Google Fonts und Datenschutz

Die richtige Einbindung von Schriftarten

Seit 2010 existieren Google Web-Fonts. Dies sind diverse Schriftarten, die durch den Tech-Giganten aus den USA bereitgestellt werden und kostenlos genutzt werden können. Der Vorteil ist, dass die Schriften eben kostenfrei in Websites integriert werden können und dabei auf allen Endgeräten dargestellt werden können. Denn dies ist der Zweck dieses Konzeptes von Google: Eine einheitliche Darstellung von Schriften, die den Prozess des Designens enorm erleichtert. Inzwischen zählen die, weit über 1000, Fonts zu den meistgenutzten Schriftarten.
Wie so häufig hat ein solch gewaltiger Vorteil auch Nachteile, die auf den ersten Blick nicht unbedingt erkennbar sind. Denn die Nutzung von Google Fonts sind nicht im Sinne des Datenschutzes.

Was bezweckt Google?

Um zum Kernproblem von Google Fonts mit der DSGVO zu gelangen, sollte man sich zunächst bewusst machen, warum Google die Web-Fonts überhaupt ins Leben gerufen hat. Denn ein Konzern wie Google stellt solche Features nicht aus reiner Nächstenliebe zur Verfügung. In aller Regel geht es um Gewinnmaximierung und dem Erringen von Markteinteilen, also dem Überbieten und Verdrängen von Konkurrenten.
Zum einen möchte das kalifornische Unternehmen natürlich, dass die Google-Suche optimiert wird. Denn früher wurden als alternative Schriftarten Bilder genutzt, die sich jedoch als Datei nicht förderlich auf die Suche ausgewirkt haben, denn die Ladenzeit spielt eine große Rolle für Websites. Je mehr Menschen Google nutzen möchten, desto mehr Geld verdient der Konzern. Sind die Ladezeiten geringer, ist Google automatisch attraktiver.
Ein weiterer Grund, mit dem auch ein, gesamtheitlich betrachtet, gewaltiger Nachteil einhergeht, ist natürlich das Sammeln von Daten. Denn nichts ist heutzutage so wertvoll wie Daten. Wer sie besitzt und auf ihrer Basis agiert, beherrscht den Markt. Dass Google selbst Daten sammelt, mag der ein- oder andere mehr- oder weniger schlimm finden. Doch der Hintergrund nach der Frage, ob Google Fonts DSGVO-konform sind, ist ein ganz anderer.

Google Fonts und die DSGVO

Google Fonts und Datenschutz stehen auf einem anderen Blatt.
Ein Urteil des Landgerichtes München aus dem Januar 2022 begründet, dass die dynamische Verwendung von Google Fonts nicht DSGVO-konform ist, da der Einsatz der Schriftarten auch möglich ist, ohne eine Verbindung der Besucher einer Website zu Google Servern.
Hintergrund ist zudem, dass nach dem Schrems-II-Urteil vom 16.07.2020 keine personenbezogenen Daten mehr, ohne Einwilligung der Betroffenen, mittelbar über amerikanische Server laufen dürfen. Im Klartext bedeutet das, wer Google Fonts auf seiner Website integrieren möchte, muss die Einwilligung der Besucher dafür einholen.
Konsequenz ist, dass Website-Betreiber nicht mehr, ohne Weiteres, auf die Google Fonts API zurückgreifen können, um die eigene Page ansehnlicher zu gestalten. Zwar verneint Google die weitergehende Speicherung von Daten, das Landgericht sieht dennoch eine Verletzung von Persönlichkeitsrechten bei dynamischer Nutzung der Web-Fonts.

Wie Google Fonts DSGVO-konform nutzen?

Wie können die Google Fonts also DSGVO-konform genutzt werden?
Zunächst einmal muss zwischen statischer und dynamischer Einbindung der Fonts unterschieden werden.

Dynamische Einbindung

Kritischer Punkt ist die Sendung personenbezogener Daten, wie dynamische IP-Adressen, an Drittländer, in diesem Fall die USA.
Wird die dynamische Variante verwendet, so ist diese unkomplizierter, aber eben nicht Datenschutz-konform. Hierbei wird ein Code-Snippet in den HTML-Code der Website eingepflegt. Daraufhin wird eine Verbindung zum Google-Server aufgebaut, wobei die Schriftart von dort aus auf die Seite eingespielt wird. Hier wird die dynamische IP-Adresse an den Server, der sich in den USA befindet, gesendet.
Wird hierbei vom Betreiber der Seite keine explizite Einwilligung des Besuchers eingeholt, so liegt ein Verstoß gegen die DSGVO vor, denn die USA verhindert, nach EU-Standards, rechtlich nicht stark genug, dass US-Behörden auf die Daten zugreifen können. Somit ist diese Variante nicht ideal.

Statische Einbindung

Die Google Fonts können jedoch auch statisch eingebunden werden. Dabei wird die gewünschte Schriftart einfach heruntergeladen und lokal in die Website eingebunden. Denn wird dann die Website besucht, so wird nicht auf den Google-Server abgestellt.
In der Praxis sieht das so aus: Die Schriftart muss heruntergeladen werden. Dabei ist sie jedoch noch im TTF-Format und nicht in dem gewünschten Woff2. Denn dieses wirkt sich am wenigsten schlecht auf die Ladezeiten der eigenen Website aus.
Deswegen muss die Datei umgewandelt werden. Dafür gibt es kostenlose Editoren. Die umgewandelten Daten müssen dann wieder heruntergeladen werden.
Dann müssen die Dateien in den Woff2-Ordner hochgeladen werden und dies auf dem eigenen Server. Befinden sich die Dateien im richtigen Ordner, so müssen die Schriftarten per CSS eingebunden werden. Die Syntax der Dateien muss dann angepasst werden, wobei die korrekte Schreibweise entscheidend ist.
Zu guter Letzt müssen diese Fonts im CSS noch referenziert werden. Auch dieses Referenzieren muss genau übereinstimmen.

Fazit

Wem diese Einbindung zu kompliziert ist, sollte auf die dynamische Variante mit Zustimmung zurückgreifen. Andernfalls sollte sich möglicherweise Hilfe, in Form eines WordPress Webentwickler, geholt werden. Dieser kümmert sich um die DSGVO-konforme Einbindung der Google Fonts und um alle anderen Fragen rund um den Datenschutz auf Ihrer Website.
Abschließend lässt sich sagen, dass trotz dieser Hindernisse, die Nutzung von Google Fonts durchaus sinnvoll ist. Wird jedoch nicht Datenschutz-konform eingebunden, so können sowohl Sanktionen seitens der EU als auch Schadensersatzansprüche durch Geschädigte folgen. Denn die Persönlichkeitsrechte der EU-Bürger zu wahren, ist Sinn und Zweck der DSGVO

Die Immerce GmbH ist die Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für ihre Kunden Suchmaschinenoptimierung. Seit 2018 ist mit der Einführung der DSGVO der Geschäftsbereich betreuen wir unsere Kunden zusätzlich in den Bereichen Datenschutz & IT-Sicherheit.

Kontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
08323-209 99 43
muens@immerce.de
https://www.immerce-consulting.de

Die Bildrechte liegen bei dem Verfasser der Mitteilung.