Symbolbild für Google Fonts und die DSGVO

Google Fonts & DSGVO: Schriftarten sicher einbinden

Mit Google Fonts stehen Ihrem Unternehmen hunderte kostenfreie Schriftarten zur Verfügung, die Sie auf Ihrer Website kommerziell nutzen dürfen. Voraussetzung dafür ist eine DSGVO-konforme Einbindung der Fonts.  

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2023-09-05

Logo
  • Author: Katharina Schreiner
    Als Volljuristin mit Schwerpunkt im Datenschutzrecht und zertifizierte Datenschutzbeauftragte verfügt Katharina über langjährige Erfahrung in der Beratung zur Umsetzung datenschutzrechtlicher Vorgaben in Unternehmen. Seit 2021 leitet sie das Beraterteam bei Proliance. Katharina begleitete Unternehmen noch vor Geltung der DSGVO bei der Einführung der „neuen“ Datenschutzstandards und bleibt gemeinsam mit ihrem Team auch bei aktuellen Themen am Ball. Das Expertenteam unterstützt branchenübergreifend Unternehmen sowohl bei alltäglichen Fragestellungen zum Datenschutz wie auch bei datenschutzrelevanten Projekten oder akuten Vorfällen. Der Schwerpunkt liegt dabei stets auf einem nachhaltigen, digitalen Datenschutzmanagement, das Unternehmen für alle Datenschutzfragen rüstet. Neben der datenschutzrechtlichen Beratung unterstützt Katharina mit ihrem Team Unternehmen auch bei der Umsetzung des Hinweisgeberschutzes. Katharina vermittelt Know-How zu verschiedenen Datenschutzthemen und zum Whistleblowing regelmäßig als Speakerin in Webinaren und in Online-Beiträgen.

Google Fonts & DSGVO: Schriftarten sicher einbinden

Was sind Google Fonts?

Bei Google Fonts handelt es sich um ein Verzeichnis von mittlerweile über 1.500 Schriftarten. Der Suchmaschinenbetreiber Google stellt diese lizenzfrei und kostenlos zur Verfügung. Websitebetreibende dürfen die Web Fonts ohne Kennzeichnung auf jeder beliebigen Webseite verwenden.

Der Vorteil dabei: Der Dienst ist für die Google Suchmaschine optimiert. Außerdem lassen sich Google Fonts kommerziell nutzen. Und: Google Schriften machen Webseiten nicht nur optisch ansprechender, sondern auch schneller. Denn die Schriftarten liegen auf den Servern von Google und sparen Platz auf den Servern von Websitebetreibenden.

Das sogenannte Cross-Site-Caching sorgt dafür, dass eine Schriftart nur einmal aktiviert werden muss. Auf jeder anderen Website, auf der die gleiche Google Font verwendet wurde, kann die zwischengespeicherte Schriftart dann noch schneller geladen werden.

Doch ist diese Nutzung von Google Fonts datenschutzrechtlich sicher

Google Fonts & Datenschutz: Was ist zu beachten?

Wenn etwas kostenlos ist, gibt es in der Regel einen Haken. Das gilt auch für Google Fonts: In der Praxis werden diese Schriftarten häufig in einer Weise genutzt, die eineDatenübermittlung in die USA auslöst. Werden die Web Fonts über einen Link eingebunden, stellen sie eine Serververbindung zu Google her.

Beim Laden einer Website, auf der Google Fonts eingebunden wurden, übermittelt der Browser der Websitebesucher:innen verschiedene Informationen zur einheitlichen Darstellung der Schriftarten an Google. Dazu gehören neben Browser- und Gerätedaten auch die IP-Adressen der User:innen – die personenbezogene Daten darstellen.  

Das bedeutet konkret: Durch die Einbindung von Google Fonts werden personenbezogene Daten an die Server von Google in den USA übermittelt. Laut der Datenschutzgrundverordnung (DSGVO) müssen Betroffene in diesem Fall vor der Verarbeitung ihrer Daten zunächst darüber informiert werden.

Zudem muss eine Rechtsgrundlage für die Verarbeitung einschlägig sein. Bei der Nutzung von Google Fonts kommen zwei Rechtsgrundlagen in Betracht:  

  • Das überwiegende berechtigte Interesse der Websitebetreibenden.  

  • Eine Einwilligung durch die Nutzer:innen. 

Das Einholen einer Einwilligung scheitert häufig jedoch bereits daran, dass Websites so konfiguriert wurden, dass die Datenübermittlung sofort beim Aufrufen der Website stattfindet und keine Steuerung über ein „Cookiebanner“ bzw. Consent-Management-System erfolgt.  

Zudem stellt Google keine ausreichenden Informationen darüber zur Verfügung, welche Daten zu welchem Zweck verarbeitet oder wie lange sie gespeichert werden. Diese Informationen sind jedoch für die Einholung einer freiwilligen, informierten Einwilligung notwendig.


Was sagt Google dazu?

Laut Google werden personenbezogene Daten durch die Nutzung der Google Web Fonts lediglich in einem technisch erforderlichen Mindestmaß übermittelt. Google führt die Daten nach eigener Aussage außerdem nicht mit anderen Google-Diensten zusammen.

Aus datenschutzrechtlicher Sicht bleiben dennoch viele Fragen offen, auf die die Datenschutz-Grundverordnung eine Antwort verlangt.

Nutzen Sie Google Fonts DSGVO konform?

Unternehmen sollten die Einbindung von Google Fonts auf ihrer Website überprüfen, um Betroffenenanfragen zu vermeiden. Wir werfen mit Ihnen gemeinsam einen Blick auf Ihre Website, um herauszufinden, ob diese datenschutzkonform ist – unverbindlich und kostenfrei.

Jetzt Termin anfragen


Google Fonts datenschutzkonform einbinden: 3 Schritte zur sicheren Nutzung

Damit Sie die Google Schriftarten auf Ihrer Website weiterhin rechtssicher nutzen, sind nur wenige Schritte notwendig. Wir zeigen Ihnen, wie Sie vorgehen.


Schritt 1: Einbindung der Google Fonts auf Ihrer Website checken

Prüfen Sie zunächst, ob Google Fonts auf Ihrer Unternehmenswebsite eingebunden wird und in welcher Weise:

  • dynamisch über Server von Google 

  • statisch auf Ihren eigenen Servern

Mit der dynamischen Einbindung des US-Webdienstes Google Fonts entsteht die beschriebene kritische Verbindung, über die IP-Adressen an den Anbieter übermittelt werden. Diesen direkten Draht zu Google sollten Sie in Zukunft vermeiden und stattdessen die Google Fonts lokal einbinden.

Sind auf Ihrer Website Web Fonts von Google eingebunden, die jedoch bereits über Ihre eigenen Server geladen werden, müssen Sie nichts weiter beachten.

Schritt 2: Google Fonts datenschutzkonform auf dem eigenen Webserver einbinden

Wenn Sie Google Fonts statisch beziehungsweise lokal nutzen, wird beim Aufruf der Website keine Verbindung zu einem Google-Server hergestellt. Auf diese Weise vermeiden eine Übertragung der IP-Adresse Ihrer Website-Nutzer:innen an Google.

So gehen Sie vor:

  • Laden Sie die gewünschten Schriftarten bei Google herunter.  

  • Anschließend laden Sie die Dateien auf Ihren eigenen Webserver. 

  • Die Schriftarten können von nun an in verschiedenen Formaten auf Ihrer Website genutzt werden. Das erleichtert Ihnen die Nutzung passend zu Ihren individuellen Systemen. 

  • Prüfen Sie mit Ihrer IT oder mit Expert:innen für die Webentwicklung, ob die Web Fonts korrekt von Ihrem Server geladen werden. 

Dieses Vorgehen erfordert keine Einwilligung und die Legalität wird sogar in Googles FAQ zu Google Fonts bestätigt. Allerdings wirkt sich die lokale Einbindung von Google Fonts negativ auf die Ladezeiten Ihrer Website aus. Außerdem liegt die Aktualisierung der Schriftarten nach der lokalen Einbindung in Ihrer Hand.

Aufgrund dieser Nachteile könnte datenschutzrechtlich mit einem überwiegenden berechtigten Interesse der Websitebetreiber:innen argumentiert werden. Im Falle eines überwiegenden berechtigten Interesses der Verantwortlichen ist keine gesonderte Einwilligung der Betroffenen erforderlich.

Ob die genannten Nachteile bei der lokalen Einbindung von Google Fonts den Aufsichtsbehörden jedoch ausreichen, um ein überwiegendes berechtigtes Interesse zu rechtfertigen, ist nicht abschließend geklärt. Wer auf Nummer sicher gehen will, sollte deshalb die Google Web Fonts lokal einbinden.

Zudem steht den Websitebesucher:innen im Fall des berechtigten Interesses als Rechtsgrundlage grundsätzlich auch das Recht auf Widerspruch gegen die Datenverarbeitung zu, dessen Umsetzung gewährleistet sein müsste.

Schritt 3: Google Fonts in Datenschutzerklärung aufnehmen

Wenn Sie Google Web Fonts dynamisch über Google Server einbinden: Sie müssen die Verwendung in Ihrer Datenschutzerklärung erwähnen. Sie müssen Ihre Websitebesucher:innen unter anderem darüber informieren

  • warum und welche personenbezogenen Daten sie über Google Fonts verarbeiten,

  • wie lange die Daten gespeichert werden,  

  • auf welcher Rechtsgrundlage das geschieht und  

  • wie Nutzer:innen der Datenerhebung widersprechen bzw. wie sie eine Einwilligung können. 

Entscheiden Sie sich gegen die lokale Einbindung müssen Sie darüber hinaus Ihren Cookie-Banner bzw. Ihr Consent Management System anpassen.

 

Für eine sichere Nutzung von Google Fonts: Datenschutzerklärung Muster erstellen lassen

Sie benötigen eine DSGVO-konforme Datenschutzerklärung, die Google Fonts berücksichtigt? Wir unterstützen Sie dabei.

Jetzt Beratung anfordern

 

Fazit zu Google Fonts & DSGVO

IP-Adressen gehören zu den personenbezogenen Daten. Laut DSGVO muss zur Erfassung und Weitergabe solcher Daten eine Rechtsgrundlage vorliegen. Eine Einwilligung wird in den meisten Fällen bei Einbindung der Google Schriftarten nicht eingeholt, was einen Verstoß gegen geltendes Datenschutzrecht bedeuten kann, sofern sich Webseitenbetreibende nicht erfolgreich auf berechtigte Interessen berufen können.

Google Fonts waren bereits Gegenstand gerichtlicher Verfahren. So hat das Landgericht München in seinem Urteil vom 20.01.2022 (3 O 17493/20) entschieden, dass ein berechtigtes Interesse an der Einbindung über Google Server nicht vorliegt und im Fall auch keine Einwilligung eingeholt wurde.

Die durch das Urteil ausgelöste Abmahnwelle hat viele Unternehmen verunsichert. Einige Betroffene haben sich dagegen zur Wehr gesetzt und in zwischen wurde das Vorgehen einiger Abmahnenden von einigen Gerichten für rechtsmissbräuchlich erklärt. Dennoch ist es weiterhin wichtig, Google Fonts sauber in Websites einzubinden, um Beschwerden und Klagen von Betroffenen zu vermeiden.

Das gilt übrigens auch für alle anderen externen Inhalte, die über fremde Server bereitgestellt werden. Dazu gehören zum Beispiel JavaScript-Codes, YouTube-Videos oder Social-Media-Inhalte. Solche Elemente sind heute Standard auf vielen Websites – ihre datenschutzrechtliche Einbindung ist es dagegen nicht.

Wir unterstützen Sie dabei, diese und weitere Datenschutzthema zu einem selbstverständlichen Teil Ihres Unternehmensalltags zu machen.


Autor: Sabrina Quente
05.09.2023

Weitere Beiträge zu diesem Thema

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr