21. 07. 2021, Robert Reitmann

Google Fonts datenschutzkonform auf Website einbinden

Manchmal ist es besser statisch zu sein!

In letzter Zeit mehren sich Abmahnungen inklusive der Geltendmachung von Schadenersatz- bzw. Unterlassungsanspr├╝chen durch diverse Anw├Ąlte aufgrund der Einbindung von Google Web Fonts in die eigene Website.

In diesem Artikel erfahren Sie,

  • warum Google Fonts ein Fall f├╝r den Datenschutz sind,
  • warum Sie beim Einsatz von YouTube und anderen Google Tools unter Umst├Ąnden gegen die DSGVO versto├čen, ohne es zu wissen
  • und wie Sie Google Fonts korrekt einsetzen ohne rechtliche Konsequenzen f├╝rchten zu m├╝ssen.

Was sind Google Fonts und wie bindet man diese ein?

Google bietet eine Vielzahl an unterschiedlichen Schriftarten (zusammengefasst: Google Fonts), welche Google grunds├Ątzlich kostenlos zur Verf├╝gung stellt. Dabei kann man die Schriftarten entweder statisch oder dynamisch in die eigene Website einbinden.
Einbindungs-Alternative 1: Bei der statischen Einbindung wird die jeweilige Schriftart auf dem eigenen Server hochgeladen und von dort aus lokal in die eigene Website eingebunden.
Einbindungs-Alternative 2: Bei der dynamischen Variante wird eine Verbindung zu einem Google Server aufgebaut und von dort aus die Schriftart f├╝r die eigene Website geladen.

Letztere Variante stellt also eine Verbindung mit einem Server in den USA her.

Welchen Zweck haben Google Fonts?

Der Einsatz von Fonts auf der Website dient vorwiegend dazu, das Erscheinungsbild der Seite f├╝r den Benutzer zu optimieren, sowie die Seite besser bedienbar und lesbar zu machen. Die Verwendung von Fonts w├╝rde sich daher grunds├Ątzlich mit dem berechtigten Interesse des Website-Betreibers argumentieren lassen.

Das (derzeitige) datenschutzrechtliche Problem

Sofern Fonts jedoch ├╝ber US-amerikanische Server (siehe oben Einbindungs-Alternative 2 f├╝r Google Fonts) oder Server in einem Drittland ohne Angemessenheitsbeschluss geladen werden, ist datenschutzrechtlich zus├Ątzlich eine Garantie in Bezug auf die Daten├╝bermittlung in ein "unsicheres" Drittland notwendig, da bei einem derartigen Request die IP-Adresse des jeweiligen Besuchers an den Server ├╝bermittelt wird. Eine derartige Garantie kann z.B. die informierte Einwilligung des Nutzers bzw. der Abschluss von EU-Standardvertragsklauseln darstellen, wobei beides bei Daten├╝bermittlung in die USA als umstritten gilt (Argument: Zugriff von Sicherheitsbeh├Ârden).

Die Realisierung einer Einwilligungsl├Âsung bei Fonts kann auch zu Komplikationen f├╝hren, da im Fall des Ablehnens durch den Nutzer die Seite mit Standardschriften oder sogar mit falschen Symbolen (z.B. bei Fontawesome) angezeigt werden k├Ânnte.

Unsere Handlungsempfehlung

Unser Rat ist daher Fonts aus einem unsicheren Drittland (u.a. derzeit USA) lokal auf dem eigenen Webserver zu installieren, um hier kein Nachladen von einem externen Server zu erm├Âglichen (siehe oben Einbindungs-Alternative 1). In diesem Fall m├╝sste dann das Laden von Fonts nicht speziell (neben einer Beschreibung des normalen Server-Hostings) in die Datenschutzerkl├Ąrung aufgenommen werden. Auch ein Nachladen von einem CDN innerhalb der EU w├Ąre eine m├Âgliche Option, hier w├Ąre die Beschreibung dieses Vorgangs jedoch (gest├╝tzt auf berechtigtes Interesse) in die Datenschutzerkl├Ąrung aufzunehmen.

WebCare hilft bei Google Fonts

WebCare findet zuverl├Ąssig die Einbindung von Google Fonts auf der eigenen Website, soweit diese ├╝ber die Alternative 2 eingebunden wurden. WebCare erkennt dabei den Request an den externen Server, der im Falle von Google Fonts in den USA steht. F├╝r Kunden von WebCare hei├čt dies, findet WebCare Google Fonts als Datenschutzmodul, dann wurde die derzeit umstrittene Einbindungs-Alternative 2 gew├Ąhlt. Hier raten die Experten von DataReporter dazu, die jeweiligen Fonts lokal zu hosten (siehe Handlungsempfehlung oben).

ACHTUNG! Google Fonts wird auch durch die Nutzung von Google Tools wie z.B. Google Maps verwendet und durch das Tool selbst eingebunden. Dh. auch wenn Sie Ihre f├╝r die Website ma├čgeblichen Google Fonts lokal hosten, jedoch eine Google Maps Integration ohne 2-Klick L├Âsung betreiben, wird trotzdem eine externe Verbindung f├╝r das Nachladen von Schriftarten ├╝ber Google Maps aufgebaut.

Man kann ├╝brigens eine 2-Klick L├Âsung f├╝r Google Maps problemlos mit WebCare umsetzen. Wie das geht zeigen wir hier Ôćĺ zum Hilfeportal

WebCare und die Einwilligung

Sofern eine Zustimmungsl├Âsung mit WebCare umgesetzt werden soll, ist sicherzustellen, dass das Font-Tool ├╝ber den WebCare Tag Manager bei WebCare (Option: "nach Einwilligung") eingebunden wird. Die passende Beschreibung von Google Fonts f├╝r die Datenschutzerkl├Ąrung liefert Ihnen WebCare automatisch, sofern Sie die automatische Modulliste n├╝tzen. Ansonsten muss kontrolliert werden, ob die Beschreibung von Google Fonts in der DSE auf Daten├╝bermittlung in ein unsicheres Drittland (z.B. USA) sowie die Rechtsgrundlage Einwilligung, hinweist und bei Bedarf m├╝ssen Sie Beschreibung anpassen, damit die Zustimmung in transparenter Weise erteilt werden kann.

Grafik: Backend WebCare Tag Manager

Bildquellen:

  • pixabay.com, Tama66

  • freepik.com, rawpixel.com

  • freepik.com, jcomp, flaticon.com

  • freepik.com, fanjianhua

Sonja Seirlehner, MBA MSc,
Head of Business Development DataReporter GmbH
Neugierig geworden?

Sie haben noch Fragen?

Gerne nehmen wir uns Zeit f├╝r Sie und beraten Sie unverbindlich.
Wir freuen uns auf Ihre Kontaktaufnahme!