Fonts

Google Fonts: DSGVO-konform einbinden

header-monitoring
Google Fonts
Google Fonts
Das ist ein Schriftendienst von Google. Die Fontdateien werden dabei vom Google Server bezogen.
Sitz: Mountain View, Kalifornien, Vereinigte Staaten
Kategorie: Fonts
Einordnung: Einwilligungspflichtig via Consent Management Platform (CMP)
Inhalt des Beitrags

    Was ist Google Fonts?

    Ist Google Fonts DSGVO-konform? Kann ich Google Fonts als Websitebetreiber bedenkenlos nutzen?

    Mittels Google Fonts besteht die Möglichkeit, verschiedenste Schriftarten innerhalb der eigenen Website nutzen zu können, ohne dass diese auf den eigenen Server hochgeladen werden mĂŒssen. Hierbei werden beim Aufruf der Seite lediglich die Schriften ĂŒber den Google-Server nachgeladen.

    Jedoch besteht die berechtigte Frage: Ist Google Fonts DSGVO-konform? Kann ich Google Fonts als Websitebetreiber bedenkenlos nutzen?

    Sobald dieses Tool in den Fokus gerÀt, sind sich die Websitebetreiber uneinig. Wir bringen Licht ins Dunkel und zeigen, wie du Google Fonts bedenkenlos ausspielen und wie auch andere Schriftarten DSGVO-konform genutzt werden können. Denn gegen eine Verwendung von Google Fonts spricht grundsÀtzlich nichts, solange sich die WebMaster an eines halten:

    Die Einbindung von Google Fonts unterliegt der DSGVO. Und das heißt: damit Google Fonts DSGVO-konform genutzt werden kann, bedarf es einer Rechtsgrundlage.

    Services und Cookies

    Wie? Es gibt noch weitere Services?

    Du benötigst eine allgemeine Service-Übersicht, welche die wichtigsten Informationen verstĂ€ndlich darstellt? We got you!

    DĂŒrfen wir vorstellen: Unsere Service-Galaxy đŸȘ

    Folgende Problematik: Wird eine Google Font/ Schriftart vom Browser des Webseitenbesuchers angefordert, erfasst Google in jedem Fall die IP-Adresse des Users und verwendet diese fĂŒr Analysezwecke. DiesbezĂŒlich weist Google innerhalb ihrer AGB zur Google Fonts API hin. Im gleichen Zuge wird dargelegt, wie die erfassten Daten konkret analysiert werden.

    For your information: Die aggregierten Nutzerzahlen werden beispielsweise dafĂŒr genutzt, um die Beliebtheit einer bestimmten Schriftart zu messen. Das Ergebnis wird dann in Form einer Statistik auf der Google Analyseseite veröffentlicht. 

    DarĂŒber hinaus nutzt Google auch die Daten des Google Webcrawlers. So findet Google heraus, welche Websites die Schriftarten von GoogleFonts nutzen. Diese Daten lassen sich dann in der Google BigQuery-Datenbank von Google Fonts finden. 

    In Bezug auf die DSGVO sieht sich Google in diesem Zusammenhang als „Controller“ bzw. „Verantwortlicher“ fĂŒr Google Fonts. 

    Google Fonts – DSGVO-konform: Cookiebox zeigt wie's geht!

    Doch Google Fonts lÀsst sich trotz Datenerhebung durch Google DSGVO-konform einsetzen. Wir zeigen wie.

    Zuerst muss jedoch noch eines geklÀrt werden: die Rechtsgrundlage. Hier kann entweder ein Berechtigtes Interesse oder eine Einwilligung als Rechtsgrundlage herangezogen werden.

    Berechtigtes Interesse als Rechtsgrundlage fĂŒr Google Fonts

    Google Fonts erfasst und verarbeitet die IP-Adresse des Webseitenbesuchers - fĂŒr die Erhebung solcher personenbezogenen Daten bedarf es einer expliziten Einwilligung durch den Nutzer.

    Wir raten davon ab, sich auf das berechtigte Interesse zu stĂŒtzen. Manch eine/r nutzt argumentiert mit dem Page Speeds, da die Fonts ĂŒber den Server schneller geladen werden. Allerdings ist der Unterschied zu vernachlĂ€ssigen. In jedem Fall wĂ€re eine Widerspruchsmöglichkeit in Form eines Opt-Outs wichtig. Es mĂŒsste nĂ€mlich gewĂ€hrleistet sein, dass bei fehlendem Opt-In oder einem Opt-Out keine Verbindung zum Google Server durch Google Fonts aufgebaut wird, um den Austausch von Daten zu verhindern. Dies ist in sofern schwierig, als dass dies bereits beim Aufruf der Seite geschieht. Außerdem muss die Möglichkeit geschaffen werden, dass im Fall des Widerspruchs eine Ersatz-Schriftart herhĂ€lt. Die technische Umsetzung ist unnötig kompliziert – mindestens komplizierter als die datenschutzkonforme Alternative, die wir dir im Folgenden vorschlagen möchten.

    Rechtliche Grundlage fĂŒr die Verarbeitung

    Die Grundlage fĂŒr die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

    Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das EndgerÀt, also z.B. den Einsatz von Cookies.

    Wann besteht eine Einwilligungspflicht?

    Personenbezogene Daten

    Die Verarbeitung personenbezogener Daten ist nur dann rechtmĂ€ĂŸig, wenn mindestens einer der Buchstaben des Art. 6 Abs. 1 DSGVO erfĂŒllt ist. Die beiden wichtigen lit. sind die folgenden:

    1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
    2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

    Cookies

    Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

    Dabei sollte man wissen, dass damit nicht nur die bekannten, kleinen Textdateien und Pixel zĂ€hlen, sondern alle Technologien, die es ermöglichen, einen Nutzer, einen Benutzeragenten oder GerĂ€t herauszufinden, zu verknĂŒpfen oder herzuleiten.

    Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

    Die Anforderungen an die Einwilligungsfreiheit

    Um einen einwilligungsfreien Einsatz zu gewĂ€hrleisten, mĂŒssten folgende Bedingungen erfĂŒllt sein:

    1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV)
    2. Kein Einsatz von Cookies oder Àhnlichen Techniken zur Profilbildung
    3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa
    4. Der Auftragsverarbeiter nutzt die gewonnenen Daten nicht fĂŒr eigene Zwecke
    5. Der Auftragsverarbeiter verknĂŒpft die Daten nicht ĂŒber verschiedene Websites oder reichert sie an
    6. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausfĂŒhrliche Informationen ĂŒber die Erhebung personenbezogener Daten in der DatenschutzerklĂ€rung
    7. IP-Anonymisierung („Privacy by Default“)
    8. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser
    9. Nachweis der erfolgten Punkte 1-8 durch den Website-Betreiber

    Warum ist Google Fonts Einwilligungspflichtig?

    • Wenn Daten auf einem Server in einem sicheren Drittland verarbeitet wĂŒrden, muss dennoch in jedem Fall eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO fĂŒr die Nutzung von Google Fonts eingeholt werden, da Daten durch den Dienst gespeichert werden.
    • Der Dienst von Google Fonts darf entsprechend erst nach Einwilligung geladen werden, da sonst bereits eine Verbindung zu einem der Server aufbauen wĂŒrde.
    • Das ErfĂŒllen der Informationspflicht gemĂ€ĂŸ Art. 13 DSGVO in der DatenschutzerklĂ€rung stellt eine weitere HĂŒrde dar, da die Information des Drittlandes fehlt und somit keine transparente Information geliefert werden kann.
    • Damit liegen VerstĂ¶ĂŸe gegen die oben genannten Punkte 2, 3, 7 und 8 vor. Eine Einwilligungsfreiheit kann nicht begrĂŒndet werden.
    referenzen-icon

    IP-Adresse

    Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt.

    Falls du verhindern willst, dass personenbezogene Daten ĂŒbermittelt werden, musst du immer dafĂŒr sorgen, dass die IP-Adresse verschleiert wird.

    dsb-icon

    Server-Standort

    Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

    firmensitz

    Firmensitz

    Bei amerikanischen Unternehmen oder deren Töchter ist zusĂ€tzlich der Fakt, dass es sich um ein amerikanisches Unternehmen handelt zu berĂŒcksichtigen. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig.

    Welche DSGVO-konformen Alternativen gibt es zu Google Fonts?

    Wir stellen Ihnen die drei beliebtesten Fonts vor:

    1. Fontawesome

    Bei der beliebten Web Icon Library wird die IP-Adresse ebenfalls ĂŒbertragen, wenn du die Icons anzeigen und laden möchtest. So erfasst auch FontAwesome personenbezogene Daten im Sinne der Datenschutz-Grundverordnung.

    Folge: Sie benötigen fĂŒr die Verwendung von FontAwesome eine Rechtsgrundlage nach
    Art. 6 DSGVO.

    2. Adobe Fonts (Typekit)

    Über diesen Dienst von Adobe kannst du auf eine Schriftbibliothek zugreifen. Dabei ist Typekit ein reiner Hosting-Dienst.

    Das heißt: ein Hosting auf eigenen Servern oder ein Download des Katalogs sind nicht möglich.

    3. Fonts.com

    Dies ist der eigene Webfont-Service von Monotype. Er umfasst hauseigene Schriften aber auch Schriften externer Hersteller, beispielsweise Adobe.

    fonts.com wird auf Monotype-Servern gehostet. Ein Download zu Layoutzwecken oder Selfhosting ist je nach Tarif möglich.

    Fazit

    Best Practice: Lokales Hosting von Google Fonts

    Wie wir nun wissen, können wir uns weder auf das berechtigte Interesse als Rechtsgrundlage fĂŒr die Verwendung von Google Fonts stĂŒtzen, noch reicht die Einwilligung ĂŒber das Cookie Banner fĂŒr 100%ige DSGVO-KonformitĂ€t. Es gibt aber einen Weg, Google Fonts zu nutzen, ohne Nutzerdaten dabei mit Google zu teilen.

    Um die standardmĂ€ĂŸige Verbindung zum Google Server zu verhindern und die Normen der DSGVO einzuhalten, raten wir zu der lokalen Einbindung der Google Fonts, welches datenschutzrechtlich den besten und sichersten Umgang mit den Schriften darstellt.

    Im Fall der lokalen Einbindung von Google Fonts, werden die Schriften vom eigenen Server und nicht von den Google Servern geladen. In diesem Fall kannst du dich auch auf ein berechtigtes Interesse stĂŒtzen, da keine Daten an Drittanbieter gesendet werden.

    Hinweis: Hier die EinschĂ€tzung des Bayerischen Landesbeauftragten fĂŒr den Datenschutz zu Einbindung von Schriftarten – Einwilligung – Fonts – Google Fonts – IP-Adresse – Schriftarten, Schriften – Selbsthosting von Schriftarten – Web Fonts aus MĂ€rz 2022.

     

     

    Google Fonts

    Du hast noch Fragen

    Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unseren Produkten oder zum Thema Datenschutz gerne weiter:

    Rufen Sie uns an