Google Fonts & DSGVO

DSGVO-konforme Verwendung von Google Fonts

24. August 2022 | Lesezeit: ca. 10 Min.

Das deutsche Landesgericht in München hat am 20. Januar 2022 entschieden, dass Google Fonts nicht mit der Datenschutz-Grundverordnung konform sind und hat einen Webseiten-Betreiber zur Zahlung von 100 Euro Schadenersatz verurteilt, weil derjenige personenbezogene Daten eines Anwenders, in diesem konkreten Fall seine IP-Adresse, ohne dessen Einwilligung durch den Aufruf einer Webseite an Google übermittelt hat. 

Die Datenschutzbehörden in anderen EU-Ländern wurden nach dem weltweit bekannten Gerichtsfall in München hellhörig. Seitdem sind sicher hunderte, wenn nicht tausende von Anwaltsschreiben europaweit bei Unternehmen und Webseitenbetreiber eingegangen. So warnt auch die WKO bereits vor, dass derzeit in Österreich ein Unterlassungsschreiben inklusive Auskunftsbegehrens eines Rechtsanwalts aus Niederösterreich im Umlauf ist und Geldstrafe im Wert von 190 Euro wegen nicht korrekter Verwendung von Google Fonts fordert. Warum 190 Euro? Die Summe stellt sich aus 100 Euro Schadensersatz zusammen und 90 Euro Kostenersatz für das Einschreiten des Rechtsanwalts.  

Was geht vor? Die Integration von dynamischen Webinhalten, wie z.B. Google Fonts von US-Webdienstleister Google, ist ohne die Zustimmung eines Anwenders oder Besuchers einer Webseite laut DSGVO illegal und in der Hinsicht verboten wie auch strafbar. Um den Sachverhalt besser zu verstehen, haben wir uns entschieden, einige Begriffe näher zu erklären.

Google Fonts, früher auch Google Web Fonts genannt, sind eine Sammlung interaktiver Anwendungsprogrammierschnittstellen von Google LLC oder Google Ireland Limited, die es dem Anwender, Besucher und allgemein Benutzer ermöglichen, Schriftarten oder Webfonts auf einer Webseite zu verwenden. Sie sind vor allem bei Webentwicklern sehr beliebt, weil sie seit 2010 kostenfrei wie auch fehlerfrei von Google zur Verfügung gestellt wurden. Google hat diese entwickelt, um das Problem proprietärer Schriftarten zu umgehen. So konnten Schriften auf den Webseiten endlich fehlerfrei dargestellt werden. Hierbei sprechen wir über eine gewaltige Schriftartenbibliothek mit über 1.400 Schriftarten laut Wikipedia. Das macht Google zu einem der größten Anbieter von Webfonts auf der Welt. 

Wie funktionieren Webfonts, wie Google Fonts?

Google Fonts setzen keine Cookies. Wenn aber eine Schriftart vom Browser des Besuchers angefordert wird, wird die IP-Adresse des Anwenders an Google übermittelt. Also, was das ganze richtig problematisch macht und gegen die Datenschutzrichtlinie verstößt ist, dass dabei der Server eben standardmäßig Eventdaten im Rahmen jeglichen Zugriffs mitschreibt und speichert. Sobald es dann zu einer Kommunikation zwischen dem Rechner des Endnutzers über die aufgerufene Webseite mit dem Googler-Server kommt, werden von Google die Benutzer-Zugriffsdaten, wie die IP-Adresse erhoben. Genau an dem Punkt wird es aber kritisch für die Inhaber und Besitzer einer Webseite, weil sie dadurch gegen die DSGVO-Richtlinie verstoßen, obwohl Google das in den Allgemeinen Geschäftsbedingungen auf transparente Weise an den Tag legt. 

Bevor wir uns aber noch tiefer mit dem Problem befassen, sollten wir uns ansehen, was die DSGVO eigentlich ist.

Die DSGVO oder Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, die im Mai 2018 in Kraft getreten ist und ausschließlich dem Schutz personenbezogener Daten und der Privatsphäre der EU-Bürger dient. Das Gesetz konzentriert sich hierbei auf den Schutz des Einzelnen und deswegen sind alle Webseiten, die ein Mensch besuchen kann, dazu verpflichtet, die DSGVO-Richtlinie einzuhalten. Es geht aber noch weiter, dass jede Webseite, die den Besuchern der Europäischen Union zugänglich ist, DSGVO-konform sein muss. Das heißt, dass die Datenschutz-Grundverordnung auch außerhalb Europas gültig ist! 

Bitte jetzt nicht in Panik geraten und auf Ihrer Webseite alles umreißen oder sogar neu gestalten. Nein. Sie können Google Fonts wie auch andere Webfonts (Adobe Edge, Dafont und andere) nach wie vor verwenden, aber unter gewissen Bestimmungen. 

Erstmal gilt, dass auf einer Webseite ohne die Zustimmung des Anwenders über die Nutzung von Cookies einmal laut DSGVO keine Elemente geladen werden dürfen. Für den Einsatz jeglicher Art von Cookies und auch anderen Trackern, die eben personenbezogene Daten Ihrer Benutzer speichern und verarbeiten wollen, brauchen Sie eine ausdrückliche Einwilligung Ihres Anwenders oder Besuchers. Egal, um was es sich im Prinzip handelt, sei es eine Webanalyse mit Google Analytics, Google Fonts, wenn diese dynamisch vom Google Server geladen werden oder die Einbindung einer Landkarte aus Google Maps.   

Google Fonts können dynamisch oder statisch und lokal eingebunden werden. Aufzupassen ist, dass für beide Anwendungsarten bestimmte Bedingungen erfüllt werden müssen, damit Sie rechtlich immer auf der sicheren Seite bleiben. 

5.1 Dynamische Einbindung von Google Fonts

Um Google Fonts rechtskonform zu verwenden und die IP-Adresse (gilt als  personenbezogene Daten im Sinne der DSGVO) zu erheben und zu verarbeiten, müssen Sie eine Rechtsgrundlage vorweisen können. Wir würden vorschlagen, sich auf die Einwilligung als Rechtsgrundlage für Google Fonts zu stützen. Nach der Rechtsvorgabe,  Art. 6, Paragraf 1a ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn die betroffene Person ihre Einwilligung  zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

Damit Sie sich aber auf die Einwilligung als Rechtsgrundlage beziehen können, muss eine strenge zweistufige Prüfung durchgeführt werden.

1. Opt-In-Button - dem Besucher Ihrer Webseite muss die Möglichkeit geboten werden der Nutzung von Google Fonts zuzustimmen, bevor Ihre Webseite mit den Google Fonts überhaupt geladen wird. Dafür benötigen Sie spezielle Cookie-Tools, die für Sie leider kostenpflichtig sind.

2. Opt-Out-Button - dem Besucher Ihrer Webseite muss auch immer die Möglichkeit zur Verfügung stehen, sich gegen die Nutzung von Google Fonts zu entscheiden und diesen mit dem Opt-Out-Button zu widersprechen. Ihre Webseite wird hierbei nicht geladen.

In diesem Sinne und in diesem Rahmen erfüllt der Webseitenbetreiber die Kriterien und Bedingungen für eine DSGVO-konforme Webseite. Zusammengefasst: Entscheidend ist, dass Sie Ihren Besucher noch vor einem URL-Aufruf von Google Fonts an die Google Fonts API, um seine eindeutige Zustimmung bitten!

5.2 Statische und lokale Einbindung von Google Fonts

Bei einer statischen oder lokalen Einbindung von Google Fonts haben Sie sich gegen eine Übertragung von personenbezogenen Daten an Drittanbieter (US-Server) außerhalb der Europäischen Union entschieden. Anstelle der Anbindung über die Google Fonts API, werden Sie alle websicheren Schriften auf Ihrem lokalen Server ablegen und diese können, wann immer ein Besucher diese abrufen will, von dort geladen werden. So umgehen Sie für das Laden der Schriftarten die Zustimmung Ihrer Nutzer, weil in dem Fall keine Benutzerdaten an Drittanbieter (US-Server) gesendet werden und auch keine Fonts von amerikanischen Google-Server geladen werden. Das ist aber nur dann gültig, wenn sich die Server Ihrer Website lokal in der EU befinden.

Bevor Sie aber loslegen und Maßnahmen setzen, raten wir Ihnen erst zu prüfen, ob Google Fonts auf Ihrer Webseite richtig verwendet werden. Das finden Sie sehr schnell mit dem Google-Fonts-Checker von sicher3.de heraus:

a. Im Fenster tragen Sie die Webseite ein, die Sie überprüfen wollen:

b.  Das Ergebnis: 

Rotes Ergebnis bedeutet, dass auf Ihrer Webseite die Schriftarten nachgeladen werden. Grünes Ergebnis bedeutet, dass Google keine Schriftarten nachlädt. 

Wenn sich herausstellt, dass bei Ihnen die Schriftarten vom Google Server geladen werden, dann gehören unbedingt Maßnahmen gesetzt! Was müssen Sie jetzt konkret tun?

1. Endgültige Entscheidung für die Einbindung von Google Fonts treffen

Überlegen Sie sich bitte gut anhand des gelesenen Blogbeitrags, ob Sie Google Fonts dynamisch eingebunden lassen (wenn Sie eben mit dem Google-Fonts-Checker feststellen, dass diese so eingebunden sind) oder diese statisch bzw. lokal einbinden möchten. 

Dynamische Einbindung bedeutet: 

Sie müssen die Datenschutzrichtlinie auf Ihrer Webseite, um die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten (Art. 6, Paragraf 1a) erweitern. Das machen Sie, indem Sie sich auf Ihr berechtigtes Interesse beziehen und dem Kunden die Begründung, warum dem so ist, klar und transparent darlegen. Neben der Begründung und Informierung, müssen Sie dem Kunden auf der Webseite auch die Möglichkeit geben, sich aufgrund der transparent mitgeteilten Information zu entscheiden, ob er der Übertragung von Google Fonts zustimmt (er stimmt dann nämlich auch der Weiterleitung seiner IP-Adresse an Google zu) oder er diese ablehnt. Das bedeutet, Sie brauchen seine Einwilligung. Zu dieser kommen Sie, indem Sie dem Kunden eine sogenannte Opt-In- und Opt-Out-Option anbieten. Wenn sich der Kunde für die Opt-In-Option entscheidet, ist er mit dem Herunterladen von Google Fonts einverstanden und mit der Bestätigung seiner Option, erhalten Sie seine eindeutige Zustimmung, dass seine IP-Adresse an Google weitergeleitet werden kann. Mit der Auswahl der Opt-Out-Option, hat Ihr Kunde sich gegen die Google Fonts entschieden, was bedeutet, er will Google Fonts nicht herunterladen und auch nicht, dass seine IP-Adresse an Google Server weitergeleitet wird. Hauptsache ist, der Kunde ist informiert und ist aufgrund der Information befähigt, eine Entscheidung für sich zu treffen.

Statische Einbindung bedeutet:

Sie haben sich statt der Übertragung der Google Fonts über die Google Fonts API Schnittstelle, für eine lokale Speicherung der websicheren Fonts auf Ihrem lokalen Server entschieden. Nicht vergessen, der Server muss sich in der EU befinden. Dafür müssen zuerst alle Google Fonts, die jetzt noch über die Google Font API übertragen werden, identifiziert und heruntergeladen und in das richtige Format Woff2 (Web Open Font Format) konvertiert werden. Dabei können Sie sich mit dem Web Fonts Helper Tool von Mario Ranftl helfen oder Sie machen das direkt über Developer Tools in Chrome bzw. Firefox. Wir zeigen Ihnen, wie es funktioniert:

1. Klicken Sie auf die rechte Maustaste, wenn Sie sich in Ihrem Chrome oder Firefox-Browser befinden und gehen Sie dann auf Untersuchen:

2. Im Fenster rechts klicken Sie auf Sources:

3. Dann wählen Sie fonts.gstatic.com aus und sehen die Google Fonts:

Sobald Sie die Woff2 Dateien haben, müssen Sie diese auf das passende Verzeichnis auf Ihrem Webserver legen. Das machen Sie ganz einfach über ein FTP-Programm Ihrer Wahl (FileZilla und Cyberduck sind z.B. kostenlos). Sie kopieren das benötigte CSS, indem Sie im Google-Font-Helper auf “Copy CSS” gehen und Best Support auswählen. Diese Kopie binden Sie im Quellcode Ihrer Webseite ein. Wenn die Webfonts einmal eingebunden sind, vergessen Sie nicht, die Verbindung zu Ihren Webfonts zu deaktivieren. 

2. DSGVO-konforme Implementierung von Webfonts durchführen

Nachdem Sie sich für eine der beschriebenen und DSGVO-konformen Implementierungsmethoden entschieden haben, ist es an der Zeit, diese einzubinden. Sie haben die Möglichkeit, diese selbst in Angriff zu nehmen oder Sie entscheiden sich, dass die Implementierung mit einem versierten und erfahrenen Partner umgesetzt werden soll. 

Gerne helfen wir Ihnen bei der Implementierung von Ihren Webfonts und somit auch bei der Sicherstellung der Datenschutzrichtlinie. Die Implementierung wird bei uns für alle Magento-Webseiten in 4 einfachen Schritten vollzogen:

Schritt Nr. 1. 

Google Fonts identifizieren und herunterladen

Schritt Nr. 2

Alle Font-Dateien im CSS hinterlegen

Schritt Nr. 3 

Google Fonts über CSS verwenden

Schritt Nr. 4

Verbindung zum Web Fonts-Server deaktivieren

Die DSGVO Richtlinien sind für viele Unternehmer nicht einfach zu verstehen und dennoch müssen wir uns eingestehen, dass sie bleiben werden und auch Relevanz haben, da die Rechte von Privatpersonen zu respektieren und zu schützen sind. Anstatt sich mit Schadenersatzforderungen und Beschwerden auseinandersetzen zu müssen, macht es Sinn, sich mit dem Thema zu befassen und die notwendigen Punkte umzusetzen.

Wenn Sie Ihre Google Fonts DSGVO-konform einbinden lassen möchten oder andere Punkte der Datenschutzverordnung auf Ihrer Webseite fachgerecht umsetzen möchten, unterstützen wir Sie gerne. Sie erreichen uns unter:

office@weboffice.at / Tel.Nr. +43 (0) 5 98 99

Vergessen Sie nicht, diesen Artikel mit Ihren Geschäftspartnern über die Social-Media-Kanäle zu teilen.

Wir bedanken uns für Ihre Zeit und sehen Sie im nächsten Artikel hoffentlich wieder!