Ist Google Fonts DSGVO-konform? Kann ich Google Fonts als Webseitenbetreiber bedenkenlos nutzen? Sobald dieses Tool in den Fokus gerät, sind sich die Webseitenbetreiber uneinig.

Wir bringen Licht ins Dunkel und zeigen Ihnen, wie Sie Google Fonts bedenkenlos ausspielen und wie auch andere Schriftarten DSGVO-konform genutzt werden können.

Denn gegen eine Verwendung von Google Fonts spricht grundsätzlich nichts, solange sich die WebMaster an eines halten:

Die Einbindung von Google Fonts unterliegt der DSGVO. Und das heißt: damit Google Fonts DSGVO-konform genutzt werden kann, bedarf es einer Rechtsgrundlage. Mit anderen Worten: eine Nutzereinwilligung muss her.

Sammlung personenbezogener Daten durch
Google Fonts

Es werden keine Cookies durch Google Fonts gesetzt. Doch der Clou ist wie folgt: Wenn eine Schriftart vom Browser des Webseitenbesuchers angefordert wird, erfasst Google die IP-Adresse des Users und verwendet dieses für Analysezwecke.

Google macht daraus keinen Hehl und schreibt dies transparent in den AGB zur Google Fonts API. Auch legt Google dar, wie die erfassten Daten genau analysiert werden;

Die aggregierten Nutzerzahlen werden beispielsweise dafür genutzt, um die Beliebtheit einer bestimmten Schriftart zu messen. Das Ergebnis wird dann in Form einer Statistik auf der Google Analyseseite veröffentlicht.

Darüber hinaus nutzt Google auch die Daten des Google Webcrawlers. So findet Google heraus, welche Websites die Schriftarten von GoogleFonts nutzen. Diese Daten lassen sich dann in der Google BigQuery-Datenbank von Google Fonts finden.
In Bezug auf die DSGVO sieht sich Google in diesem Zusammenhang als „Controller“ bzw. „Verantwortlicher“ für Google Fonts.

Google Fonts - DSGVO-konform. So geht´s!

Doch Google Fonts lässt sich trotz Datenerhebung durch Google DSGVO-konform einsetzen. Wir zeigen Ihnen die gängigsten Methoden:

Zuerst muss jedoch noch eines geklärt werden: die Rechtsgrundlage. Hier kann entweder ein Berechtigtes Interesse oder eine Einwilligung als Rechtsgrundlage herangezogen werden.

Berechtigtes Interesse als Rechtsgrundlage für Google Fonts

Google Fonts erfasst und verarbeitet die IP-Adresse des Webseitenbesuchers - für die Erhebung solcher personenbezogenen Daten bedarf es jedoch einer Rechtsgrundlage.

Bei anonymen Webseitenbesuchern kann hier das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO oder eine Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO herangezogen werden.

Ob ein berechtigtes Interesse für die Verwendung von Google Fonts ausreicht, obliegt der Auslegung des Webseitenbetreibers.

Wenn sich der Webseitenbetreiber für die Verwendung von Google Fonts auf das berechtigte Interesse stützt, muss eine strenge dreistufige Prüfung durchgeführt werden. Die Argumentation, warum die Interessenabwägung zugunsten des Webseitenbetreibers ausfällt, sollten Sie transparent in Ihrer Datenschutzerklärung listen.

Orientierungshilfe

Die Ausführungen der DSK zum berechtigten Interesse.
Hier ist jedoch Vorsicht geboten: holen Sie sich die Meinung eines Datenschutzexperten ein, da die Rechtslage bei der Versendung einer IP-Adresse in die USA keinesfalls eindeutig ist – wir stehen Ihnen gerne zur Verfügung!

Doch auch hier: es muss sichergestellt werden, dass der Webseitenbesucher der Verwendung von Google Fonts widersprechen kann. Dem Webseitenbesucher muss die Möglichkeit einer Widerspruchsmöglichkeit in Form eines Opt-outs bereitgestellt werden.

Einwilligung als Rechtsgrundlage für Google Fonts

Die Einwilligung des Webseitenbesuchers stellt eine rechtssichere Grundlage für die Verwendung von Google Fonts dar.

Beachten Sie zudem, dass die Daten zu Google in einen Drittstaat (USA) gesendet werden, könnte die Einwilligung zwingend erforderlich sein, damit Google Fonts DSGVO-konform in Europa verwendet werden kann. Wenden Sie sich bei weiteren Fragen gerne an einen unserer Datenschutzexperten!

Wichtig:

  • Die Kriterien für eine rechtsgültige Einwilligung im Sinne der DSGVO müssen erfüllt sein.
  • Darüber hinaus muss die Einwilligung des Webseitenbesuchers eingeholt werden, bevor ein URL Call von GoogleFonts zur Google Fonts API stattfindet.

1. Methode: Lokales Hosting von Google Fonts

GoogleFonts stellt bei jedem Aufruf der Webseite eine Verbindung zu Google her – wenn Google standardmäßig über den Google Server eingebunden ist. Um die Normen der DSGVO einzuhalten muss der Webseitenbetreiber hierfür eine Einwilligung des Webseitenbesuchers einholen.

Sie können Google Fonts jedoch auch lokal einbinden. Dann werden die Schriften vom eigenen Server und nicht von den Google Servern geladen.

Falls Sie die Verwendung von Google Fonts auf ein berechtigtes Interesse stützen wollen, ist dies hier möglich, da keine Daten an Drittanbieter gesendet werden.

Die Fonts lokal zu hosten kann jedoch auch Nachteile bergen; beispielsweise längere Wartezeiten oder die Einblendung von Fallback-Fonts bis die Google Font geladen ist.

2. Methode: DSGVO-konforme Implementierung von GoogleFonts mit Hilfe einer CMP

Möchten Sie die Verwendung von Google Fonts mit einer Einwilligung des Webseitenbesuchers stützen, sind Consent Tools oder Consent Management Platforms (CMP) das Mittel der Wahl.

Persönlich können wir die Consent Management Platform von Usercentrics empfehlen. Wir haben eine Anleitung zur Einbindung der Consent Management Platform (CMP) von Usercentrics auf unserer Webseite. Nutzen Sie schon die Usercentrics CMP müssen Sie Google Fonts noch in die CMP integrieren. Wie dies geht, zeigen wir Ihnen hier:

Integration von Google Fonts in die Usercentrics CMP

Damit Google Fonts erst nach der abgegebenen Einwilligung des Webseitenbesuchers ausgespielt wird, müssen Sie zwei Schritte beachten:

1. „Google Fonts“ als Datenverarbeitungsservice in Ihrem Usercentrics Admin Interface anlegen

Gehen Sie in Ihr Usercentrics Admin Interface. Wählen Sie „Service Settings“ und fügen Sie einen neuen Service aus der Service-Datenbank von Usercentrics hinzu.

Google Fonts als Datenverarbeitungsservice festlegen

Suchen Sie nach „Google Fonts“ und wählen Sie die entsprechende Kategorie aus. Unsere Empfehlung: „Funktional“.

Speichern Sie Ihre Änderungen.

2. Das GoogleFonts Skript anpassen

Damit Google Fonts schnellstmöglich geladen wird, wird der Dienst meist direkt in die Webseite eingebunden. In diesem Fall müssen Sie das Skript anpassen.

Ein Beispiel anhand der Schriftart Roboto:

Google Fonts Skript anpassen

Fügen Sie den Link zur entsprechenden Schriftart in Zeile 6 ein.

Die Usercentrics CMP prüft daraufhin den Einwilligungsstatus und lädt Google Fonts erst nach Einwilligung des Nutzers.

Haben Sie Google Fonts über den Google Tag Manager von Usercentrics implementiert? Richten Sie sich nach der Implementierungsanleitung des Google Tag Managers.

Beachten Sie: Liegt keine Einwilligung des Webseitenbesuchers vor, wird die über Google Fonts eingebundene Schriftart nicht geladen. Folge könnte eine verzerrte Wahrnehmung der Webseite sein, wenn keine Fallback-Schriftart im CSS definiert wurde.

Tipp: der Fallback sollte unbedingt eine Schriftart sein, die auf allen Betriebssystemen funktionierende Schriftarten beinhaltet. Wählen Sie für die Fallback-Lösung eine ähnliche Schriftart. So ist das Gesamtbild der Webseite nicht gestört

Achtung

Es kann für den Besucher zu einem FOUT (Flash Of Unstyled Text) kommen, wenn er die Einwilligung abgibt. In diesem Moment wird der komplette Text der Webseite vom Browser auf die neu geladene Schriftart von Google Fonts umgestellt.

DSGVO-konforme Einbindung anderer Fonts

Wie sieht es mit anderen Fonts von anderen Anbietern aus? Gibt es hier Besonderheiten?

Wir stellen Ihnen die drei beliebtesten Fonts vor:

FontAwesome

Bei der beliebten Web Icon Library wird die IP-Adresse ebenfalls übertragen, wenn Sie die Icons anzeigen und laden wollen. So erfasst auch FontAwesome personenbezogene Daten im Sinne der Datenschutz-Grundverordnung.

Folge: Sie benötigen für die Verwendung von FontAwesome eine Rechtsgrundlage nach
Art. 6 DSGVO.

Adobe Fonts (Typekit)

Über diesen Dienst von Adobe können Sie auf eine Schriftbibliothek zugreifen. Dabei ist Typekit ein reiner Hosting-Dienst.

Das heißt: ein Hosting auf eigenen Servern oder ein Download des Katalogs sind nicht möglich.

fonts.com

Dies ist der eigene Webfont-Service von Monotype. Er umfasst hauseigene Schriften aber auch Schriften externer Hersteller, beispielsweise Adobe.

fonts.com wird auf Monotype-Servern gehostet. Ein Download zu Layoutzwecken oder Selfhosting ist je nach Tarif möglich.

Checkliste

  • Werden auf meiner Webseite Google Fonts oder andere Schriftarten verwendet? Wenn ja, wie?
  • Welche Rechtsgrundlage ist einschlägig: berechtigtes Interesse oder eine Einwilligung?
  • Erfolgt eine lokale Einbindung des Tools? Wenn nicht: Binden Sie ein Consent Tool oder eine Consent Management Platform ein.
  • Möchten Sie die Schriftart lokal ausspielen? Nutzen Sie die aktuelle Version der Schriftart, laden Sie die Dateien auf den eigenen Server und binden Sie das CSS ein.

Ihr Ansprechpartner: Jörg ter Beek

Privatsphäre aus Prinzip

Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.