Google Fonts und DSGVO – Ein (un)glückliches Paar?
Jana Pfeiffer
Websites leben neben Bildern und Content auch stark von der Typografie. Viele nutzen dafür die kostenlosen und lizenzfreien Google Fonts. Doch um die Gefahren einer datenschutzrechtlichen Abmahnung und Schadenersatzforderungen zu vermeiden, sollten ein paar Dinge beachtet werden.
Google Fonts sind Schrifttypen. Sie werden als Datei in den Browser geladen und bestimmen das Schriftbild einer Website. Google bietet sie kostenlos und lizenzfrei an. Damit die Schrift auf einer Website angezeigt werden kann, wird die IP-Adresse des Users – der Empfänger des Datenpakets – an den Server übermittelt, auf dem die Schriftdatei liegt. Und hierin liegt die Krux. Denn die IP-Adresse gilt als personenbezogenes Datum – welches im Sinne des Datenschutzrechts äußerst schützenswert ist.
Doch die Nutzung von Google Fonts entspricht nicht in jedem Fall den geltenden Datenschutzrichtlinien. Warum? Es kommt darauf an, wie die Schriftdateien bezogen werden: Im Januar 2022 entschied das LG München, dass eine Einbindung von Schriften über Google-Server nicht datenschutzkonform ist, wenn nicht die Einwilligung des Seitenbesuchers in eine Datenverarbeitung durch Google eingeholt wird. Denn Google kann zwar die übermittelte IP-Adresse nicht direkt einem User zuordnen, mithilfe von Web-Analyse-Tools oder Dritten wie ermittelnden Strafbehörden wäre das aber durchaus möglich. Das bedeutet im Umkehrschluss, die Daten der Schrifttypen müssen lokal eingebunden werden und dürfen nicht über die Google Server bezogen werden, um datenschutzkonform zu agieren. Ansonsten muss mit einer Abmahnung oder gar Schadenersatzforderungen, die gerade im großen Stil verschickt werden, gerechnet werden.
Häufig aber bieten CMS-Systeme, wie Wordpress oder andere Dienste, Möglichkeiten an, Google Fonts direkt einzubinden. In diesem Fall wird die Schriftdatei direkt vom Google-Server geladen, der in diesem Zuge auch die IP-Adresse des Users übermittelt bekommt. Laut dem Münchener Urteil ist das datenschutzwidrig, da dies geschieht, ohne dass der Seitenbesucher seine Einwilligung in die Datenübermittlung erteilt.
Die Lösung liegt in der lokalen Einbindung. Das heißt, die Schriften werden vom eigenen Server des Websitebetreibers abgerufen, sodass die IP-Adresse des Users auch nur dort einsehbar ist. Zum einen bieten CMS-Systeme immer öfter die Möglichkeit, mit einem Häkchen eine lokale Einbindung zu wählen, oder sie bieten spezielle Plug-ins dafür an. Zum anderen kann man sich behelfen, in dem man die Google Fonts Schrifttypen selbst herunterlädt, auf dem eigenen Server wieder hochlädt und über diesen Umweg auf der Website einbindet.
Wenden Sie sich mit spezifischen Fragen oder im Falle einer tatsächlichen Abmahnung am besten an Ihren Anwalt oder Ihren Datenschutzbeauftragten.
Sie haben Fragen rund um das Thema Web Development und Digitale Lösungen? Wir beraten Sie gerne!
Telefon: 0831 206 -394
E-Mail: