Google Fonts DSGVO

Google Fonts: DSGVO-konform einbinden

header-monitoring
Google Fonts
Google Fonts
Das ist ein Schriftendienst von Google. Die Fontdateien werden dabei vom Google Server bezogen.
Kategorie: Analyse Service
Einordnung: Einwilligungspflichtig via Constent Management Platform (CMP)

Was sagt das Datenschutzrecht zu der Nutzung von Google Fonts? Welche Alternativen Webfonts gibt es?

Ist Google Fonts DSGVO-konform? Kann ich Google Fonts als Websitebetreiber bedenkenlos nutzen? Sobald dieses Tool in den Fokus gerät, sind sich die Websitebetreiber uneinig. Wir bringen Licht ins Dunkel und zeigen Ihnen, wie Sie Google Fonts bedenkenlos ausspielen und wie auch andere Schriftarten DSGVO-konform genutzt werden können. Denn gegen eine Verwendung von Google Fonts spricht grundsätzlich nichts, solange sich die WebMaster an eines halten:

Die Einbindung von Google Fonts unterliegt der DSGVO. Und das heißt: damit Google Fonts DSGVO-konform genutzt werden kann, bedarf es einer Rechtsgrundlage.

Sammlung personenbezogener Daten durch Google Fonts

Wenn eine Google Font/Schriftart vom Browser des Webseitenbesuchers angefordert wird, erfasst Google die IP-Adresse des Users und verwendet diese für Analysezwecke.

Google macht daraus keinen Hehl und schreibt dies transparent in den AGB zur Google Fonts API. Auch legt Google dar, wie die erfassten Daten genau analysiert werden;

Die aggregierten Nutzerzahlen werden beispielsweise dafür genutzt, um die Beliebtheit einer bestimmten Schriftart zu messen. Das Ergebnis wird dann in Form einer Statistik auf der Google Analyseseite veröffentlicht.

Darüber hinaus nutzt Google auch die Daten des Google Webcrawlers. So findet Google heraus, welche Websites die Schriftarten von GoogleFonts nutzen. Diese Daten lassen sich dann in der Google BigQuery-Datenbank von Google Fonts finden.
In Bezug auf die DSGVO sieht sich Google in diesem Zusammenhang als „Controller“ bzw. „Verantwortlicher“ für Google Fonts.

Google Fonts – DSGVO-konform. So geht's!

Doch Google Fonts lässt sich trotz Datenerhebung durch Google DSGVO-konform einsetzen. Wir zeigen Ihnen wie.

Zuerst muss jedoch noch eines geklärt werden: die Rechtsgrundlage. Hier kann entweder ein Berechtigtes Interesse oder eine Einwilligung als Rechtsgrundlage herangezogen werden.

Berechtigtes Interesse als Rechtsgrundlage für Google Fonts

Google Fonts erfasst und verarbeitet die IP-Adresse des Webseitenbesuchers - für die Erhebung solcher personenbezogenen Daten bedarf es einer expliziten Einwilligung durch den Nutzer.

Wir raten davon ab, sich auf das berechtigte Interesse zu stützen. Manch eine/r nutzt argumentiert mit dem Page Speeds, da die Fonts über den Server schneller geladen werden. Allerdings ist der Unterschied zu vernachlässigen. In jedem Fall wäre eine Widerspruchsmöglichkeit in Form eines Opt-Outs wichtig. Es müsste nämlich gewährleistet sein, dass bei fehlendem Opt-In oder einem Opt-Out keine Verbindung zum Google Server durch Google Fonts aufgebaut wird, um den Austausch von Daten zu verhindern. Dies ist in sofern schwierig, als dass dies bereits beim Aufruf der Seite geschieht. Außerdem muss die Möglichkeit geschaffen werden, dass im Fall des Widerspruchs eine Ersatz-Schriftart herhält. Die technische Umsetzung ist unnötig kompliziert – mindestens komplizierter als die datenschutzkonforme Alternative, die wir Ihnen im Folgenden vorschlagen möchten.

Einwilligung als Rechtsgrundlage für Google Fonts

Da das berechtigte Interesse keine wirkliche Möglichkeit darstellt, müssen Sie für die Verwendung von Google Fonts auf Ihrer Website unbedingt die Einwilligung des Webseitenbesuchers als Rechtsgrundlage einholen. Doch selbst eine Einwilligung bietet seit dem Schrems II Urteil bezüglich des Privacy Shields (ein Datenschutzabkommen mit den USA) keine 100prozentige Konformität mehr mit der DSGVO.

Datenverarbeitung in den USA

Das liegt daran, dass Google seinen Standort in den USA hat. Beim Aufruf einer Website, die Google Fonts eingebunden hat, wird Kontakt zum Google Server aufgenommen. Dabei können personebezogene Daten wie die IP Adresse des Websitebesuchers übermittelt werden. Bei der Einwilligung über ein Cookie Banner sind folgende Aspekte dringend zu beachten:

Wichtig:

  • Die Kriterien für eine rechtsgültige Einwilligung im Sinne der DSGVO müssen erfüllt sein.
  • Darüber hinaus muss die Einwilligung des Webseitenbesuchers eingeholt werden, bevor ein URL Call von GoogleFonts zur Google Fonts API stattfindet.

Welche Cookies setzt meine Website?

Best Practice: Lokales Hosting von Google Fonts

Wie wir nun wissen, können wir uns weder auf das berechtigte Interesse als Rechtsgrundlage für die Verwendung von Google Fonts stützen, noch reicht die Einwilligung über das Cookie Banner für 100%ige DSGVO-Konformität. Es gibt aber einen Weg, Google Fonts zu nutzen, ohne Nutzerdaten dabei mit Google zu teilen.

Um die standardmäßige Verbindung zum Google Server zu verhindern und die Normen der DSGVO einzuhalten, raten wir zu der lokalen Einbindung der Google Fonts, welches datenschutzrechtlich den besten und sichersten Umgang mit den Schriften darstellt.

Im Fall der lokalen Einbindung von Google Fonts, werden die Schriften vom eigenen Server und nicht von den Google Servern geladen. In diesem Fall können Sie sich auch auf ein berechtigtes Interesse stützen, da keine Daten an Drittanbieter gesendet werden.

DSGVO-konforme Einbindung anderer Fonts

Wie sieht es mit anderen Fonts von anderen Anbietern aus? Gibt es hier Besonderheiten?

Wir stellen Ihnen die drei beliebtesten Fonts vor:

FONTAWESOME

Bei der beliebten Web Icon Library wird die IP-Adresse ebenfalls übertragen, wenn Sie die Icons anzeigen und laden wollen. So erfasst auch FontAwesome personenbezogene Daten im Sinne der Datenschutz-Grundverordnung.

Folge: Sie benötigen für die Verwendung von FontAwesome eine Rechtsgrundlage nach
Art. 6 DSGVO.

ADOBE FONTS (TYPEKIT)

Über diesen Dienst von Adobe können Sie auf eine Schriftbibliothek zugreifen. Dabei ist Typekit ein reiner Hosting-Dienst.

Das heißt: ein Hosting auf eigenen Servern oder ein Download des Katalogs sind nicht möglich.

FONTS.COM

Dies ist der eigene Webfont-Service von Monotype. Er umfasst hauseigene Schriften aber auch Schriften externer Hersteller, beispielsweise Adobe.

fonts.com wird auf Monotype-Servern gehostet. Ein Download zu Layoutzwecken oder Selfhosting ist je nach Tarif möglich.

CHECKLISTE

  • Werden auf meiner Webseite Google Fonts oder andere Schriftarten verwendet? Wenn ja, wie?
  • Welche Rechtsgrundlage ist einschlägig: berechtigtes Interesse oder eine Einwilligung?
  • Ist eine lokale Einbindung möglich? Wenn nicht: Binden Sie ein Consent Tool oder eine Consent Management Platform ein.
  • Möchten Sie die Schriftart lokal ausspielen? Nutzen Sie die aktuelle Version der Schriftart, laden Sie die Dateien auf den eigenen Server und binden Sie das CSS ein.
  • Das duale Betreiben von lokalen und nicht-lokalen Schriften (Opt-In-pflichtig) wird ebenfalls nicht empfohlen.
Google Fonts

Fordern Sie ein Angebot an

Sie möchten Google Fonts nutzen und brauchen eine DSGVO konforme Konfiguration oder Hilfe beim Cookie-Banner? Beantworten Sie uns kurz die folgenden 5 Fragen. Wir melden uns so schnell wie möglich bei Ihnen.

An dieser Stelle haben wir eigentlich ein sehr komfortables Typeform-Element für Sie platziert; Typeform ist ein Anbieter für Formulare mit Sitz in Barcelona, Spanien. So weit so datenschutzkonform; leider nutzen die freundlichen Typeformer ein zusätzliches Tracking-Steuer-Element, das wir ohne Ihre Erlaubnis nicht einsetzen möchten: Segment. Wenn Sie das nicht weiter stört, können Sie mit Klick auf “Zustimmen” zu besagtem Formular gelangen. Andernfalls können Sie sich natürlich auch gerne über unsere Kontaktseite mit uns in Verbindung setzen.

Fordern Sie ein Angebot an