Mit Google Fonts können Webseitenbetreiber einfach und einheitlich hunderte Schriftarten einbinden. Sehr zur Freude der Verwender ist der Dienst kostenfrei und zusätzlich für die hauseigene Suchmaschine „Google“ optimiert. Doch wie kann man Google Fonts jetzt DSGVO-konform einsetzen? Wir erläutern es.
Der Inhalt im Überblick
Wie funktionieren Google Fonts?
Die Einbindung der Schriftarten auf der Webseite ist meist in nur wenigen Schritten erledigt – etwa über HTML, CSS oder JavaScript. Aus datenschutzrechtlicher Sicht relevant ist die Unterscheidung zwischen der externen Einbindung über die Google-Server („Online“-Modus) und der lokalen Einbindung über den eigenen Webserver („Offline“-Modus).
Google Fonts im „Online“-Modus
Besuchen Nutzer die Webseite, baut der Browser beim Laden der Webseite über den Link eine Verbindung zu den Servern von Google auf. Dabei übermittelt der Browser des Nutzers verschiedene Informationen zur einheitlichen Darstellung der Webseite. Diese sind unter anderem verschiedene Browser- und Gerätedaten und auch die IP-Adresse des Nutzers selbst. Das bedeutet, durch die Einbindung von Google Fonts werden personenbezogene Daten an die Server von Google in den USA übermittelt.
Die benötigten Schriftdateien werden im Anschluss im Browsercache des Endgeräts gespeichert. Google gibt dabei eine Cache-Dauer von bis zu einem Jahr vor, um Ladezeiten bei zukünftigen Seitenaufrufen zu verbessern.
Google Fonts im „Offline“-Modus
Dem gegenüber steht die lokale Speicherung der Google Fonts – sozusagen der „Offline“-Modus. Dabei lädt man die benötigten Fonts von den Google-Servern und speichert sie lokal auf dem eigenen Webserver. Die Verwaltung der Fonts ist dann – mittels CSS – wie bei jeder anderen Font-Family möglich. Eine Übertragung der IP-Adresse oder sonstiger personenbezogener Daten an Google findet nicht statt, da keine Verbindung zu Google Servern besteht. Die Pflege und Aktualisierung der Schriftarten ist nun Aufgabe des Webseitenbetreibers, darüber hinausgehende Nachteile sind jedoch nicht zu erwarten. Insbesondere die Ladezeit kann bei Verzicht auf Googles CDN in bestimmten Fällen sogar verbessert werden im Vergleich zur Nutzung des „Online“- Modus.
Rechtsgrundlage beim Einsatz von Google Fonts nach DSGVO
Bereits die oben aufgeführte Gegenüberstellung lässt erahnen, welche Variante der Nutzung aus datenschutzrechtlicher Sicht vorzugswürdig sein dürfte.
Rote Karte für das „berechtigte Interesse“
So stößt man bei dem Vorhaben, eine Rechtsgrundlage für den Einsatz von Google Fonts im „Online“-Modus ausfindig zu machen, schnell auf die erste Hürde, wenn man meint, eine Verarbeitung aufgrund „berechtigter Interessen“ gem. Art. 6 Abs. 1 lit. f DSGVO vornehmen zu können.
Die berechtigten Interessen der Webseitenbetreiber sind zwar relativ zügig als „wirtschaftliche Interessen“ festgestellt: Sie bestehen für die grundsätzliche Nutzung attraktiver Schriftarten darin, dass die eigene Webseite ansprechender erscheint und somit ein Wettbewerbsvorteil erzeugt wird.
Die dann im zweiten Schritt notwendige Darstellung der „Erforderlichkeit“ für die mit dem „Online“-Modus im Zusammenhang stehende Datenverarbeitung ist rechtssicher nicht möglich. Stets wird man an dieser Stelle zumindest einwerfen müssen, dass die benötigten Schriften von Google ebenso gut auf den eigenen Servern des Anbieters geladen und dem Webseitenbesucher von dort zur Verfügung gestellt werden könnten – oder man „lässt das mit Google ganz“ und verwendet anstatt dessen lizensierte Schriften.
Einem Urteil folgte „Abmahn-Tsunami“ zu Google Fonts
Bereits mit Urteil des LG München vom 20.01.22 (Az. 3 O 17493/20) wurden dem Nutzer einer Webseite 100 Euro Schmerzensgeld zugesprochen, weil der Webseitenbetreiber Google Fonts in dem hier beschriebenen „Online“-Modus ohne Einwilligung eingebunden hatte, dies mit den ebenfalls beschriebenen datenschutzrechtlichen Folgen, nämlich der unrechtmäßigen Übermittlung der IP-Adresse des Nutzers an Google in die USA.
Das Gericht verneinte die „Erforderlichkeit“ und stellte fest, dass die benötigten Schriften auch im „Offline“-Modus hätten verwendet werden können, sodass keine personenbezogenen Daten in einen Drittstaat übertragen worden wären. Alternativ hätten auch andere, lizensierte Schriften verwendet werden können, die keine personenbezogene Datenverarbeitung nach sich gezogen hätten. Es sei zu einer Verletzung des informationellen Selbstbestimmungsrechtes des Webseitennutzers gekommen, und ein Anspruch auf immateriellen Schadensersatz sei gegeben.
Diesem umstrittenen Urteil folgten die „sagenumwobenen“ Abmahnwellen zu Google Fonts, denen man in der Folge entgegentrat mit:
- gerichtlichen Maßnahmen und Entscheidungen gegen Abmahnmissbrauch (z.B. LG München I vom 30.03.2022, Az. 4 O 13063/22),
- Stellungnahmen zur Aufklärung von Verbänden und Vereinen
- und immer wieder mit der Empfehlung, Google Fonts nur noch im „Offline“-Modus einzusetzen.
Auch Datenschutz-Aufsichtsbehörden der Länder – zum Beispiel der Landesbeauftragte für Datenschutz und Informationsfreiheit NRW oder der Landesbeauftragte für Datenschutz Niedersachsen – empfehlen im Netz (weiterhin), Google Fonts im „Offline“-Modus einzubinden, sodass diesbezüglich breiter Konsens besteht.
Die Einwilligung(en)
Eine Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage für die Weitergabe der Daten an Google in die USA wäre nach dem o.g. Urteil des LG München zwar möglich gewesen (s.o.), wurde dort aber unstreitig gar nicht eingeholt.
Nicht absolut ausgeschlossen ist es daher, dass man durchaus und entgegen aller Empfehlungen Google Fonts auch weiterhin einwilligungsbasiert extern einbindet. Die notwendige Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO korrekt rechtskonform einzuholen, beinhaltet jedoch einige datenschutzrechtliche Fallstricke: Insbesondere müsste das verwendete Consent Management Tool das Laden der Fonts auch tatsächlich blockieren, bis der Nutzer eingewilligt hat – vorher dürfte keine Verbindung mit den Google Servern entstehen. Außerdem wären die Datenschutzhinweise im Consent Tool dezidiert korrekt zu formulieren, auch hinsichtlich des Drittstaatentransfers.
Nicht zu vergessen an dieser Stelle wäre die korrekte Einholung der außerdem notwendigen Einwilligung nach § 25 Abs. 1 TDDDG, da die Übertragung der IP-Adresse an die Google-Server in den USA im Übrigen eine „nicht technisch zwingend erforderliche“ Verarbeitung darstellt.
Schließlich wird man sich die Frage stellen, welche Schriftarten man für die ggf. nicht unerhebliche Anzahl derjenigen Nutzer zur Verfügung stellt, die ihre Einwilligung dann nicht wie gewünscht erteilen.
Nach alledem dürfte den meisten Webseitenbetreibern an dieser Stelle die Einwilligung als Rechtsgrundlage als faktisch „unattraktiv“ erscheinen. Das gegebene Risiko wird durch die intransparenten Informationen von Google zu seinen Diensten weiter gestützt.
Empfehlung für die Praxis bei der Nutzung von Google Fonts
Auch wenn die Abmahnwellen nach dem o. g. Urteil des LG München selbst rechtlich umstritten waren bzw. sind, ändert das nichts daran, dass natürlich der Einsatz von Google Fonts auf einer wirksamen Rechtsgrundlage basieren muss, sofern personenbezogene Daten verarbeitet werden.
Aus datenschutzrechtlicher Sicht vorzugswürdig ist auf jeden Fall die lokale Einbindung von Google Fonts über den eigenen Webserver – da in diesem Fall gar keine personenbezogenen Daten an Google übertragen werden.
Wenn es trotz allem aber die externe Einbindung der Google Fonts sein soll, dann ist extreme Vorsicht geboten und nur nach einer rechtswirksam erteilen Einwilligung dürfen Daten zu Google fließen.
…und wie steht’s dann mit dem Urheberrecht?
Google stellt in seinen Nutzungsbedingungen klar, dass durch die Nutzung selbstverständlich keinerlei Urheberrechte an Google Diensten erworben werden. Auf der FAQ-Seite zu Google Fonts – welche im Blogartikel verlinkt ist – äußert sich Google wie folgt zu der lokalen Nutzung von Google Fonts:
„Should I host fonts on my own website’s server?
We recommend copying the code snippets available under the „Embed“ tab in the selection drawer directly into your website’s HTML and CSS. Read more about the performance benefits this will have in the “Will web fonts slow down my page?” section below.
Can I download the fonts on Google Fonts to my own computer?
Yes. To download fonts, simply create a selection of fonts, open the drawer at the bottom of the screen, then click the „Download“ icon in the upper-right corner of the selection drawer. You can download the fonts to use in mock-ups, documents, or locally on your machine.
Note that when browsers render websites that use the Google Fonts API, they will check if a font is installed locally on your computer, and prefer to use the local version over web fonts. To make sure the fonts installed locally on your personal computer are always up-to-date, we recommend using a fonts manager (such as SkyFonts) that automatically syncs the latest versions of fonts from the Google Fonts API to your computer.„
Außerdem erlaubt Google die Nutzung der Google Fonts zu privaten und kommerziellen Zwecken. Dabei wird nicht eingeschränkt, dass dies nur unter der Voraussetzung gilt, dass die Fonts im „online“-Modus betrieben werden. Die gesamte Nutzung des Dienstes ist kostenfrei und erlaubt. Darin ist die lokale Speicherung der Schriftarten und die Verwendung im „offline“-Modus vorgesehen. Es finden sich folglich keine Gründe davon auszugehen, dass die Nutzung im „offline“-Modus untersagt ist, bzw. gegen Urheberrecht verstößt.
Danke für Ihre Antwort!
„Wieso ist es allerdings bei Google Fonts in Ordnung die vollständige IP-Adresse der Nutzer an Google zu übersenden…“
auch bei Anonymisierung der IP-Adresse in Google Analytics verbindet sich der jeweilige Browser ja erstmal mit Google (und übermittelt dadurch die vollständige IP-Adresse). Ich sehe hier ehrlich gesagt keinen Unterschied (außer dass in den Accesslogs evt. die vollständige IP-Adresse drin steht – und hier tut google selbst gut daran diese nach einer gewissen Frist zu anonymisieren.
Ich habe vor dem Wirksam-Werden der DSGVO auf allen meinen Websites die Google Fonts selbst gehostet. Das geht flott, macht sich aber leider durchaus bei den Ladezeiten bemerkbar.
Ein Kompromiss ist, nur Besucher mit neueren Browsern mit Google Fonts zu beglücken. Wer mit älterer Software surft, muss mit Systemschriften vorliebnehmen. Bei Tools wie dem Google Webfonts Helper lässt sich das auch von Laien einstellen. Weitere Performance-Optimierung, etwa durch Browser-Caching von Fonts, ist eher Profi-Territorium.
Eine Frage noch an Dr. Datenschutz: Inwiefern soll die Verwendung von Google Fonts der Suchmaschinenoptimierung nutzen?
Wie richtig erwähnt, fließt die bloße Verwendung von Google Fonts wahrscheinlich nicht in das Google Ranking ein, sondern die durch die Verwendung resultierenden schnelleren Ladezeiten verbessern das Ranking. Sollte dies aus dem Text nicht hervorgegangen sein, so ist es hiermit noch einmal genannt. Vielen lieben Dank für den Hinweis.
Werden die Google Fonts für die Nutzer mit aktuellerer Software dann wieder im „online“-Modus bei Ihnen betrieben? Oder grenzen Sie einfach die Anzeige der Fonts auf neuere Browser ein?
Da Google von Daten lebt ist nicht davon auszugehen, dass es hier einfach auf ein derart breit gefächtertes Tracking verzichtet. Etwas anderes anzunehmen ist schlichtweg naiv.
Noch dazu sei gesagt, dass die Verwendung „für moderne Browser“ überhaupt keine Verbindung zum Thema Datenschutz hat. Es geht lediglich darum in wie vielen Formaten sie eingebunden werden, sprich wie leichtgewichtig das ganze wird.
Es ändert aber nichts daran, daß wahrscheinlich Daten an Google gesendet werden, egal die Fonts ob lokal oder auf nem Fremdserver liegen.
Wenn die Fonts lokal auf dem Server liegen können sie technisch keine Daten an Google senden. Alles wird 100% lokal ausgeliefert.
Im Stylesheet definiert man mittels CSS-Attribut @font-face die Schriftarten, die man einbinden möchte (und die dafür auf dem eigenen Webspace vorhanden sein müssen). Um nur neuere Browser mit Webfonts zu „beliefern“, beschränke ich mich dabei auf die Formate woff und woff2. Wenn Sie den Link klicken, sehen Sie die Browserunterstützung für diese Formate. Nicht unterstützte Browser greifen auf die im Stylesheet von mir festgelegten alternativen Schriftarten zurück oder andernfalls auf Systemschriften.
Ich bin garantiert kein Experte auf diesem Gebiet (Webtypografie ist ein schwieriges Thema und erfordert im Einsatz viele Tests, auch abseits des eigenen Rechners), aber so funktioniert es auf meinen Websites.
Bei dem oben erwähnten Tool Google Webfonts Helper kann man die Einschränkung auf woff und woff2 festlegen. Die dafür notwendigen CSS-Regeln werden dabei automatisch generiert. Auf woff2 könnte man auch verzichten, um die Last weiter zu reduzieren.
Hallo Dr. Datenschutz und danke für euren Hinweis auf die Anleitung.
Leider bekomme ich die Umstellung auf Lokal mit meinem ChromeOS-Notebook nicht bewältigt und die dann wahrscheinlich längeren Ladezeiten möchte ich meinen Besuchern auch nicht zumuten. Deswegen begründe ich die Nutzung zunächst über berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO), solange bis die Rechtsprechung dieser Möglichkeit widersprechen sollte.
Anmerkung zu dem Absatz „Wieso ist es allerdings bei Google Fonts in Ordnung die vollständige IP-Adresse der Nutzer an Google zu übersenden, wenn wir Google Analytics nur mit aktivierter IP-Anonymisierung datenschutzkonform verwenden können?“ Bei jeder Serverabfrage (also auch Analytics, oder Fonts) wird zwischen Client und Server eine Verbindung aufgebaut. Teil der Verbindungsdaten ist u.a. die IP-Adresse des Clients – das ist auch technisch unumgänglich da es für die Antwort benötigt wird. Auf dieser Netzwerkebene wird die IP-Adresse immer mitgegeben, auch bei Google Fonts und Analytics. Es ist technisch nicht möglich eine Abfrage ohne die IP Adresse durchzuführen – wenn ich das nicht will darf ich nicht abfragen. So gesehen ist eine Nutzung des Analytics-Dienstes ohne Übermittlung der IP Adresse ebenfalls unmöglich. Was „anonymisiert“ wird ist die IP-Adresse in den Daten („Payload“), die beim Analytics-Dienst gesendet werden – auf Netzwerk/Verbindungsebene ist die IP Adresse auch hier vorhanden. Bei Fonts ist sie NUR dort vorhanden – so gesehen müsste die DSGVO jeden Netzwerktraffic „in ein unsicheres Land“ unterbinden. Irgendwie schüttet man hier das Kind mit dem Bad aus.