Google Fonts:
So bleiben Sie DSGVO-konform
Aktuell erhalten viele Website-Betreiber Schreiben, in denen ihnen mit Abmahnung und Schadensersatz aufgrund von Datenschutzverstößen durch die dynamische Einbindung von Google Fonts gedroht wird.
Im Folgenden erklären wir, wie Sie herausfinden, ob Ihre Website Google Fonts nutzt und wie sie DSGVO-konform eingebunden werden können.
veröffentlicht am: 20.08.2024
Lesedauer: 3 min
Konnte man noch vor wenigen Jahren nur die installierten Schriftarten des Computers als Font auf einer Webseite nutzen, sieht das heute, dank sogenannter Webfonts, anders aus. Mit einer Vielzahl an Schriften, die komplett kostenfrei auf jeder Website verfügbar sind, ist Google mittlerweile einer der beliebtesten Anbieter solcher Schriftarten für das Internet.
Um die Fonts einfach und schnell auf der eigenen Website zu nutzen, bietet Google Seitenbetreibenden die Möglichkeit, diese dynamisch einzubinden und nur extern abzurufen. Dafür werden die Webfonts nicht auf dem Server der Betreibenden gespeichert, sondern durch die Nutzer und Nutzerinnen direkt beim Abruf der Seite nachgeladen. Der Vorteil dabei ist, dass durch die leistungsstarken Google-Server die Schriften schnell und ohne Verzögerung im Seitenaufbau bereitgestellt werden können. Jedoch bietet der externe Abruf vor allem für die Nutzenden auch Nachteile. Denn durch den direkten Bezug der Webfonts werden im Austausch wiederum personenbezogene Daten an Google übertragen.
Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) 2018 wuchs die Unsicherheit in Bezug auf den konformen Einsatz von dynamisch eingebundenen Webfonts. Der ungefragte Abruf von personenbezogenen Daten, wie beispielsweise der IP-Adresse der Nutzenden und die Übertragung auf Google-Server in den USA verstößt eindeutig gegen die Richtlinien der Verordnung und führte Anfang 2022 letztendlich zu einer entsprechenden Klage einer Websitebesucherin. Im Februar entschied das Landgericht München, dass die unerlaubte Weitergabe der dynamischen IP-Adresse eine Verletzung des allgemeinen Persönlichkeitsrechts darstellt. Webseitenbetreibende können in diesem Fall auf Unterlassung und Schadensersatz verklagt werden. Zudem kann im schlimmsten Fall ein Ordnungsgeld von bis zu 250.000 Euro oder eine Ordnungshaft von bis zu 6 Monaten drohen.
Betreibende einer Website können einfach prüfen, ob sie Google Fonts dynamisch auf ihrer Seite nutzen. Dafür müssen sie im Seitenquelltext oder im Developer Tool des Browsers nach Verlinkungen zu „fonts.googleapis.com“ und „fonts.gstatic.com“ suchen. Manchmal kann es auch passieren, dass die Google Fonts von Drittanbieter-Plugins, wie Google Maps, nachgeladen werden. Dies ist dann allerdings nicht mehr einfach über den Quelltext erkennbar, jedoch weiterhin im Netzwerk-Tab der Developer Tools .
Doch was können Sie tun, um nicht wieder in der Internet-Steinzeit zu landen und dennoch DSGVO-konform zu handeln? Um eine Abmahnung oder sogar Klage zu vermeiden, empfehlen wir, Website-Inhalte, wie Schriftarten, Skripte oder Bilder auf dem eigenen Server einzubinden. Dies ist sowohl aus datenschutzrechtlicher Sicht die beste Variante als auch urheberrechtlich unbedenklich, da dies von Google explizit erlaubt wurde.
Eine Anpassung der Einverständniserklärung allein stellt keine gute Alternative dar, da unklar ist, ob dies ausreicht, die Weitergabe der Daten in die USA zu rechtfertigen. Sollten Betreibende weiterhin die Fonts direkt von Google beziehen, müssen sie mit dem Risiko leben, trotz entsprechender Anpassungen in der Datenschutzerklärung und im Banner, eine Abmahnung oder sogar Strafe dafür zu erhalten.
Achtung bei neuen Inhalten und Plugins: Meist ändern sich die Inhalte einer Seite regelmäßig. Mit der Zeit kommt neuer Content, wie zum Beispiel ein YouTube Video oder eine Karte von Google Maps dazu oder es werden neue Plug-ins installiert. Dadurch können zuvor überprüfte, „saubere“ Seiten plötzlich wieder eine Verbindung zu den Google-Servern herstellen, was eine erneute Überprüfung zwingend notwendig macht.
Hier ein Beispiel: Schon die Installation eines Plugins zur einfachen Einbindung von Popups kann dazu führen, dass die Seite wieder ungefragt mit den Servern in den USA kommuniziert, da in der Standard-Einstellung die Nutzung von Google Fonts aktiviert ist.
Sie haben YouTube Videos auf Ihrer Website? Dann sollten Sie hier besonders aufpassen!
Im Normalfall setzt YouTube (oder auch andere Videoformate, die Google Fonts nutzen, wie beispielsweise Vimeo) automatisch Tracking-Cookies ein, sobald die Seite mit dem Video aufgerufen wird. Das liegt daran, dass schon der Player an sich die Fonts für die richtige Darstellung benötigt.
Um jedoch zu verhindern, dass der Nutzer unwissentlich Daten an Google weitergibt, muss das Video entsprechend eingebettet werden. Dafür findet man im Internet viele Empfehlungen und Anleitungen. Doch nicht alle aufgeführten Lösungen sind wirklich DSGVO-konform.
Für die meisten Content Management Systeme gibt es spezielle Cookie-Banner-Plugins, die Inhalte, welche Google Fonts beziehen, so lange blockieren, bis der Nutzer der Weitergabe von Daten explizit zugestimmt hat. (Neben YouTube Videos betrifft das auch andere Google Produkte, wie beispielsweise Google Maps.)
Für die korrekte Einbettung auf WordPress Seiten empfehlen wir das Plugin von Borlabs . Dieses blendet einen Hinweistext ein, der den Nutzer zur Zustimmung auffordert. Erst nach aktiver Bestätigung kann das Video abgespielt werden.
Google Fonts bieten Webentwicklern, Bloggern und Webseitenbetreibern eine unkomplizierte Möglichkeit, ansprechende Schriften kostenfrei zu nutzen. Damit der Einsatz auch DSGVO-konform bleibt, empfehlen wir das lokale Hosting der Schriften. Unsere Wartungskunden können sich darauf verlassen, dass wir Datenschutzthemen stets im Blick haben und notwendige Anpassungen zuverlässig umsetzen.
Sie möchten sichergehen, dass Ihre Website DSGVO-konform ist?
Kontaktieren Sie uns – wir kümmern uns darum, dass Ihre Schriften und andere Datenschutz-Themen optimal gelöst werden!
