Google Fonts und DSGVO: Was Webseitenbetreiber beachten müssen, um Schriftarten datenschutzkonform zu nutzen.
Anhand eines aktuellen Falls bezüglich der Nutzung von Google Fonts auf Webseiten ist diese nach Ansicht des LG München I datenschutzwidrig und nicht durch das berechtigte Interesse nach Art. 6 Abs. 1 f) DSGVO abdeckbar.
Das Urteil des LG München I für die Beklagte lautet: Datenschutzverstoß – Schadensersatz und Unterlassungsanspruch für die Weitergabe von IP-Adresse an Google durch Nutzung von Google Fonts.
„Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 – VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an. Die Beklagte verletzte das Recht des Klägers auf informationelle Selbstbestimmung, indem die Beklagte die dynamische IP-Adresse an Google weiterleitete, als der Kläger die Webseite der Beklagten aufrief.“
Mit dem Privacy Hub erhalten Sie Zugriff auf alle Datenschutz-Features, die Sie für die Umsetzung der DSGVO-Vorgaben auf Ihren Websites benötigen.
Ist Google Fonts DSGVO-konform? Kann ich Google Fonts als Websitebetreiber bedenkenlos nutzen? Sobald dieses Tool in den Fokus gerät, sind sich die Websitebetreiber uneinig. Wir bringen Licht ins Dunkel und zeigen Ihnen, wie Sie Google Fonts bedenkenlos ausspielen und wie auch andere Schriftarten DSGVO-konform genutzt werden können. Denn gegen eine Verwendung von Google Fonts spricht grundsätzlich nichts, solange sich die WebMaster an eines halten:
Die Einbindung von Google Fonts unterliegt der DSGVO. Und das heißt: damit Google Fonts DSGVO-konform genutzt werden kann, bedarf es einer Rechtsgrundlage.
Wenn eine Google Font/Schriftart vom Browser des Webseitenbesuchers angefordert wird, erfasst Google die IP-Adresse des Users und verwendet diese für Analysezwecke.
Google macht daraus keinen Hehl und schreibt dies transparent in den AGB zur Google Fonts API. Auch legt Google dar, wie die erfassten Daten genau analysiert werden;
Die aggregierten Nutzerzahlen werden beispielsweise dafür genutzt, um die Beliebtheit einer bestimmten Schriftart zu messen. Das Ergebnis wird dann in Form einer Statistik auf der Google Analyseseite veröffentlicht.
Darüber hinaus nutzt Google auch die Daten des Google Webcrawlers. So findet Google heraus, welche Websites die Schriftarten von Google Fonts nutzen. Diese Daten lassen sich dann in der Google BigQuery-Datenbank von Google Fonts finden.
In Bezug auf die DSGVO sieht sich Google in diesem Zusammenhang als „Controller“ bzw. „Verantwortlicher“ für Google Fonts.
Doch Google Fonts lässt sich trotz Datenerhebung durch Google DSGVO-konform einsetzen. Wir zeigen Ihnen wie.
Zuerst muss jedoch noch eines geklärt werden: die Rechtsgrundlage. Hier kann entweder ein Berechtigtes Interesse oder eine Einwilligung als Rechtsgrundlage herangezogen werden.
Google Fonts erfasst und verarbeitet die IP-Adresse des Webseitenbesuchers – für die Erhebung solcher personenbezogenen Daten bedarf es einer expliziten Einwilligung durch den Nutzer.
Wir raten davon ab, sich auf das berechtigte Interesse zu stützen. Manch eine/r nutzt argumentiert mit dem Page Speeds, da die Fonts über den Server schneller geladen werden. Allerdings ist der Unterschied zu vernachlässigen. In jedem Fall wäre eine Widerspruchsmöglichkeit in Form eines Opt-Outs wichtig.
Es müsste nämlich gewährleistet sein, dass bei fehlendem Opt-In oder einem Opt-Out keine Verbindung zum Google Server durch Google Fonts aufgebaut wird, um den Austausch von Daten zu verhindern. Dies ist in sofern schwierig, als dass dies bereits beim Aufruf der Seite geschieht. Außerdem muss die Möglichkeit geschaffen werden, dass im Fall des Widerspruchs eine Ersatz-Schriftart herhält. Die technische Umsetzung ist unnötig kompliziert – mindestens komplizierter als die datenschutzkonforme Alternative, die wir Ihnen im Folgenden vorschlagen möchten.
Da das berechtigte Interesse keine wirkliche Möglichkeit darstellt, müssen Sie für die Verwendung von Google Fonts auf Ihrer Website unbedingt die Einwilligung des Webseitenbesuchers als Rechtsgrundlage einholen. Doch selbst eine Einwilligung bietet seit dem Schrems II Urteil bezüglich des Privacy Shields (ein Datenschutzabkommen mit den USA) keine 100prozentige Konformität mehr mit der DSGVO.
Das liegt daran, dass Google seinen Standort in den USA hat. Beim Aufruf einer Website, die Google Fonts eingebunden hat, wird Kontakt zum Google Server aufgenommen. Dabei können personebezogene Daten wie die IP Adresse des Websitebesuchers übermittelt werden. Bei der Einwilligung über ein Cookie Banner sind folgende Aspekte dringend zu beachten:
Wichtig:
Wie wir nun wissen, können wir uns weder auf das berechtigte Interesse als Rechtsgrundlage für die Verwendung von Google Fonts stützen, noch reicht die Einwilligung über das Cookie Banner für 100%ige DSGVO-Konformität. Es gibt aber einen Weg, Google Fonts zu nutzen, ohne Nutzerdaten dabei mit Google zu teilen.
Um die standardmäßige Verbindung zum Google Server zu verhindern und die Normen der DSGVO einzuhalten, raten wir zu der lokalen Einbindung der Google Fonts, welches datenschutzrechtlich den besten und sichersten Umgang mit den Schriften darstellt.
Im Fall der lokalen Einbindung von Google Fonts, werden die Schriften vom eigenen Server und nicht von den Google Servern geladen. In diesem Fall können Sie sich auch auf ein berechtigtes Interesse stützen, da keine Daten an Drittanbieter gesendet werden.
Wie sieht es mit anderen Fonts von anderen Anbietern aus? Gibt es hier Besonderheiten? Wir stellen Ihnen die drei beliebtesten Fonts vor:
Bei der beliebten Web Icon Library wird die IP-Adresse ebenfalls übertragen, wenn Sie die Icons anzeigen und laden wollen. So erfasst auch FontAwesome personenbezogene Daten im Sinne der Datenschutz-Grundverordnung.
Folge: Sie benötigen für die Verwendung von FontAwesome eine Rechtsgrundlage nach
Art. 6 DSGVO.
Über diesen Dienst von Adobe können Sie auf eine Schriftbibliothek zugreifen. Dabei ist Typekit ein reiner Hosting-Dienst.
Das heißt: ein Hosting auf eigenen Servern oder ein Download des Katalogs sind nicht möglich.
Dies ist der eigene Webfont-Service von Monotype. Er umfasst hauseigene Schriften aber auch Schriften externer Hersteller, beispielsweise Adobe.
fonts.com wird auf Monotype-Servern gehostet. Ein Download zu Layoutzwecken oder Selfhosting ist je nach Tarif möglich.
Müheloses Website-Compliance Management für Ihr Unternehmen.
Wir helfen Unternehmen dabei, die gesetzlichen Anforderungen für Websites, Apps und Social Media umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Mit unserer DSGVO-Software, spezialisierten E-Learnings oder in der Beratung zu Consent Management sorgen wir dafür, dass die gesetzlichen Vorschriften eingehalten und rechtliche Risiken minimiert werden.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zur Web-Compliance und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
