche Websites die Schriftarten von Google Fonts nutzen. Diese Daten lassen sich dann in der Google BigQuery-Datenbank von Google Fonts finden.
    In Bezug auf die DSGVO sieht sich Google in diesem Zusammenhang als „Controller“ bzw. „Verantwortlicher“ für Google Fonts.

    arrow-right

    DSGVO Beratung für Webseiten-Inhaber

    Jetzt datenschutzkonform werden!

    Google Fonts - DSGVO-konform: So geht's!

    Doch Google Fonts lässt sich trotz Datenerhebung durch Google DSGVO-konform einsetzen. Wir zeigen Ihnen wie.

    Zuerst muss jedoch noch eines geklärt werden: die Rechtsgrundlage. Hier kann entweder ein Berechtigtes Interesse oder eine Einwilligung als Rechtsgrundlage herangezogen werden.

    Berechtigtes Interesse als Rechtsgrundlage für Google Fonts

    Google Fonts erfasst und verarbeitet die IP-Adresse des Webseitenbesuchers - für die Erhebung solcher personenbezogenen Daten bedarf es einer expliziten Einwilligung durch den Nutzer.

    Wir raten davon ab, sich auf das berechtigte Interesse zu stützen. Manch eine/r nutzt argumentiert mit dem Page Speeds, da die Fonts über den Server schneller geladen werden. Allerdings ist der Unterschied zu vernachlässigen. In jedem Fall wäre eine Widerspruchsmöglichkeit in Form eines Opt-Outs wichtig. Es müsste nämlich gewährleistet sein, dass bei fehlendem Opt-In oder einem Opt-Out keine Verbindung zum Google Server durch Google Fonts aufgebaut wird, um den Austausch von Daten zu verhindern. Dies ist in sofern schwierig, als dass dies bereits beim Aufruf der Seite geschieht. Außerdem muss die Möglichkeit geschaffen werden, dass im Fall des Widerspruchs eine Ersatz-Schriftart herhält. Die technische Umsetzung ist unnötig kompliziert – mindestens komplizierter als die datenschutzkonforme Alternative, die wir Ihnen im Folgenden vorschlagen möchten.

    Einwilligung als Rechtsgrundlage für Google Fonts

    Da das berechtigte Interesse keine wirkliche Möglichkeit darstellt, müssen Sie für die Verwendung von Google Fonts auf Ihrer Website unbedingt die Einwilligung des Webseitenbesuchers als Rechtsgrundlage einholen. Doch selbst eine Einwilligung bietet seit dem Schrems II Urteil bezüglich des Privacy Shields (ein Datenschutzabkommen mit den USA) keine 100prozentige Konformität mehr mit der DSGVO.

    Datenverarbeitung in den USA

    Das liegt daran, dass Google seinen Standort in den USA hat. Beim Aufruf einer Website, die Google Fonts eingebunden hat, wird Kontakt zum Google Server aufgenommen. Dabei können personebezogene Daten wie die IP Adresse des Websitebesuchers übermittelt werden. Bei der Einwilligung über ein Cookie Banner sind folgende Aspekte dringend zu beachten:

    Wichtig:

    • Die Kriterien für eine rechtsgültige Einwilligung im Sinne der DSGVO müssen erfüllt sein.
    • Darüber hinaus muss die Einwilligung des Webseitenbesuchers eingeholt werden, bevor ein URL Call von GoogleFonts zur Google Fonts API stattfindet.

    BEST PRACTICE: Lokales Hosting von Google Fonts

    Wie wir nun wissen, können wir uns weder auf das berechtigte Interesse als Rechtsgrundlage für die Verwendung von Google Fonts stützen, noch reicht die Einwilligung über das Cookie Banner für 100%ige DSGVO-Konformität. Es gibt aber einen Weg, Google Fonts zu nutzen, ohne Nutzerdaten dabei mit Google zu teilen.

    Um die standardmäßige Verbindung zum Google Server zu verhindern und die Normen der DSGVO einzuhalten, raten wir zu der lokalen Einbindung der Google Fonts, welches datenschutzrechtlich den besten und sichersten Umgang mit den Schriften darstellt.

    Im Fall der lokalen Einbindung von Google Fonts, werden die Schriften vom eigenen Server und nicht von den Google Servern geladen. In diesem Fall können Sie sich auch auf ein berechtigtes Interesse stützen, da keine Daten an Drittanbieter gesendet werden.

    Google Fonts Alternativen: DSGVO-konforme Einbindung anderer Webfonts

    Wie sieht es mit anderen Fonts von anderen Anbietern aus? Gibt es hier Besonderheiten? Wir stellen Ihnen die drei beliebtesten Fonts vor:

     

    Fontawesome

    Bei der beliebten Web Icon Library wird die IP-Adresse ebenfalls übertragen, wenn Sie die Icons anzeigen und laden wollen. So erfasst auch FontAwesome personenbezogene Daten im Sinne der Datenschutz-Grundverordnung.

    Folge: Sie benötigen für die Verwendung von FontAwesome eine Rechtsgrundlage nach
    Art. 6 DSGVO.

     

    Adobe Fonts (Typekit)

    Über diesen Dienst von Adobe können Sie auf eine Schriftbibliothek zugreifen. Dabei ist Typekit ein reiner Hosting-Dienst.

    Das heißt: ein Hosting auf eigenen Servern oder ein Download des Katalogs sind nicht möglich.

     

    Fonts.com

    Dies ist der eigene Webfont-Service von Monotype. Er umfasst hauseigene Schriften aber auch Schriften externer Hersteller, beispielsweise Adobe.

    fonts.com wird auf Monotype-Servern gehostet. Ein Download zu Layoutzwecken oder Selfhosting ist je nach Tarif möglich.

    • hilfe

      Wie können wir Ihnen helfen?

    Wir helfen Ihnen bei Fragen zu unseren Produkten oder zum Thema Datenschutz gerne weiter:

    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    FAZIT

    Checkliste zur DSGVO-konformen Einbindung von Schriftarten

    • Werden auf meiner Webseite Google Fonts oder andere Schriftarten verwendet? Wenn ja, wie?
    • Welche Rechtsgrundlage ist einschlägig: berechtigtes Interesse oder eine Einwilligung?
    • Ist eine lokale Einbindung möglich? Wenn nicht: Binden Sie ein Consent Tool oder eine Consent Management Platform ein.
    • Möchten Sie die Schriftart lokal ausspielen? Nutzen Sie die aktuelle Version der Schriftart, laden Sie die Dateien auf den eigenen Server und binden Sie das CSS ein.
    • Das duale Betreiben von lokalen und nicht-lokalen Schriften (Opt-In-pflichtig) wird ebenfalls nicht empfohlen.