HinSchG Vorgaben einfach und effizient umsetzen mit dem Parlabox Hinweisgebersystem
cookiebox logo
Demo vereinbaren
Kostenlos starten
cookiebox logo
fonts

Adobe Typekit

leider nicht lokal einsetzbar

data processing services & kategorisierung
adobe fonts logo

Adobe Typekit

Adobe Typekit ist ein Schriftendienst. Die verschiedenen Schriftarten werden dabei vom Server des Anbieters geladen.

  • Sitz: San José, Kalifornien, Vereinigte Staaten
  • Kategorie: Fonts
  • Rechtsgrundlage: Einwilligung erforderlich via Consent Management Platform (CMP)
Inhalt des Beitrags

Was ist Adobe Typekit?

Adobe Typekit ist ein Schriftendienst mit welchem du verschiedene Schriftarten innerhalb der eigenen Website nutzen kannst, ohne dass diese auf den eigenen Server hochgeladen werden müssen. Dazu wird einfach die Schrift beim Aufruf der Seite vom Server des Anbieters nachgeladen. Adobe bietet eine kleine Auswahl an Basisschriften kostenlos an, aber der Großteil mit über 20.000 Schriften sind im Creative-Cloud Abo enthalten.

Warum wird Adobe Typekit verwendet?

Zunächst muss man unterscheiden, dass einige Fonts generell im Browser integriert sind. Die Systemfonts müssen also nicht zusätzlich geladen werden. Da hier die Auswahl nicht so groß ist, gibt es Dienste wie Adobe Typekit, die weitere teilweise ausgefallene Schriftarten zur Verfügung stellen, die mit dem Aufruf der Webseite nachgeladen werden.

 

Damit kann die Schrift, dem Stil der Website sehr genau nachempfunden werden und dem Nutzer ein noch besseres Erlebnis bereiten. Man sollte aber einige Dinge bzgl. des Datenschutz beachten. Welche das sind, und was du tun musst um die Stolpersteine zu vermeiden findest du hier.

Welche Daten werden verarbeitet?

Wird beim Aufruf der Website die Schriftart nachgeladen, erfasst Adobe folgende Daten:

 

  • bereitgestellte Schriften
  • ID des Webprojekts
  • JavaScript-Version des Webprojekts (String)
  • Art des Webprojekts (String „configurable“ oder „dynamic“)
  • Einbettungstyp (ob Sie den JavaScript- oder CSS-Einbettungscode verwenden)
  • Konto-ID (identifiziert den Kunden, von dem das Webprojekt stammt)
  • Dienst, der die Schriftarten bereitstellt (z. B. Adobe Fonts/Typekit)
  • Server, der die Schriftarten bereitstellt (z. B. Server von Adobe Typekit oder Unternehmens-CDN)
  • Hostname der Seite, auf der die Schriften geladen werden

Diese Daten verwendet Adobe zu eigenen Analysezwecken und um die Autoren der Schriften zu bezahlen.

 

Es scheint also, als wenn Adobe keine Nutzerdaten erfassen würde, unter denen sich personenbezogene Daten befinden könnten. Auch nach eigenen Aussagen, werden beim Laden der Schriften keine Cookies gesetzt und die IP-Adresse nicht erfasst. Da die Serverzugriffe aber höchstwahrscheinlich geloggt werden, wird an dieser Stelle die IP-Adresse erfasst.

Na, auf der Suche nach einem ganz bestimmten Service?

Ziel erreicht! 🏁 

In unserem Service-Universum findest du umfassende Informationen zu einzelnen Services – übersichtlich und digital!

Expertenwissen und Profi-Tipps gibt’s on top 😉

Zur Cookiepedia-Übersicht
data processing services

Rechtliche Grundlage für die Verarbeitung

Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TDDDG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TDDDG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

Wann besteht eine Einwilligungspflicht?

Personenbezogene Daten

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

  1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
  2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

Cookies

Gem. Art. 25 Abs. 1 TDDDG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.

Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

Die Anforderungen an die Einwilligungsfreiheit

Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:


  1. Sofern eine Datenweitergabe an Dritte stattfindet:
    a) Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
    b) Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
    c) Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  2. Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
  3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
  4. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
  5. IP-Anonymisierung („Privacy by Default)
  6. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
  7. Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
  8. Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
desktop icon

IP-Adresse

Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

legal icon

Server-Standort

Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

desktop icon

Firmensitz

Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.

Adobe Typekit muss Bestandteil deiner Datenschutzerklärung sein!

Jetzt eine Datenschutzerklärung kostenlos über die Testversion unseres Privacy Hubs erstellen!

Warum ist Adobe Typekit einwilligungspflichtig?

  • Wir raten davon ab, sich auf das berechtigte Interesse zu stützen. Manch einer argumentiert mit dem Page Speed, da die Fonts über den Server schneller geladen werden. Allerdings ist der Unterschied zu vernachlässigen.
  • Die IP-Adresse der Nutzer ist ein personenbezogenes Datum. Zwar wirbt Adobe damit, dass sie die IP-Adresse nicht verarbeiten, allerdings kann davon ausgegangen werden, dass die IP-Adresse zumindest geloggt wird. Dies reicht schon aus um als Verarbeitung gewertet zu werden.
  • Weiterhin besteht das Problem, dass Adobe ein US-Amerikanisches Unternehmen ist und die USA seit der Beendigung des Privacy Shields als unsicherer Drittstaat gelten. Dadurch gibt es aktuell keine Rechtsgrundlage für die Übermittlung der Daten in die USA.
  • In jedem Fall wäre eine Widerspruchsmöglichkeit in Form eines Opt-Outs wichtig. Es müsste nämlich gewährleistet sein, dass bei fehlendem Opt-In oder einem Opt-Out keine Verbindung zum Server durch Adobe Typekit aufgebaut wird, um den Austausch von Daten zu verhindern. Dies ist in sofern schwierig, als dass dies bereits beim Aufruf der Seite geschieht. Außerdem muss die Möglichkeit geschaffen werden, dass im Fall des Widerspruchs eine Ersatz-Schriftart herhält.

Damit liegt ein Verstoß gegen den oben genannten Punkt 3 vor. Eine Einwilligungsfreiheit kann nicht begründet werden.

 

Selbst Punkt 3 könnte erfüllt sein, wenn Adobe die Serverzugriffe nicht loggt. Davon ist aber leider auszugehen und eine loakle Einbindung der Fonts wie bei Google Fonts ist nicht möglich.

Fazit zur datenschutzkonformen Nutzung von Adobe Typekit

Wie wir nun wissen, können wir uns weder auf das berechtigte Interesse als Rechtsgrundlage für die Verwendung von Adobe Typekit stützen, noch reicht die Einwilligung über das Cookie Banner für 100%ige DSGVO-Konformität, wenn die IP-Adresse geloggt wird.

 

Da eine lokale Einbindung von Adobe Typekit leider nicht möglich ist, und es sich bei Adobe um ein amerikanisches Unternehmen handelt, empfehlen wir das einholen einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, um vorsichtig zu sein und Risiken zu minimieren.

 

Hinweis: Hier die Einschätzung des Bayerischen Landesbeauftragtefür den Datenschutz zu Einbindung von Schriftarten – Einwilligung – Fonts – Google Fonts – IP-Adresse – Schriftarten, Schriften – Selbsthosting von Schriftarten – Web Fonts aus März 2022.

adobe fonts logo

Du hast Fragen?

Kontaktiere uns  gerne für ein unverbindliches Erstgespräch:

Du wünschst weitere Infos zum Privacy Hub oder unseren Beratungsleistungen?

Erich Panihin

Erich Panihin

CEO & Head of Product

sales@cookiebox.pro
Telefon:
Kostenlos testen
Preise & Pakete
Pakete & Preise
Kostenlos testen
cookiebox logo