Google Fonts:
So bleiben Sie DSGVO-konform

portrino Google Fonts
Websites

Gestalten Sie Ihre Website BITV 2.0 konform

Worum geht's

Keine Angst mehr vor Abmahnungen

Aktuell erhalten viele Website-Betreiber Schreiben, in denen ihnen mit Abmahnung und Schadensersatz aufgrund von Datenschutzverstößen durch die dynamische Einbindung von Google Fonts gedroht wird. 

Im Folgenden erklären wir, wie Sie herausfinden, ob Ihre Website Google Fonts nutzt und wie sie DSGVO-konform eingebunden werden können.

Was sind google fonts

  • die Schriftbibliothek bietet kostenlose, vielseitige Schriftarten für Webdesigns
  • einfache Einbindung in Websites dank minimaler Codierung
  • umfangreiche Auswahl und große Vielfalt an Schriftstilen und Varianten
Google Fonts Logo

im detail

Ein Blick auf die Risiken und Lösungen 

Was sind eigentlich Webfonts?

Code mit Webfont

Konnte man noch vor wenigen Jahren nur die installierten Schriftarten des Computers als Font auf einer Webseite nutzen, sieht das heute, dank sogenannter Webfonts, anders aus. Mit einer Vielzahl an Schriften, die komplett kostenfrei auf jeder Website verfügbar sind, ist Google mittlerweile einer der beliebtesten Anbieter solcher Schriftarten für das Internet.

Um die Fonts einfach und schnell auf der eigenen Website zu nutzen, bietet Google Seitenbetreibenden die Möglichkeit, diese dynamisch einzubinden und nur extern abzurufen. Dafür werden die Webfonts nicht auf dem Server der Betreibenden gespeichert, sondern durch die Nutzer und Nutzerinnen direkt beim Abruf der Seite nachgeladen. Der Vorteil dabei ist, dass durch die leistungsstarken Google-Server die Schriften schnell und ohne Verzögerung im Seitenaufbau bereitgestellt werden können. Jedoch bietet der externe Abruf vor allem für die Nutzenden auch Nachteile. Denn durch den direkten Bezug der Webfonts werden im Austausch wiederum personenbezogene Daten an Google übertragen.

Die Medaille hat immer zwei Seiten

Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) 2018 wuchs die Unsicherheit in Bezug auf den konformen Einsatz von dynamisch eingebundenen Webfonts. Der ungefragte Abruf von personenbezogenen Daten, wie beispielsweise der IP-Adresse der Nutzenden und die Übertragung auf Google-Server in den USA verstößt eindeutig gegen die Richtlinien der Verordnung und führte Anfang 2022 letztendlich zu einer entsprechenden Klage einer Websitebesucherin. Im Februar entschied das Landgericht München, dass die unerlaubte Weitergabe der dynamischen IP-Adresse eine Verletzung des allgemeinen Persönlichkeitsrechts darstellt. Webseitenbetreibende können in diesem Fall auf Unterlassung und Schadensersatz verklagt werden. Zudem kann im schlimmsten Fall ein Ordnungsgeld von bis zu 250.000 Euro oder eine Ordnungshaft von bis zu 6 Monaten drohen.

Wie erkenne ich, ob ich Fonts dynamisch einbinde?

Betreibende einer Website können einfach prüfen, ob sie Google Fonts dynamisch auf ihrer Seite nutzen. Dafür müssen sie im Seitenquelltext oder im Developer Tool des Browsers nach Verlinkungen zu „fonts.googleapis.com“ und „fonts.gstatic.com“ suchen. Manchmal kann es auch passieren, dass die Google Fonts von Drittanbieter-Plugins, wie Google Maps, nachgeladen werden. Dies ist dann allerdings nicht mehr einfach über den Quelltext erkennbar, jedoch weiterhin im Netzwerk-Tab der Developer Tools .

Illustration Google Fonts

Wie handele ich DSGVO-konform?

Doch was können Sie tun, um nicht wieder in der Internet-Steinzeit zu landen und dennoch DSGVO-konform zu handeln? Um eine Abmahnung oder sogar Klage zu vermeiden, empfehlen wir, Website-Inhalte, wie Schriftarten, Skripte oder Bilder auf dem eigenen Server einzubinden. Dies ist sowohl aus datenschutzrechtlicher Sicht die beste Variante als auch urheberrechtlich unbedenklich, da dies von Google explizit erlaubt wurde.

Eine Anpassung der Einverständniserklärung allein stellt keine gute Alternative dar, da unklar ist, ob dies ausreicht, die Weitergabe der Daten in die USA zu rechtfertigen. Sollten Betreibende weiterhin die Fonts direkt von Google beziehen, müssen sie mit dem Risiko leben, trotz entsprechender Anpassungen in der Datenschutzerklärung und im Banner, eine Abmahnung oder sogar Strafe dafür zu erhalten.

Achtung bei neuen Inhalten und Plugins: Meist ändern sich die Inhalte einer Seite regelmäßig. Mit der Zeit kommt neuer Content, wie zum Beispiel ein YouTube Video oder eine Karte von Google Maps dazu oder es werden neue Plug-ins installiert. Dadurch können zuvor überprüfte, „saubere“ Seiten plötzlich wieder eine Verbindung zu den Google-Servern herstellen, was eine erneute Überprüfung zwingend notwendig macht.

Hier ein Beispiel: Schon die Installation eines Plugins zur einfachen Einbindung von Popups kann dazu führen, dass die Seite wieder ungefragt mit den Servern in den USA kommuniziert, da in der Standard-Einstellung die Nutzung von Google Fonts aktiviert ist.

Sonderfall YouTube Videos – Was muss ich beachten?

Sie haben YouTube Videos auf Ihrer Website? Dann sollten Sie hier besonders aufpassen!

Im Normalfall setzt YouTube (oder auch andere Videoformate, die Google Fonts nutzen, wie beispielsweise Vimeo) automatisch Tracking-Cookies ein, sobald die Seite mit dem Video aufgerufen wird. Das liegt daran, dass schon der Player an sich die Fonts für die richtige Darstellung benötigt.

Um jedoch zu verhindern, dass der Nutzer unwissentlich Daten an Google weitergibt, muss das Video entsprechend eingebettet werden. Dafür findet man im Internet viele Empfehlungen und Anleitungen. Doch nicht alle aufgeführten Lösungen sind wirklich DSGVO-konform.

Für die meisten Content Management Systeme gibt es spezielle Cookie-Banner-Plugins, die Inhalte, welche Google Fonts beziehen, so lange blockieren, bis der Nutzer der Weitergabe von Daten explizit zugestimmt hat. (Neben YouTube Videos betrifft das auch andere Google Produkte, wie beispielsweise Google Maps.)

Für die korrekte Einbettung auf WordPress Seiten empfehlen wir das Plugin von Borlabs  . Dieses blendet einen Hinweistext ein, der den Nutzer zur Zustimmung auffordert. Erst nach aktiver Bestätigung kann das Video abgespielt werden.  

DSGVO-konform und sorgenfrei – wir helfen Ihnen

Die Verwendung von Google Fonts erleichtert die Arbeit von Webentwicklern, Bloggern und Webseitenbetreibern enorm. Ohne viel Aufwand können die Schriften einfach und kostenfrei genutzt werden. Für den DSGVO-konformen Einsatz empfehlen wir das lokale Hosting der Schriften. Auch unsere Wartungskunden können sicher sein, dass wir diese und andere Angelegenheiten, die den Datenschutz betreffen, im Blick haben und uns darum kümmern.

Sie sind sich unsicher, möchten mehr zum Thema erfahren oder benötigen Hilfe? Gern unterstützen wir Sie bei der Lösung!