Kann Google Fonts DSGVO-konform benutzt werden?

Von Ina Clima | Dez. 22, 2022 | Blog

Was ist Google Fonts

Ursprünglich 2010 als Google Web Fonts eingeführt, ist Google Fonts ein Verzeichnis mit Schriftarten (engl.: fonts), welches es Nutzern ermöglicht, diese auf ihren Websites zu verwenden. Da die Schriften kostenlos sind und keine Lizenzgebühren für ihre Verwendung anfallen, sind sie mittlerweile ein Standard und eine einfachere Lösung für die Gestaltung von Websites. Hierbei ist zu beachten, dass diese einfache Lösung aber auch Risiken hinsichtlich des Datenschutzes birgt. Wenn Sie Ihrer Website durch die Verwendung von diesen Open-Source-Schriften und -Icons einen einzigartigen Charakter verleihen, ergeben sich eine Reihe von Datenschutzproblemen, da personenbezogene Daten von Website-Besuchern an Google übermittelt werden.

Wie funktioniert Google Fonts?

Google stellt lediglich eine Plattform zur Verfügung, auf der jeder seine Schriftarten öffentlich hochladen kann, und Websites können diese dann abrufen und einbetten. Diese können dann, z.B. von Webdesignern, heruntergeladen und auf ihren Websites verwendet werden. Google Fonts können auf verschiedene Methoden in Websites eingebettet werden:

1. Remote-Nutzung – Die Schriften werden dynamisch eingebunden und bei jedem Seitenbesuch wird automatisch die ausgewählte Schrift von den Google-Servern aus den USA geladen. Bei diesem einfachen Prozess erhält Google personenbezogen Daten (IP-Adressen und Metadaten) von den Websitebesuchern, die beim Aufrufen von Google Fonts anfallen. In den meisten Fällen nutzt Google diese Informationen für Tracking, um Nutzerprofile zu erstellen, die für den Verkauf personalisierter Werbung genutzt werden können.

2. Lokale Nutzung – Google Fonts werden auf einen eigenen Server hochgeladen und dort lokal gespeichert. In diesem Fall ist die Verbindung zum Google-Server nicht mehr notwendig und es werden auch keine Daten an Google übermittelt. Der Server-Standort der Website sollte sich auch in der EU befindet. Laut dem LG München, ist diese Methode aus Datenschutzsicht grundsätzlich nicht zu beanstanden.

DS-GVO und Google Fonts

Das Landgericht München I hat in seinem Urteil vom 20. Januar 2022, 3 O 17493/20 die Rechtswidrigkeit, der Remote-Nutzung von Google Fonts, ohne vorherige Einwilligung des Webseitenbenutzers, bestätigt. Laut diesem Urteil verletzt die Übermittlung der IP-Adresse des Internetseiten-Besucher (die eine Verarbeitung personenbezogener Daten darstellt (BGH-Urteil VI ZR 135/13 und EuGH, Urt. v. 19.10.2016, C-582/14 – Breyer)) das allgemeine Persönlichkeitsrecht im Sinne des informationellen Selbstbestimmungsrechts nach §823 Abs. 1 BGB. Dazu gehört auch das Recht, über die Verwendung und Weitergabe der eigenen personenbezogenen Daten zu entscheiden. Wenn es nicht möglich ist, über die Verarbeitung der eigenen personenbezogenen Daten zu entscheiden und diese zu kontrollieren, wird dieses Recht verletzt.

Die Rechtsgrundlage

Der Webseitenbetreiber benötigt eine Rechtsgrundlage (Art. 6 Abs. 1 DS-GVO) für die Erhebung und Verarbeitung von personenbezogenen Daten im Sinne der DS-GVO (IP-Adresse) durch Google Fonts. Nach Ansicht des LG München kann die Übermittlung personenbezogener Daten in die USA nicht durch ein berechtigtes Interesse gerechtfertigt werden (EuGH vom 16.07.2020, Rs C-11/18 („Schrems II“). In dieser Entscheidung wurde auch festgestellt, dass es kein angemessenes Datenschutzniveau für die USA nach Art. 44 ff. DS-GVO. Wenn die Voraussetzungen für die Übermittlung personenbezogener Daten in ein Drittland (USA) nicht erfüllt werden können, ist die Übermittlung nicht zulässig. Dies ist bei den meisten Websites der Fall, die die Online-Google-Schrift oder andere Google-Dienste bzw. Plugins verwenden.

Die nächste große Herausforderung ist die Einholung der Einwilligung. Eine wirksame Einwilligung setzt voraus, dass die betroffene Person der Übermittlung ihrer Daten für den konkreten Fall ausdrücklich zustimmt, dass sie im Voraus über die möglichen Risiken der Übermittlung informiert wird und dass die Einwilligung jederzeit widerrufen werden kann (Art. 7 Abs. 3 DS-GVO).

Im Falle der Nutzung der lokalen Optionen von Google Fonts findet keine Verarbeitung personenbezogener Daten statt (d.h. keine Übermittlung in ein Drittland, keine Einwilligung und keine Rechtsgrundlage).

Das Problem bei der lokalen Nutzung von Google Fonts

1. Lokale Nutzung
Laut LG München ist die lokale Methode aus datenschutzrechtlicher Sicht unproblematisch, da bei der lokalen Einbindung von Google Fonts keine Daten an Google gesendet werden. Auf diese Weise gibt es auch kein „Drittlandübermittlung-, Einwilligung- oder Rechtsgrundlageproblem“, da keine personenbezogenen Daten verarbeitet werden. Allerdings ist das lokale Hosting von Google Fonts nicht zwangsläufig einfach umzusetzen. Auch Plugins oder von Drittanbietern bereitgestellte Funktionalitäten können ihre Schriftarten von Google laden.

2. Google Fonts kann auch automatisch durch eingebettete Plugins (z.B. HubSpot oder Google Dienste (wie Google Maps, reCAPTCHA)) mitgeladen werden.
Durch die Einbettung der Plugins in eine Website werden Daten von mehreren Domänen abgerufen, und das Tool erhält automatisch Zugang zu Cookies. Im Falle der Google-Tools sind dies beispielsweise google.com, fonts.gstatic.com (Google Fonts), maps.googleapis.com und maps.gstatic.com. Laut Google Policies haben fast alle Google-Dienste ein Cookie namens „NID“ oder „ENID“ in ihren Browsern, das verwendet wird, um sich an Nutzer oder deren Präferenzen zu erinnern. Deshalb laden viele Google Plugins wie z.B. Google Maps, reCaptcha üblicherweise auch Google Fonts nach, die dementsprechend nicht rechtssicher nutzbar sind. Wenn diese Plugins genutzt werden, sollte deren Verwendung in der Datenschutzerklärung der Website aufgeführt werden (Art. 13 DS-GVO).

– Google Maps – Das Problem könnte behoben werden, wenn das Plugin in das Cookie-Management-Tool aufgenommen wird und wie die Cookies behandelt werden. Das Problem ist, dass das Plugin nicht als technisch oder unbedingt notwendige Cookies eingestuft werden kann, auch wenn es uns zu einer besseren Erfahrung mit der Website beiträgt. Und wie oben erklärt, ist die Einwilligung die einzige Rechtsgrundlage. Um Google Maps datenschutzkonform einzusetzen, ist es wichtig, dass die Einwilligung eingeholt wird, bevor der Website-Besucher Google Maps öffnet. Zum Beispiel könnte die Google Maps erst nach dem Anklicken eines Buttons (Zwei-Klick-Lösung) geladen werden. Eine Alternative könnte es sein, nicht direkt Google Maps zu nutzen, sondern ein Bild der Umgebungskarte. Eine gute Alternative ist OpenStreetMap.

– reCAPTCHA („completely automated public Turing test to tell computers and humans apart“) – Laut BayLDA hat der Betreiber der Website ein berechtigtes Interesse daran, reCAPTCHA zu verwenden, um seine Verpflichtungen zu erfüllen und die Verfügbarkeit des Website-Dienstes zu gewährleisten und ihn vor Missbrauch zu schützen, z.B. durch gefälschte Benutzer, Klick-Betrug und DDos-Angriffe usw. Da Google nicht so transparent ist, welche personenbezogenen Daten verarbeitet oder an seine Server übermittelt werden, sollten bei der Nutzung dieses Tools die Anforderungen des Schrems-II-Urteils beachtet und eine Einwilligung von dem Nutzer abgeholt werden. Es wird von der Verwendung von Google reCAPTCHA abgeraten, da nicht sicher ist, welche Daten von Google verarbeitet werden und zudem kann es aufgrund der erforderlichen Einwilligung schwierig sein, die Website DS-GVO-konform und sicher zu gestalten. Einige DS-GVO konforme Plugins-Alternativen könnten z.B. Friendly Captcha, Honeypot, Antispam Bee, Contact Form 7 oder Powermail sein.

Bis der Transfer in die USA DS-GVO-freundlich ist, sollten Website-Betreiber auf der sicheren Seite des Datenschutz-Gesetzes bleiben, und weiterhin ganz ohne US-Dienstleister agieren. Wie aufgezeigt, existieren Alternativen zu bekannten Tools von Google. Dennoch können andere Optionen, die sicher zu sein scheinen, im Hintergrund einige US-Dienste nutzen (Zum Beispiel AWS oder Google Cloud). Dies veranlasst dazu, jeden Schritt, der bei der Gestaltung der Website gemacht wird, zu hinterfragen. Aber Website-Betreiber sollten nach ihren Möglichkeiten selbst entscheiden, ob sie auf die US-Dienstleister verzichten wollen, da die Alternative manchmal teurer sein kann.

Checkliste und Lösung – Google Fonts sicher nutzen

Die österreichische Datenschutzbehörde und auch der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) haben einige Vorschläge gemacht, wie die Website hinsichtlich Google Fonts zu prüfen ist und wie man Abmahnungen vermeiden kann.

1. Der erste Schritt wäre zu prüfen, ob Google Fonts tatsächlich auf der Website eingebettet sind.
2. Wenn Ja, sind diese remote oder lokal installiert? Das lässt sich im Quellcode der Website überprüfen (Mac: Cmd + Option + J/Windows: Strg +Umschalt +J). Wenn Links wie fonts.googleapis.com oder fonts.gstatic.com vorhanden sind, ist es höchstwahrscheinlich, dass die Google-Schriftarten nicht lokal eingebettet sind, sondern remote. In dieser Situation sollten Sie die Google-Schriftarten lokal speichern und dann auf Ihrer Webseite einbetten. Eine Erläuterung ist unter diesem Link zu finden: https://www.strato.de/blog/google-fonts-in-wordpress-lokal-hosten/.
3. Selbst wenn Google Fonts lokal verwendet wird, sollten Sie überprüfen, ob installierte Plugins Google Fonts laden.

Eine weitere Möglichkeit wäre, zu prüfen, ob die Google Fonts überhaupt benötigt werden. Normalerweise sind Google Fonts standardmäßig in „Website-Baukästen“ enthalten. Eine Alternative, ist selbstverständlich die Verwendung von Standard-Schriftarten, welche nicht durch Plugins nachgeladen werden. Auch WordPress bietet einige Alternativen für Google Fonts und Plugins auch der Google Web Fonts Helper kann Ihnen weiterhelfen.