DSGVO-konform einbinden
Das ist ein Schriftendienst von Google. Die Fontdateien werden dabei vom Google Server bezogen.
- Sitz: Mountain View, Kalifornien, Vereinigte Staaten
- Kategorie: Fonts
- Rechtsgrundlage: Einwilligungspflichtig via Consent Management Platform (CMP)
Was ist Google Fonts?
Ist Google Fonts DSGVO-konform? Kann ich Google Fonts als Websitebetreiber bedenkenlos nutzen?
Mittels Google Fonts besteht die Möglichkeit, verschiedenste Schriftarten innerhalb der eigenen Website nutzen zu können, ohne dass diese auf den eigenen Server hochgeladen werden müssen. Hierbei werden beim Aufruf der Seite lediglich die Schriften über den Google-Server nachgeladen.
Jedoch besteht die berechtigte Frage: Ist Google Fonts DSGVO-konform? Kann ich Google Fonts als Websitebetreiber bedenkenlos nutzen?
Sobald dieses Tool in den Fokus gerät, sind sich die Websitebetreiber uneinig. Wir bringen Licht ins Dunkel und zeigen, wie du Google Fonts bedenkenlos ausspielen und wie auch andere Schriftarten DSGVO-konform genutzt werden können. Denn gegen eine Verwendung von Google Fonts spricht grundsätzlich nichts, solange sich die WebMaster an eines halten:
Die Einbindung von Google Fonts unterliegt der DSGVO. Und das heißt: damit Google Fonts DSGVO-konform genutzt werden kann, bedarf es einer Rechtsgrundlage.
Folgende Problematik: Wird eine Google Font/ Schriftart vom Browser des Webseitenbesuchers angefordert, erfasst Google in jedem Fall die IP-Adresse des Users und verwendet diese für Analysezwecke. Diesbezülich weist Google innerhalb ihrer AGB zur Google Fonts API hin. Im gleichen Zuge wird dargelegt, wie die erfassten Daten konkret analysiert werden.
For your information: Die aggregierten Nutzerzahlen werden beispielsweise dafür genutzt, um die Beliebtheit einer bestimmten Schriftart zu messen. Das Ergebnis wird dann in Form einer Statistik auf der Google Analyseseite veröffentlicht.
Darüber hinaus nutzt Google auch die Daten des Google Webcrawlers. So findet Google heraus, welche Websites die Schriftarten von GoogleFonts nutzen. Diese Daten lassen sich dann in der Google BigQuery-Datenbank von Google Fonts finden.
In Bezug auf die DSGVO sieht sich Google in diesem Zusammenhang als „Controller“ bzw. „Verantwortlicher“ für Google Fonts.
Google Fonts – DSGVO-konform: Cookiebox zeigt wie's geht!
Doch Google Fonts lässt sich trotz Datenerhebung durch Google DSGVO-konform einsetzen. Wir zeigen wie.
Zuerst muss jedoch noch eines geklärt werden: die Rechtsgrundlage. Hier kann entweder ein Berechtigtes Interesse oder eine Einwilligung als Rechtsgrundlage herangezogen werden.
Berechtigtes Interesse als Rechtsgrundlage für Google Fonts
Google Fonts erfasst und verarbeitet die IP-Adresse des Webseitenbesuchers – für die Erhebung solcher personenbezogenen Daten bedarf es einer expliziten Einwilligung durch den Nutzer.
Wir raten davon ab, sich auf das berechtigte Interesse zu stützen. Manch eine/r nutzt argumentiert mit dem Page Speeds, da die Fonts über den Server schneller geladen werden. Allerdings ist der Unterschied zu vernachlässigen. In jedem Fall wäre eine Widerspruchsmöglichkeit in Form eines Opt-Outs wichtig. Es müsste nämlich gewährleistet sein, dass bei fehlendem Opt-In oder einem Opt-Out keine Verbindung zum Google Server durch Google Fonts aufgebaut wird, um den Austausch von Daten zu verhindern. Dies ist in sofern schwierig, als dass dies bereits beim Aufruf der Seite geschieht. Außerdem muss die Möglichkeit geschaffen werden, dass im Fall des Widerspruchs eine Ersatz-Schriftart herhält. Die technische Umsetzung ist unnötig kompliziert – mindestens komplizierter als die datenschutzkonforme Alternative, die wir dir im Folgenden vorschlagen möchten.
Ziel erreicht! 🏁
In unserem Service-Universum findest du umfassende Informationen zu einzelnen Services – übersichtlich und digital!
Expertenwissen und Profi-Tipps gibt’s on top 😉
Hast du "Service" richtig eingebunden?
Mach den Test in unserem kostenlosen Quickscanner!
Rechtliche Grundlage für die Verarbeitung
Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TDDDG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.
Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TDDDG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.
Wann besteht eine Einwilligungspflicht?
Personenbezogene Daten
Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:
- Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
- Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)
Cookies
Gem. Art. 25 Abs. 1 TDDDG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.
Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.
Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.
Die Anforderungen an die Einwilligungsfreiheit
Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:
- Sofern eine Datenweitergabe an Dritte stattfindet:
a) Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
b) Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
c) Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an. - Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
- Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
- Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
- IP-Anonymisierung („Privacy by Default)
- Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
- Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
- Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
IP-Adresse
Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.
Server-Standort
Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.
Firmensitz
Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.
Google Fonts muss Bestandteil deiner Datenschutzerklärung sein!
Jetzt eine Datenschutzerklärung kostenlos über die Testversion unseres Privacy Hubs erstellen!
Warum ist Google Fonts einwilligungspflichtig?
- Wenn Daten auf einem Server in einem sicheren Drittland verarbeitet würden, muss dennoch in jedem Fall eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO für die Nutzung von Google Fonts eingeholt werden, da Daten durch den Dienst gespeichert werden.
- Der Dienst von Google Fonts darf entsprechend erst nach Einwilligung geladen werden, da sonst bereits eine Verbindung zu einem der Server aufbauen würde.
- Das Erfüllen der Informationspflicht gemäß Art. 13 DSGVO in der Datenschutzerklärung stellt eine weitere Hürde dar, da die Information des Drittlandes fehlt und somit keine transparente Information geliefert werden kann.
Damit liegen Verstöße gegen die oben genannten Punkte 2, 3, 7 und 8 vor. Eine Einwilligungsfreiheit kann nicht begründet werden.
Welche DSGVO-konformen Alternativen gibt es zu Google Fonts?
Wir stellen Ihnen die drei beliebtesten Fonts vor:
1. Fontawesome
Bei der beliebten Web Icon Library wird die IP-Adresse ebenfalls übertragen, wenn du die Icons anzeigen und laden möchtest. So erfasst auch FontAwesome personenbezogene Daten im Sinne der Datenschutz-Grundverordnung.
Folge: Sie benötigen für die Verwendung von FontAwesome eine Rechtsgrundlage nach
Art. 6 DSGVO.
2. Adobe Fonts (Typekit)
Über diesen Dienst von Adobe kannst du auf eine Schriftbibliothek zugreifen. Dabei ist Typekit ein reiner Hosting-Dienst.
Das heißt: ein Hosting auf eigenen Servern oder ein Download des Katalogs sind nicht möglich.
3. Fonts.com
Dies ist der eigene Webfont-Service von Monotype. Er umfasst hauseigene Schriften aber auch Schriften externer Hersteller, beispielsweise Adobe.
fonts.com wird auf Monotype-Servern gehostet. Ein Download zu Layoutzwecken oder Selfhosting ist je nach Tarif möglich.
Fazit
Best Practice: Lokales Hosting von Google Fonts
Wie wir nun wissen, können wir uns weder auf das berechtigte Interesse als Rechtsgrundlage für die Verwendung von Google Fonts stützen, noch reicht die Einwilligung über das Cookie Banner für 100%ige DSGVO-Konformität. Es gibt aber einen Weg, Google Fonts zu nutzen, ohne Nutzerdaten dabei mit Google zu teilen.
Um die standardmäßige Verbindung zum Google Server zu verhindern und die Normen der DSGVO einzuhalten, raten wir zu der lokalen Einbindung der Google Fonts, welches datenschutzrechtlich den besten und sichersten Umgang mit den Schriften darstellt.
Im Fall der lokalen Einbindung von Google Fonts, werden die Schriften vom eigenen Server und nicht von den Google Servern geladen. In diesem Fall kannst du dich auch auf ein berechtigtes Interesse stützen, da keine Daten an Drittanbieter gesendet werden.
Hinweis: Hier die Einschätzung des Bayerischen Landesbeauftragten für den Datenschutz zu Einbindung von Schriftarten – Einwilligung – Fonts – Google Fonts – IP-Adresse – Schriftarten, Schriften – Selbsthosting von Schriftarten – Web Fonts aus März 2022.
Du hast Fragen?
Kontaktiere uns gerne für ein unverbindliches Erstgespräch: