Google Fonts DSGVO-konform verwenden

Bei der Überprüfung von Webseiten und der damit einhergehenden Erstellung von Datenschutzerklärungen, die im Einklang mit den Vorgaben der Datenschutzgrundverordnung (DSGVO) stehen, stoßen wir in unserer Beratungspraxis häufig auf den Einsatz von Schriftarten, die in Google Fonts hinterlegt sind. Dies nehmen wir zum Anlass, die datenschutzrechtliche Relevanz von Google Fonts Schriftarten näher zu beleuchten.

Bei Google Fonts handelt es sich um ein Verzeichnis von 915 verschiedenen Schriften, die auf der eigenen Website verwendet werden können. Die gängigen dieser Typen sind beispielsweise Ubuntu, Lato oder auch Droid Sans. Diese werden für Nutzer im Europäischen Wirtschaftsraum oder der Schweiz kostenfrei von der Google Ireland Limited, mit Sitz in Irland angeboten und können durch einen schlichten Code in den Head der Website eingefügt werden.

Dies hat neben der unglaublich großen Auswahl den Vorteil, dass sie auch im gewerblichen Bereich, also beim Betrieb einer Website zur Vermarktung der eigenen Leistungen, kostenlos genutzt werden können und darüber hinaus keinen Speicherplatz in Anspruch nehmen – gehostet werden sie nämlich bei Verwendung der Online-Version auf den Server von Google.

Und genau darin liegt auch das Problem:

Ruft ein Nutzer eine Website, die Google Fonts verwendet auf, werden die Daten, die die Schrift anzeigen, von den Servern Googles abgerufen, im Cache des Nutzerbrowsers abgelegt und verbleiben dort. Wie lange, das hängt von den Einstellungen des einzelnen Nutzers ab, sofern dieser jedoch seinen Cache nicht automatisch oder regelmäßig löscht, bis zu ein Jahr.

Damit die Website beim Aufruf einheitlich dargestellt wird, fragt Google vom Rechner des Nutzers zudem verschiedene Daten ab, wie beispielsweise die IP Adresse, das verwendete Betriebssystem, den verwendeten Browser oder auch den Browserverlauf. Und jedenfalls bei der IP-Adresse handelt es sich um personenbezogene Daten im Sinne der DSGVO, sodass der Webseitenbetreiber eine Legitimation benötigt, diese zu übermitteln. Denn verantwortlich ist derjenige, der den Abruf veranlasst und das ist infolge des Betriebs der Website und der Implementierung des Codes der einzelne Betreiber.

Und was ist mit Legitimationsgründen?

Als Legitimationsgründe kommt in diesem Fall eigentlich nur eine Einwilligung in Frage – und diese muss vor der Übermittlung der Daten und damit vor dem Aufruf der Website erteilt werden. Was schlicht unmöglich ist. Eine Funktion, mit der die Daten erst übermittelt werden, sobald der Nutzer seine Einwilligung erteilt hat, ist jedenfalls bei der Verwendung von Schriftarten von Google Fonts bislang nicht möglich. Darüber hinaus muss auch konkret darüber informiert werden, was mit den Daten bei Google geschieht. Auch das ist angesichts der intransparenten Informationen, die Google zur Verfügung stellt, nicht möglich.

Die Alternative, ein berechtigtes Interesse zur Legitimation heranzuziehen geht ebenfalls fehl. Zwar liegt die Darstellung der Schriften wohl im Interesse des Nutzers, schließlich hat er die Website aufgerufen, um auch deren Inhalt angezeigt zu bekommen. Aber erforderlich für das Vorliegen eines berechtigten Interesses ist ebenfalls, dass kein milderes, gleich wirksames Mittel für die Erfüllung des Verarbeitungszwecks vorhanden ist. 

Und genau das ist hier nicht der Fall, worin gleichzeitig die Lösung des Problems liegt.

Google bietet nämlich Websitebetreibern die Möglichkeit an, die Schriftarten auch lokal auf den eigenen Servern zu speichern, sodass die Daten von dort abgerufen werden und insoweit keine Übertragung von Daten von Websitebesuchern an Google notwendig ist. Dieser Offline-Modus stellt sich derzeit als die einzig datenschutzkonforme Verwendung der Google-Fonts Schriftarten dar.

Das Gleiche gilt natürlich für alle anderen Schriften, die im Online-Modus verwendet werden und daher Daten an Dritte weitergeben.

Ob für die Nutzung von Schriften der Abschluss einer Lizenzvereinbarung nötig ist, erfahren Sie hier.

Ihnen hat dieser Beitrag gefallen und Sie möchten auch in Zukunft mit interessanten Themen durch uns versorgt werden?

Dann melden Sie sich hier zu unserem kostenfreien Newsletter an:

* Datenschutz- und Datenverwendungshinweis

Mit der Übersendung Ihrer Nachricht willigen Sie ein, dass wir Sie auch künftig per Mail über Nützliches aus dem Bereich des Marketingrechts informieren. Und zwar nur dann, wenn es auch einen praktischen Nutzen für Sie hat - versprochen. Sie können Ihre Einwilligung jederzeit formlos - unter anderem durch eine Mail an hello@franz.de - widerrufen. Aber warten Sie doch einfach mal ab - es wird interessant ;-)... Und: natürlich geben wir Ihre Daten nicht an Dritte weiter. Beachten Sie bitte unsere Datenschutzerklärung.