Google Fonts:
So bleiben Sie DSGVO-konform

portrino Google Fonts
Websites

Gestalten Sie Ihre Website BITV 2.0 konform

Keine Angst mehr vor Abmahnungen

Aktuell erhalten viele Website-Betreiber Schreiben, in denen ihnen mit Abmahnung und Schadensersatz aufgrund von Datenschutzverstößen durch die dynamische Einbindung von Google Fonts gedroht wird. 

Im Folgenden erklären wir, wie Sie herausfinden, ob Ihre Website Google Fonts nutzt und wie sie DSGVO-konform eingebunden werden können.

Über den Beitrag

Julia Andrich

Content Creator

Julia Andrich

veröffentlicht am: 20.08.2024

Lesedauer: 3 min

Ein Blick auf die Risiken und Lösungen 

Was sind eigentlich Webfonts?

Code mit Webfont

Konnte man noch vor wenigen Jahren nur die installierten Schrift­arten des Compu­ters als Font auf einer Web­seite nutzen, sieht das heute, dank sogenannter Web­fonts, anders aus. Mit einer Viel­zahl an Schriften, die komplett kosten­frei auf jeder Web­site verfüg­bar sind, ist Google mittler­weile einer der beliebtesten Anbieter solcher Schrift­arten für das Internet.

Um die Fonts einfach und schnell auf der eigenen Web­site zu nutzen, bietet Google Seiten­betreiben­den die Möglich­keit, diese dynamisch einzu­binden und nur extern abzu­rufen. Dafür werden die Web­fonts nicht auf dem Server der Betrei­benden gespeichert, sondern durch die Nutzer und Nutzerinnen direkt beim Abruf der Seite nach­geladen. Der Vor­teil dabei ist, dass durch die leistungs­starken Google-Server die Schriften schnell und ohne Verzögerung im Seiten­aufbau bereit­gestellt werden können. Jedoch bietet der externe Abruf vor allem für die Nutzen­den auch Nachteile. Denn durch den direkten Bezug der Web­fonts werden im Aus­tausch wiederum personen­bezogene Daten an Google übertragen.

Die Medaille hat immer zwei Seiten

Mit Inkraft­treten der Daten­schutz­grund­verord­nung (DSGVO) 2018 wuchs die Unsicher­heit in Bezug auf den kon­formen Ein­satz von dynamisch ein­gebundenen Webfonts. Der un­gefragte Abruf von personen­bezo­genen Daten, wie beispiels­weise der IP-Adresse der Nutzenden und die Über­tragung auf Google-Server in den USA verstößt ein­deutig gegen die Richt­linien der Verord­nung und führte Anfang 2022 letzt­endlich zu einer ent­sprechen­den Klage einer Website­besucherin. Im Februar ent­schied das Land­gericht München, dass die uner­laubte Weiter­gabe der dynamischen IP-Adresse eine Verletzung des allge­meinen Per­sönlich­keits­rechts dar­stellt. Web­seiten­betrei­bende können in diesem Fall auf Unter­lassung und Schadens­ersatz ver­klagt werden. Zudem kann im schlimmsten Fall ein Ordnungs­geld von bis zu 250.000 Euro oder eine Ordnungs­haft von bis zu 6 Monaten drohen.

Wie erkenne ich, ob ich Fonts dynamisch einbinde?

Betrei­bende einer Web­site können einfach prüfen, ob sie Google Fonts dynamisch auf ihrer Seite nutzen. Dafür müssen sie im Seiten­quelltext oder im Developer Tool des Browsers nach Verlinkungen zu „fonts.googleapis.com“ und „fonts.gstatic.com“ suchen. Manch­mal kann es auch passieren, dass die Google Fonts von Dritt­an­bieter-Plugins, wie Google Maps, nach­ge­laden werden. Dies ist dann aller­dings nicht mehr einfach über den Quell­text erkenn­bar, jedoch weiter­hin im Netzwerk-Tab der Developer Tools .

Illustration Google Fonts

Wie handele ich DSGVO-konform?

Doch was können Sie tun, um nicht wieder in der Internet-Stein­zeit zu landen und dennoch DSGVO-konform zu handeln? Um eine Ab­mahnung oder sogar Klage zu vermei­den, empfehlen wir, Website-Inhalte, wie Schrift­arten, Skripte oder Bilder auf dem eigenen Server einzu­binden. Dies ist sowohl aus daten­schutzrecht­licher Sicht die beste Variante als auch urheber­rechtlich unbe­denklich, da dies von Google explizit erlaubt wurde.

Eine Anpassung der Einver­ständnis­erklärung allein stellt keine gute Alternative dar, da unklar ist, ob dies ausreicht, die Weiter­gabe der Daten in die USA zu recht­fertigen. Sollten Betrei­bende weiter­hin die Fonts direkt von Google beziehen, müssen sie mit dem Risiko leben, trotz ent­sprechender An­passungen in der Daten­schutz­erklärung und im Banner, eine Ab­mahnung oder sogar Strafe dafür zu erhalten.

Achtung bei neuen Inhalten und Plugins: Meist ändern sich die Inhalte einer Seite regel­mäßig. Mit der Zeit kommt neuer Content, wie zum Beispiel ein YouTube Video oder eine Karte von Google Maps dazu oder es werden neue Plug-ins installiert. Da­durch können zuvor über­prüfte, „saubere“ Seiten plötzlich wieder eine Ver­bindung zu den Google-Servern her­stellen, was eine erneute Über­prüfung zwingend not­wendig macht.

Hier ein Beispiel: Schon die Installation eines Plugins zur ein­fachen Ein­bindung von Pop­ups kann dazu führen, dass die Seite wieder unge­fragt mit den Servern in den USA kommuniziert, da in der Standard-Einstellung die Nutzung von Google Fonts aktiviert ist.

Sonderfall YouTube Videos – Was muss ich beachten?

Sie haben YouTube Videos auf Ihrer Website? Dann sollten Sie hier besonders aufpassen!

Im Normal­fall setzt YouTube (oder auch andere Video­formate, die Google Fonts nutzen, wie beispiels­weise Vimeo) auto­matisch Tracking-Cookies ein, sobald die Seite mit dem Video auf­gerufen wird. Das liegt daran, dass schon der Player an sich die Fonts für die richtige Dar­stellung benötigt.

Um jedoch zu ver­hindern, dass der Nutzer un­wissent­lich Daten an Google weiter­gibt, muss das Video ent­sprechend einge­bettet werden. Dafür findet man im Inter­net viele Emp­feh­lun­gen und An­leitungen. Doch nicht alle auf­geführ­ten Lö­sungen sind wirk­lich DSGVO-kon­form.

Für die mei­sten Content Manage­ment Sys­teme gibt es spezielle Cookie-Banner-Plugins, die In­halte, welche Google Fonts be­zieh­en, so lange blockieren, bis der Nutzer der Weitergabe von Daten explizit zu­ge­stimmt hat. (Neben YouTube Videos be­trifft das auch andere Google Produkte, wie bei­spiels­weise Google Maps.)

Für die korrekte Ein­bettung auf WordPress Seiten emp­fehlen wir das Plugin von Borlabs  . Dieses blendet einen Hin­weis­text ein, der den Nutzer zur Zu­stimmung auffordert. Erst nach aktiver Be­stätigung kann das Video ab­ge­spielt werden.  

Fazit: DSGVO-konforme Google Fonts – einfach und sorgenfrei

Google Fonts bieten Webentwicklern, Bloggern und Webseitenbetreibern eine unkomplizierte Möglichkeit, ansprechende Schriften kostenfrei zu nutzen. Damit der Einsatz auch DSGVO-konform bleibt, empfehlen wir das lokale Hosting der Schriften. Unsere Wartungskunden können sich darauf verlassen, dass wir Datenschutzthemen stets im Blick haben und notwendige Anpassungen zuverlässig umsetzen.

Sie möchten sichergehen, dass Ihre Website DSGVO-konform ist?

Kontaktieren Sie uns – wir kümmern uns darum, dass Ihre Schriften und andere Datenschutz-Themen optimal gelöst werden!