Fonts

[Name Fonts]

header-monitoring
service_google

[Name Fonts]

[Name Fonts] ist ein Schriftendienst. Die verschiedenen Schriftarten werden dabei vom Server des Anbieters geladen.

Sitz: [Stadt, Region, Land]
Kategorie:
Fonts
Rechtsgrundlage: Einwilligung erforderlich via Constent Management Platform (CMP)
Inhalt des Beitrags

    Was ist [Name Fonts]?

    [Name Fonts] ist ein Schriftendienst mit welchem du verschiedene Schriftarten innerhalb der eigenen Website nutzen kannst, ohne dass diese auf den eigenen Server hochgeladen werden müssen. Dazu wird einfach die Schrift beim Aufruf der Seite vom Server des Anbieters nachgeladen. [Satz speziell über diesen Service einbauen.]

    Warum wird [Name Fonts] verwendet?

    Zunächst muss man unterscheiden, dass einige Fonts (also Schriftarten) generell im Browser integriert sind. Die Systemfonts müssen also nicht zusätzlich geladen werden. Da hier die Auswahl nicht so groß ist, gibt es Dienste wie [Name Fonts], die weitere teilweise ausgefallene Schriftarten zur Verfügung stellen, die mit dem Aufruf der Webseite nachgeladen werden.

    Damit kann die Schrift, dem Stil der Website sehr genau nachempfunden werden und dem Nutzer ein noch besseres Erlebnis bereiten. Man sollte aber einige Dinge bzgl. des Datenschutz beachten. Welche das sind, und was du tun musst um die Stolpersteine zu vermeiden findest du hier.

    Welche Daten werden verarbeitet?

    Wird beim Aufruf der Website die Schriftart nachgeladen, erfasst [Name Font] folgende Daten:

    [Hier aufführen welche Daten erfasst werden, das kann recht unterschiedlich sein. Das Geschäftsmodell ist auch unterschiedlich, so ist Google kostenlos, verwertet aber die Daten und es gibt andere, die sind kostenpflichtig, welche wahrscheinlich sorgsamer mit den Daten umgehen.]

    [Wichtig wäre aber, wird die IP-Adresse erfasst, bzw. werden andere personenbezogene Daten erfasst und werden diese ausgewertet bzw. für weitere Zwecke genutzt.]

    ***Platzhalter CTA***

     

     

     

    Rechtliche Grundlage für die Verarbeitung

    Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

    Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

    Wann besteht eine Einwilligungspflicht?

    Personenbezogene Daten

    Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens einer der Buchstaben des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

    1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
    2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

    Cookies

    Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

    Dabei sollte man wissen, dass damit nicht nur die bekannten, kleinen Textdateien und Pixel zählen, sondern alle Technologien, die es ermöglichen, einen Nutzer, einen Benutzeragenten oder Gerät herauszufinden, zu verknüpfen oder herzuleiten.

    Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

    Die Anforderungen an die Einwilligungsfreiheit

    Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

    1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV)
    2. Kein Einsatz von Cookies oder ähnlichen Techniken zur Profilbildung
    3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa
    4. Der Auftragsverarbeiter nutzt die gewonnenen Daten nicht für eigene Zwecke
    5. Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an
    6. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung
    7. IP-Anonymisierung („Privacy by Default“)
    8. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser
    9. Nachweis der erfolgten Punkte 1-8 durch den Website-Betreiber
    referenzen-icon

    IP-Adresse

    Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt.

    Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

    dsb-icon

    Server-Standort

    Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

    firmensitz

    Firmensitz

    Bei amerikanischen Unternehmen oder deren Töchter ist zusätzlich der Fakt, dass es sich um ein amerikanisches Unternehmen handelt zu berücksichtigen. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig.

    Warum ist [Name Audio/Video] Einwilligungspflichtig?

    • Wir raten davon ab, sich auf das berechtigte Interesse zu stützen. Manch einer argumentiert mit dem Page Speed, da die Fonts über den Server schneller geladen werden. Allerdings ist der Unterschied zu vernachlässigen.
    • Die IP-Adresse der Nutzer ist ein personenbezogenes Datum. Zwar werben einige Anbieter damit, dass sie die IP-Adresse nicht verarbeiten, allerdings kann davon ausgegangen werden, dass die IP-Adresse zumindest geloggt wird. Dies reicht schon aus um als Verarbeitung gewertet zu werden.
    • Wenn Cookies gesetzt werden, so ist dies definitiv mit einer Einwilligung gem. Art. 25 Abs. 1 TTDSG verbunden. Selbst Cookieless Tracking könnte eine Einwilligung erforderlich machen. Siehe dazu die Infobox zu Cookies oben.
    • *Weiterhin besteht das Problem, dass [Name Audio/Video] ein US-Amerikanisches Unternehmen ist und die USA seit der Beendigung des Privacy Shields als unsicherer Drittstaat gelten. Dadurch gibt es aktuell keine Rechtsgrundlage für die Übermittlung der Daten in die USA.**Bei USA Anbieter*
    • In jedem Fall wäre eine Widerspruchsmöglichkeit in Form eines Opt-Outs wichtig. Es müsste nämlich gewährleistet sein, dass bei fehlendem Opt-In oder einem Opt-Out keine Verbindung zum Server durch [Name Fonts] aufgebaut wird, um den Austausch von Daten zu verhindern. Dies ist in sofern schwierig, als dass dies bereits beim Aufruf der Seite geschieht. Außerdem muss die Möglichkeit geschaffen werden, dass im Fall des Widerspruchs eine Ersatz-Schriftart herhält.

    Damit liegen Verstöße gegen die oben genannten Punkte [1, 4 und 7] vor. Eine Einwilligungsfreiheit kann nicht begründet werden.

    Die technische Umsetzung ist unnötig kompliziert – mindestens komplizierter als die datenschutzkonforme Alternative, die wir dir im Folgenden vorschlagen möchten.

    Fazit zur datenschutzkonformen Nutzung von [Name Font]

    Best Practice: Lokales Hosting von [Name Font]

    Wie wir nun wissen, können wir uns weder auf das berechtigte Interesse als Rechtsgrundlage für die Verwendung von [Name Font] stützen, *noch reicht die Einwilligung über das Cookie Banner für 100%ige DSGVO-Konformität**Nur bei US*. Es gibt aber einen Weg, [Name Font] zu nutzen, ohne Nutzerdaten dabei mit dem Anbieter zu teilen.

    Um die standardmäßige Verbindung zum Server des Anbieters zu verhindern und die Normen der DSGVO einzuhalten, raten wir zu der lokalen Einbindung der [Name Fonts], welches datenschutzrechtlich den besten und sichersten Umgang mit den Schriften darstellt.

    Im Fall der lokalen Einbindung von [Name Fonts], werden die Schriften vom eigenen Server und nicht von den Anbieter-Servern geladen. In diesem Fall kannst du dich auch auf ein berechtigtes Interesse stützen, da keine Daten an Drittanbieter gesendet werden.

    Hinweis: Hier die Einschätzung des Bayerischen Landesbeauftragten für den Datenschutz zu Einbindung von Schriftarten – Einwilligung – Fonts – Google Fonts – IP-Adresse – Schriftarten, Schriften – Selbsthosting von Schriftarten – Web Fonts aus März 2022.

    service_google

    Du hast Fragen?

    Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unseren Produkten oder generell zu allen Datenschutz-Themen:

    Rufen Sie uns an