Mit Google Fonts können hunderte Schriftarten einfach und einheitlich von Webseitenbetreibern eingebunden werden. Sehr zur Freude der Verwender ist der Dienst kostenfrei und zusätzlich für die hauseigene Suchmaschine von Google optimiert. Doch wie ist mit den Google Fonts seit Inkrafttreten der DSGVO umzugehen?
Wie funktionieren Google Fonts?
Die Einbindung der Schriftarten auf der Webseite ist meist in nur wenigen Schritten erledigt. Bei der Art und Weise der Einbindung kann man zwischen HTML, CSS und Javascript wählen. Datenschutzrechtlich eher interessant ist die lokale Einbindung von Google Fonts. Im Folgenden sind die zwei „Modi“ von Google Fonts kurz zusammengefasst.
„Online“-Modus
Besuchen nun Nutzer die Webseite, baut der Browser beim Laden der Webseite über den Link eine Verbindung zu den Servern von Google auf. Dabei übermittelt der Browser des Nutzers verschiedene Informationen zur einheitlichen Darstellung der Webseite. Diese sind unter anderem verschiedene Browser- und Gerätedaten und auch die IP-Adresse des Nutzers selbst. Demnach werden durch die Einbindung von Google Fonts personenbezogene Daten an die Server von Google in den USA übermittelt. Die Font-Dateien werden für ein Jahr auf dem Endgerät gespeichert, um die Ladezeiten der Webseiten auf denen Google Fonts verwendet wird zu verbessern.
„Offline“-Modus
Demgegenüber steht die lokale Speicherung der Google Fonts – sozusagen der „Offline“-Modus. Dabei lädt man die benötigten Fonts von den Google-Servern und speichert sie lokal auf dem Webserver. Die Verwaltung der Fonts ist dann – mittels CSS – wie bei jeder anderen Font-Family möglich. Eine Übertragung der IP-Adresse an Google findet dann nicht mehr statt. Man verliert jedoch auch einige Vorteile der Google Fonts. Die Aktualisierung der Schriftarten ist nun Aufgabe des Webseitenbetreibers und auch die Ladezeiten dürften sich verlängern.
Einwilligung, berechtigtes Interesse?
Der Browser des Nutzers lädt die Google Fonts beim ersten aufrufen der Webseite mit. Webseitenbetreiber können deswegen nicht eingreifen, bevor die Übermittlung der IP-Adresse stattfindet. Es ist somit praktisch unmöglich eine Einwilligung einzuholen, die den Ansprüchen der DSGVO genügt (Art. 7 DSGVO). Auch die Umsetzung des Widerspruchsrechts dürfte sich in der Praxis schwer gestalten. Es muss folglich eine andere Rechtsgrundlage her.
Die Verarbeitung könnte sich auch auf ein überwiegendes berechtigtes Interesse des Webseitenbetreibers stützen (Art. 6 Abs. 1 lit. f) DSGVO). Das berechtigte Interesse der Webseitenbetreiber besteht in den Vorteilen, die die Nutzung der Google Fonts eben mit sich bringt:
- Suchmaschinenoptimierung
- verbesserte Ladezeiten
- geringer administrativer Aufwand
- geräteübergreifende einheitliche Darstellung
Fraglich ist, ob das Interesse eine Übermittlung der IP-Adresse und weiterer Gerätedaten an Google rechtfertigen kann.
In den FAQ zu Google Fonts betont Google, dass sie Daten nur zur Darstellung der Schriftarten verarbeiten. Google führt die Daten auch nicht mit Daten aus anderen Google-Diensten zusammen. Einzig zur Analyse der Beliebtheit der verschiedenen Fonts werden aggregierte Daten verarbeitet. Eigentlich eine klare Sache – Google verarbeitet eben nur das, was sie zur Darstellung der Schriftarten benötigen.
Wieso ist es allerdings bei Google Fonts in Ordnung die vollständige IP-Adresse der Nutzer an Google zu übersenden, wenn wir Google Analytics nur mit aktivierter IP-Anonymisierung datenschutzkonform verwenden können? Und kann der Betroffene wirklich vernünftigerweise erwarten, dass seine IP-Adresse in die USA übermittelt und dort von Google gespeichert wird, nur um Schrift anzuzeigen (ErwG. 47)? Es sollte klar sein, dass auch die Verwendung von Google-Fonts datenschutzrechtlich problematisch ist. Ob das berechtigte Interesse der Webseitenbetreiber überwiegt, ist zumindest zweifelhaft.
Empfehlung für die Praxis
Ein überwiegendes berechtigtes Interesse kann nur dann vorliegen, wenn es kein milderes, gleich wirksames Mittel für die Erfüllung des Verarbeitungszwecks gibt. Der „Offline“-Modus erscheint hier jedoch genau das zu sein. Aus datenschutzrechtlicher Sicht ist es daher zu empfehlen, die Schriftarten lokal auf den Servern zu speichern. Nutzen Sie dafür etwa folgende Anleitung. Bis zu einer gerichtlichen Entscheidung oder einer Stellungnahme der Aufsichtsbehörden ist der „Online“-Modus von Google Fonts jedoch mit einem gewissen datenschutzrechtlichen Risiko verbunden. Dieses Risiko wird durch die intransparenten Informationen von Google zu seinen Diensten weiter gestützt. Jeder Webseitenbetreiber sollte daher die Vorteile und das damit verbundene Risiko gegeneinander abwägen.
Über den Autor
Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:
…und wie steht’s dann mit dem Urheberrecht?
Google stellt in seinen Nutzungsbedingungen klar, dass durch die Nutzung selbstverständlich keinerlei Urheberrechte an Google Diensten erworben werden. Auf der FAQ-Seite zu Google Fonts – welche im Blogartikel verlinkt ist – äußert sich Google wie folgt zu der lokalen Nutzung von Google Fonts:
„Should I host fonts on my own website’s server?
We recommend copying the code snippets available under the „Embed“ tab in the selection drawer directly into your website’s HTML and CSS. Read more about the performance benefits this will have in the “Will web fonts slow down my page?” section below.
Can I download the fonts on Google Fonts to my own computer?
Yes. To download fonts, simply create a selection of fonts, open the drawer at the bottom of the screen, then click the „Download“ icon in the upper-right corner of the selection drawer. You can download the fonts to use in mock-ups, documents, or locally on your machine.
Note that when browsers render websites that use the Google Fonts API, they will check if a font is installed locally on your computer, and prefer to use the local version over web fonts. To make sure the fonts installed locally on your personal computer are always up-to-date, we recommend using a fonts manager (such as SkyFonts) that automatically syncs the latest versions of fonts from the Google Fonts API to your computer.„
Außerdem erlaubt Google die Nutzung der Google Fonts zu privaten und kommerziellen Zwecken. Dabei wird nicht eingeschränkt, dass dies nur unter der Voraussetzung gilt, dass die Fonts im „online“-Modus betrieben werden. Die gesamte Nutzung des Dienstes ist kostenfrei und erlaubt. Darin ist die lokale Speicherung der Schriftarten und die Verwendung im „offline“-Modus vorgesehen. Es finden sich folglich keine Gründe davon auszugehen, dass die Nutzung im „offline“-Modus untersagt ist, bzw. gegen Urheberrecht verstößt.
Danke für Ihre Antwort!
„Wieso ist es allerdings bei Google Fonts in Ordnung die vollständige IP-Adresse der Nutzer an Google zu übersenden…“
auch bei Anonymisierung der IP-Adresse in Google Analytics verbindet sich der jeweilige Browser ja erstmal mit Google (und übermittelt dadurch die vollständige IP-Adresse). Ich sehe hier ehrlich gesagt keinen Unterschied (außer dass in den Accesslogs evt. die vollständige IP-Adresse drin steht – und hier tut google selbst gut daran diese nach einer gewissen Frist zu anonymisieren.
Ich habe vor dem Wirksam-Werden der DSGVO auf allen meinen Websites die Google Fonts selbst gehostet. Das geht flott, macht sich aber leider durchaus bei den Ladezeiten bemerkbar.
Ein Kompromiss ist, nur Besucher mit neueren Browsern mit Google Fonts zu beglücken. Wer mit älterer Software surft, muss mit Systemschriften vorliebnehmen. Bei Tools wie dem Google Webfonts Helper lässt sich das auch von Laien einstellen. Weitere Performance-Optimierung, etwa durch Browser-Caching von Fonts, ist eher Profi-Territorium.
Eine Frage noch an Dr. Datenschutz: Inwiefern soll die Verwendung von Google Fonts der Suchmaschinenoptimierung nutzen?
Wie richtig erwähnt, fließt die bloße Verwendung von Google Fonts wahrscheinlich nicht in das Google Ranking ein, sondern die durch die Verwendung resultierenden schnelleren Ladezeiten verbessern das Ranking. Sollte dies aus dem Text nicht hervorgegangen sein, so ist es hiermit noch einmal genannt. Vielen lieben Dank für den Hinweis.
Werden die Google Fonts für die Nutzer mit aktuellerer Software dann wieder im „online“-Modus bei Ihnen betrieben? Oder grenzen Sie einfach die Anzeige der Fonts auf neuere Browser ein?
Da Google von Daten lebt ist nicht davon auszugehen, dass es hier einfach auf ein derart breit gefächtertes Tracking verzichtet. Etwas anderes anzunehmen ist schlichtweg naiv.
Noch dazu sei gesagt, dass die Verwendung „für moderne Browser“ überhaupt keine Verbindung zum Thema Datenschutz hat. Es geht lediglich darum in wie vielen Formaten sie eingebunden werden, sprich wie leichtgewichtig das ganze wird.
Es ändert aber nichts daran, daß wahrscheinlich Daten an Google gesendet werden, egal die Fonts ob lokal oder auf nem Fremdserver liegen.
Wenn die Fonts lokal auf dem Server liegen können sie technisch keine Daten an Google senden. Alles wird 100% lokal ausgeliefert.
Im Stylesheet definiert man mittels CSS-Attribut @font-face die Schriftarten, die man einbinden möchte (und die dafür auf dem eigenen Webspace vorhanden sein müssen). Um nur neuere Browser mit Webfonts zu „beliefern“, beschränke ich mich dabei auf die Formate woff und woff2. Wenn Sie den Link klicken, sehen Sie die Browserunterstützung für diese Formate. Nicht unterstützte Browser greifen auf die im Stylesheet von mir festgelegten alternativen Schriftarten zurück oder andernfalls auf Systemschriften.
Ich bin garantiert kein Experte auf diesem Gebiet (Webtypografie ist ein schwieriges Thema und erfordert im Einsatz viele Tests, auch abseits des eigenen Rechners), aber so funktioniert es auf meinen Websites.
Bei dem oben erwähnten Tool Google Webfonts Helper kann man die Einschränkung auf woff und woff2 festlegen. Die dafür notwendigen CSS-Regeln werden dabei automatisch generiert. Auf woff2 könnte man auch verzichten, um die Last weiter zu reduzieren.
Hallo Dr. Datenschutz und danke für euren Hinweis auf die Anleitung.
Leider bekomme ich die Umstellung auf Lokal mit meinem ChromeOS-Notebook nicht bewältigt und die dann wahrscheinlich längeren Ladezeiten möchte ich meinen Besuchern auch nicht zumuten. Deswegen begründe ich die Nutzung zunächst über berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO), solange bis die Rechtsprechung dieser Möglichkeit widersprechen sollte.
Anmerkung zu dem Absatz „Wieso ist es allerdings bei Google Fonts in Ordnung die vollständige IP-Adresse der Nutzer an Google zu übersenden, wenn wir Google Analytics nur mit aktivierter IP-Anonymisierung datenschutzkonform verwenden können?“ Bei jeder Serverabfrage (also auch Analytics, oder Fonts) wird zwischen Client und Server eine Verbindung aufgebaut. Teil der Verbindungsdaten ist u.a. die IP-Adresse des Clients – das ist auch technisch unumgänglich da es für die Antwort benötigt wird. Auf dieser Netzwerkebene wird die IP-Adresse immer mitgegeben, auch bei Google Fonts und Analytics. Es ist technisch nicht möglich eine Abfrage ohne die IP Adresse durchzuführen – wenn ich das nicht will darf ich nicht abfragen. So gesehen ist eine Nutzung des Analytics-Dienstes ohne Übermittlung der IP Adresse ebenfalls unmöglich. Was „anonymisiert“ wird ist die IP-Adresse in den Daten („Payload“), die beim Analytics-Dienst gesendet werden – auf Netzwerk/Verbindungsebene ist die IP Adresse auch hier vorhanden. Bei Fonts ist sie NUR dort vorhanden – so gesehen müsste die DSGVO jeden Netzwerktraffic „in ein unsicheres Land“ unterbinden. Irgendwie schüttet man hier das Kind mit dem Bad aus.