Den Dienst Google Fonts gibt es nun seit rund 20 Jahren. Dabei ist das Portfolio der Schriftarten, die jede:r kostenlos und ohne weitere Kennzeichnung auf jeder beliebigen Website verwenden kann, auf ca. 1000 Optionen in über 135 verschiedenen Sprachen angewachsen. Ein weiteres Plus ist, dass der Dienst bereits für die Google Suchmaschine optimiert ist. Google Fonts sollen Webseiten außerdem nicht nur optisch ansprechender, sondern auch schneller machen. Über das sog. Cross-Site-Caching muss eine Schriftart nur einmal aktiviert werden. Auf jeder anderen Website, auf der die gleiche Google Font verwendet wurde, kann die zwischengespeicherte Schriftart dann noch schneller geladen werden.
Was haben Google Fonts mit der DSGVO zu tun?
Der Haken an der Sache ist, dass beim Laden einer Website, auf der Google Fonts eingebunden wurden, eine Verbindung zu den Servern von Google aufgebaut wird. Dabei übermittelt der Browser des Nutzers / der Nutzerin, der / die die Seite besucht, verschiedene Informationen zur einheitlichen Darstellung an Google. Diese sind unter anderem Browser- und Gerätedaten, aber auch die IP-Adressen der User:innen – welche personenbezogene Daten darstellen. Demnach werden durch die Einbindung von Google Fonts personenbezogene Daten an die Server von Google in den USA übermittelt. Laut DSGVO müssen Betroffene aber zunächst darüber informiert werden, wenn es zur Verarbeitung ihrer personenbezogenen Daten kommt. Zudem muss eine Rechtsgrundlage für die Verarbeitung einschlägig sein. Bei der Nutzung von Google Fonts kommen zwei Rechtsgrundlagen in Betracht: Das überwiegende berechtigte Interesse des Website-Betreibers / der Website-Betreiberin oder eine Einwilligung des Nutzers / der Nutzerin.
Eine Einwilligung des Nutzers / der Nutzerin einzuholen scheitert daran, dass die Übermittlung sofort beim Aufrufen der Website stattfindet. Zudem stellt Google keine ausreichenden Informationen zur Verfügung (welche Daten zu welchem Zweck verarbeitet werden, wie lange sie gespeichert werden, etc), die aber für die Einholung einer freiwilligen, informierten Einwilligung notwendig wären. Laut Google selbst werden personenbezogene Daten durch die Nutzung der Webfonts lediglich in einem technisch erforderlichen Mindestmaß übermittelt. Google führt die Daten nach eigener Aussage auch nicht mit anderen Google-Diensten zusammen. Das lässt jedoch immer noch viele Fragen offen, auf die die Datenschutz-Grundverordnung eine Antwort verlangt.
Welche Möglichkeiten gibt es Google Fonts DSGVO-konform zu nutzen?
Prinzipiell kommen zwei Vorgehensweisen in Frage:
Es besteht die Möglichkeit, die gewünschten Google Fonts herunterzuladen, lokal einzubinden und dann die Verbindung zu den Google Servern zu kappen. Dieses Vorgehen erfordert keine Einwilligung und die Legalität wird sogar in Googles FAQ zu Google Fonts bestätigt. Wir verlinken hier eine Anleitung, wie das lokale Einbinden von Google Fonts und die Trennung zu Googles Servern funktioniert. Diese Option wirkt sich allerdings negativ auf die Ladezeiten und die integrierte Suchmaschinenoptimierung von Google aus und auch die Aktualisierung der Schriftarten ist danach Aufgabe der Webseiten-Betreiber:innen. Deshalb kommt in der Praxis häufig Möglichkeit 2 zum Einsatz.
Da das lokale Einbinden von Google Fonts Nachteile mit sich bringt, könnte datenschutzrechtlich mit einem überwiegenden berechtigten Interesse der Website-Betreiber:innen argumentiert werden. Im Falle eines überwiegenden berechtigten Interesses des / der Verantwortlichen ist keine gesonderte Einwilligung des / der Betroffenen erforderlich. Ob die genannten Nachteile bei der lokalen Einbindung von Google Fonts den Aufsichtsbehörden ausreichen, um ein überwiegendes berechtigtes Interesse zu rechtfertigen, ist jedoch nicht abschließend geklärt. Wer auf Nummer sicher gehen will, sollte deshalb Möglichkeit 1 vorziehen.
Autorin: Maike Weiss
Artikel veröffentlicht am 29.06.2020