Google Fonts datenschutzkonform auf Website einbinden

  • von

Update und Ergänzung zu unserem Artikel (23. August 2022)

Bekanntmachung und Information der Österreichischen Datenschutzbehörde (DSB) zum Thema Abmahnungen wegen Google Fonts.

"Laut den der Datenschutzbehörde vorliegenden Informationen haben zahlreiche Unternehmen ein anwaltliches Schreiben erhalten, mit dem diese aufgefordert werden, aufgrund der Einbindung von Google Fonts auf der Unternehmenswebsite einen Schadenersatzanspruch und Vertretungskosten in Höhe von insgesamt EUR 190,00 anzuerkennen und auf ein anwaltliches Konto einzubezahlen (...)." Die DSB stellt auf ihrer Webseite allgemeine Informationen zum Antrag auf Auskunft und der Einbindung von Google Fonts zur Verfügung. (Quelle: DSB, Abruf am 23.08.2022)

Manchmal ist es besser statisch zu sein!

In letzter Zeit mehren sich Abmahnungen inklusive der Geltendmachung von Schadenersatz- bzw. Unterlassungsansprüchen durch diverse Anwälte aufgrund der Einbindung von Google Web Fonts in die eigene Website.

In diesem Artikel erfahren Sie, 

  • warum Google Fonts ein Fall für den Datenschutz sind,
  • warum Sie beim Einsatz von YouTube und anderen Google Tools unter Umständen gegen die DSGVO verstoßen, ohne es zu wissen
  • und wie Sie Google Fonts korrekt einsetzen ohne rechtliche Konsequenzen fürchten zu müssen.

Was sind Google Fonts und wie bindet man diese ein?

Google bietet eine Vielzahl an unterschiedlichen Schriftarten (zusammengefasst: Google Fonts), welche Google grundsätzlich kostenlos zur Verfügung stellt. Dabei kann man die Schriftarten entweder statisch oder dynamisch in die eigene Website einbinden.
Einbindungs-Alternative 1: Bei der statischen Einbindung wird die jeweilige Schriftart auf dem eigenen Server hochgeladen und von dort aus lokal in die eigene Website eingebunden.
Einbindungs-Alternative 2: Bei der dynamischen Variante wird eine Verbindung zu einem Google Server aufgebaut und von dort aus die Schriftart für die eigene Website geladen.

Letztere Variante stellt also eine Verbindung mit einem Server in den USA her.

Welchen Zweck haben Google Fonts?

Der Einsatz von Fonts auf der Website dient vorwiegend dazu, das Erscheinungsbild der Seite für den Benutzer zu optimieren, sowie die Seite besser bedienbar und lesbar zu machen. Die Verwendung von Fonts würde sich daher grundsätzlich mit dem berechtigten Interesse des Website-Betreibers argumentieren lassen.

Das (derzeitige) datenschutzrechtliche Problem

Sofern Fonts jedoch über US-amerikanische Server (siehe oben Einbindungs-Alternative 2 für Google Fonts) oder Server in einem Drittland ohne Angemessenheitsbeschluss geladen werden, ist datenschutzrechtlich zusätzlich eine Garantie in Bezug auf die Datenübermittlung in ein "unsicheres" Drittland notwendig, da bei einem derartigen Request die IP-Adresse des jeweiligen Besuchers an den Server übermittelt wird. Eine derartige Garantie kann z.B. die informierte Einwilligung des Nutzers bzw. der Abschluss von EU-Standardvertragsklauseln darstellen, wobei beides bei Datenübermittlung in die USA als umstritten gilt (Argument: Zugriff von Sicherheitsbehörden).

Die Realisierung einer Einwilligungslösung bei Fonts kann auch zu Komplikationen führen, da im Fall des Ablehnens durch den Nutzer die Seite mit Standardschriften oder sogar mit falschen Symbolen (z.B. bei Fontawesome) angezeigt werden könnte.

Update und Ergänzung zu unserem Artikel (03. November 2022)

US Präsident Joe Biden hat am 7. Oktober 2022 ein Dekret für ein neues Datenschutzabkommen zwischen USA und EU unterzeichnet.

Im nächsten Schritt wird von der Europäischen Kommission ein Angemessenheitsbeschluss ausgearbeitet und das Annahmeverfahren eingeleitet. Der Zeitrahmen dieser Entwicklungen ist gegenwärtig noch unbekannt.

Update und Ergänzung zu unserem Artikel (23. November 2022)

Google gab nun ein erstes Statement ab und äußerte sich in Form eines Update via Google Fonts Blog.

Laut Google werden bei der Einbettung der Open-Source Schriftarten lediglich jene Daten erfasst, gespeichert und verwendet, die für eine effiziente Bereitstellung von Schriftarten und für aggregierte Nutzungsstatistiken erforderlich sind. Die Daten werden nicht für die Profilerstellung von Endkunden und zur Setzung von Werbemaßnahmen verwendet. "Google respects the privacy of individuals." ist der genaue Wortlaut seitens des Google Fonts Teams.

 

Unsere Handlungsempfehlung

Unser Rat ist daher Fonts aus einem unsicheren Drittland (u.a. derzeit USA) lokal auf dem eigenen Webserver zu installieren, um hier kein Nachladen von einem externen Server zu ermöglichen (siehe oben Einbindungs-Alternative 1). In diesem Fall müsste dann das Laden von Fonts nicht speziell (neben einer Beschreibung des normalen Server-Hostings) in die Datenschutzerklärung aufgenommen werden. Auch ein Nachladen von einem CDN innerhalb der EU wäre eine mögliche Option, hier wäre die Beschreibung dieses Vorgangs jedoch (gestützt auf berechtigtes Interesse) in die Datenschutzerklärung aufzunehmen.

WebCare hilft bei Google Fonts

WebCare findet zuverlässig die Einbindung von Google Fonts auf der eigenen Website, soweit diese über die Alternative 2 eingebunden wurden. WebCare erkennt dabei den Request an den externen Server, der im Falle von Google Fonts in den USA steht. Für Kunden von WebCare heißt dies, findet WebCare Google Fonts als Datenschutzmodul, dann wurde die derzeit umstrittene Einbindungs-Alternative 2 gewählt. Hier raten die Experten von DataReporter dazu, die jeweiligen Fonts lokal zu hosten (siehe Handlungsempfehlung oben).

ACHTUNG! Google Fonts wird auch durch die Nutzung von Google Tools wie z.B. Google Maps verwendet und durch das Tool selbst eingebunden. Dh. auch wenn Sie Ihre für die Website maßgeblichen Google Fonts lokal hosten, jedoch eine Google Maps Integration ohne 2-Klick Lösung betreiben, wird trotzdem noch vor Zustimmung der NutzerInnen eine externe Verbindung für das Nachladen von Schriftarten über Google Maps aufgebaut.

Man kann übrigens eine 2-Klick Lösung für Google Maps problemlos mit WebCare umsetzen. Wie das geht zeigen wir hier → zum Hilfeportal

Grafik: Backend WebCare Tag Manager

WebCare und die Einwilligung

Sofern eine Zustimmungslösung mit WebCare umgesetzt werden soll, ist sicherzustellen, dass das Font-Tool über den WebCare Tag Manager bei WebCare (Option: "nach Einwilligung") eingebunden wird. Die passende Beschreibung von Google Fonts für die Datenschutzerklärung liefert Ihnen WebCare automatisch, sofern Sie die automatische Modulliste nützen. Ansonsten muss kontrolliert werden, ob die Beschreibung von Google Fonts in der DSE auf Datenübermittlung in ein unsicheres Drittland (z.B. USA) sowie die Rechtsgrundlage Einwilligung, hinweist und bei Bedarf müssen Sie Beschreibung anpassen, damit die Zustimmung in transparenter Weise erteilt werden kann.

 

Bildquellen:

  • pixabay.com, Tama66
  • freepik.com, rawpixel.com
  • freepik.com, jcomp, flaticon.com
  • freepik.com, fanjianhua

Zurück