Check your Fonts - immediately
Das Landgericht München I stellte am 20.01.2022 fest, dass Google Fonts auf Websites datenschutzwidrig und nicht durch das berechtigte Interesse nach Artikel 6 Absatz 1f DSGVO abgedeckt sind.
Überrollt uns nun die Abmahnwelle?
Was sind Google Fonts?
Der US-Internetriese Google stellt seit etwa 20 Jahren etwa 1.300 gut programmierte, kostenlose und frei verwendbare Schriftarten („Fonts“) für die unterschiedlichsten Sprachen zur Verfügung.
Programmierer und -betreiber einer Website nutzen diese Fonts gern, um die Websites wertiger zu gestalten. Außerdem sind die Fonts für Googles Suchmaschine optimiert und gelten dort als Positiv-Kriterium für das Ranking.
Google Fonts: What's the problem?
Werden diese Fonts dynamisch per Quellcode-Schnipsel („Code-Snippet“) mit einem Link auf den Google-Server eingebunden, dann werden bei jedem Aufruf der Webseite Nutzerdaten an zwei Domains von Google LLC übertragen. Dies sind in jedem Fall die IP-Adresse des abfordernden Rechners, in manchen Fällen auch weitere Informationen. Die dynamische IP-Adresse gehört laut EuGH zu den personenbezogenen Daten. Das bedeutet, die Nutzung von Google Fonts per Einbindung unterliegt der DSGVO und erfordert eine Rechtsgrundlage. Ohne vorherige Information und Einwilligung der Nutzer darf eine solche Datenübertragung in ein Drittland nicht stattfinden (Artikel 7 DSGVO).
Bei einer Online-Einbindung der Schrift aber kann die Webseite mit den Vorab-Informationen nicht angezeigt werden, ohne dass die Schriftart bereits zum Einsatz kommt und die Datenübertragung schon vor der Einwilligung erfolgt. Google legt auch nicht offen, welche Daten zu welchem Zweck von wem verarbeitet werden, ob sie mit anderen Daten kombiniert und wie lange sie gespeichert werden – insbesondere bei angemeldetem Google-Konto (Android-Betriebssysteme!). Diese Informationen sind aber für eine rechtskräftige Nutzereinwilligung zwingend erforderlich – ebenso wie eine Opt-Out-Möglichkeit, die die Fonteinbindung nicht bietet. Damit ist keine DSGVO-konforme Verwendung von Google Fonts in Form eines eingebundenen Links möglich.
Das Landgericht München hat die Bequemlichkeit der Programmierer, die durch die Link-Einbindung von Google Fonts viel Zeit und Kosten sparen, nicht als berechtigtes Interesse nach Artikel 6 Absatz 1f DSGVO akzeptiert. Und auch durch das typische Cookie-Banner ist diese Einwilligung nicht „mitgemeint“, da die Fonts üblicherweise keine Cookies verwenden. Damit muss der Nutzer in die Verwendung von Google Fonts und der damit verbundenen, laut Gericht nicht erforderlichen Datenübertragung in die USA ausdrücklich einwilligen, um eine Rechtsgrundlage zu schaffen.
Check your Website Compliance
Mach den Test mit unserem kostenlosen Quickscanner!
Abmahnwelle? Ist Google Fonts der Auslöser?
Aktuell beschäftigen sich eine Reihe von Privatpersonen und Abmahnkanzleien damit, Websitebetreiber mit einer Link-Einbindung von Google Fonts abzumahnen. Die Grundlage dafür ist das genannte Urteil aus München. Darin wurde dem Kläger nicht nur ein Unterlassungsanspruch, sondern auch Schadenersatz in Höhe von 100 Euro zugesprochen, weil seine Rechte auf informationelle Selbstbestimmung verletzt und seine Daten unberechtigt in das Drittland USA übermittelt wurden, in dem kein angemessenes Datenschutzniveau besteht.
Für das entstandene „Unwohlsein“ und den Kontrollverlust über die personenbezogenen Daten fordern gewiefte Abmahner nun von weiteren Websitebetreibern, die Online-Fonts verwenden, ebenfalls 100 Euro. Die Kanzleien gehen noch weiter und fordern zusätzlich eine Unterlassungserklärung – samt Anwaltsgebühren in Höhe von meist 367,23 Euro.
Welche Konsequenzen sind mit dem Urteil des Gerichts verbunden?
Das Urteil des Landgerichts München bezieht sich nicht nur auf Google Fonts, sondern auf jeden US-Dienst, der dynamisch in eine Webseite eingebunden wird. Das ist nicht nur jede US-Alternative zu Fonts (etwa Adobe, MyFonts, FontAwesome), sondern auch andere Tool- oder Elementzulieferer für Websites.
Sämtliche Linklösungen, durch die US-Anbieteraufrufe in die Webseite eingebunden werden, dürften betroffen sein. Ob die Einwilligungen in Cookie-Consent-Banner eine ausreichende Grundlage für derartige nicht steuerbare Einbindungen liefern, ist äußerst fraglich.
Abmahnung! So reagierst du richtig:
Bei den Anschreiben von Privatpersonen dürfte es sich in vielen Fällen um Abzocke handeln .
Lösung: Hier empfehlen wir, sofort auf lokales Google-Font-Hosting umzusteigen und das Schreiben ansonsten zu ignorieren. Zudem könntest du überprüfen, ob die IP-Adresse des Websitebesuchers bei der Übertragung an Google in die USA verschlüsselt war – dann liegt vermutlich kein datenschutzrechtlicher Verstoß vor.
Der Anwalt schickt eine Abmahnung.
Abmahnungen von Anwälten sollten generell ernster genommen und im Folgeschritt ein IT-Anwalt eingeschaltet werden. Auch hier empfiehlt sich der sofortige Abschied von Google-Onlinefonts.
Wie lassen sich Google Fonts DSGVO-konform nutzen?
Um die Fonts zu nutzen und trotzdem die Datenübertragung in die USA zu unterlassen, gibt es einen relativ einfachen Weg: Der Fonts muss auf der eigenen Webseite gehostet werden.
Die unrechtmäßige Datenübertragung findet nämlich nur statt, wenn die Schriftart im Code der Webseite von den Google-Servern abgefordert wird. Wird die Schriftart hingegen heruntergeladen und lokal auf dem eigenen Server gehostet (und auch entsprechend von dort aus ins CSS eingebunden), erfolgt keine Datenübertragung in die USA und die Datenübertragung wird minimiert (Artikel 5 Absatz 1 DSGVO). Dabei muss die Verbindung zu Googles Servern manuell gekappt und auf die eigene Fontkopie umgeleitet werden.
Ist das legal?
Absolut! Obendrein muss Google das nicht einmal erlauben. Es existiert sogar ein Hilfsprogramm, Google Webfonts Helper, für den Download der Schriften und für die Kappung der Serververbindung zu Google (Beispiel für WordPress).
Important to know:
Ein Eintrag in deiner Datenschutzerklärung ist zwingend erforderlich (falls du selbst über Google Fonts personenbezogene Daten erhebst). Das lokale Hosting könnte sich auf die Suchmaschinenoptimierung und auch auf die Erstladezeiten der Seite auswirken. Tests haben allerdings keinen großen Effekte feststellen können. Zudem muss der gesamte Kapp-Prozess wiederholt werden, wenn es ein Update der Schriftart gibt – das ist aber eher selten der Fall.
Der Font-Check
- Verwendet meine Website überhaupt Google-Fonts?
- Falls ja, ist die Verwendung rein lokal und ohne Abruf aus den USA konfiguriert?
- Falls die Link-Anbindung nicht geändert werden kann: Kann ich die Schriftart durch eine ähnliche Schriftart ohne Datenschutzprobleme ersetzen, am besten lokal?
Sollte kein Ersatz möglich sein, musst du ein eigenes Consent-Tool einfügen, das die Einwilligung in die Nutzung der Google Fonts und die Datenübertragung in ein Drittland abfragt und dieser vorgeschaltet ist.
Goodie: Wichtiger Cookiebox-Hinweis
Wenn andere lizenzierte Schriftarten als Ersatzfonts verwenden werden sollen, überprüfe vorher in jedem Fall die Lizenzbedingungen, ob diese eine Verwendung auf Websites überhaupt zulassen. In manchen Fällen wird dies ausgeschlossen oder die Lizenz muss entsprechend erweitert werden.
Du hast Fragen?
Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unserem Produkt und Features oder generell zu allen Datenschutz-Themen: