Google Fonts & DSGVO: Schriftarten sicher einbinden

Letztes Update:
29
.
11
.
2023
Lesezeit:
0
Min
Mit Google Fonts stehen Ihrem Unternehmen hunderte kostenfreie Schriftarten zur Verfügung, die Sie auf Ihrer Website kommerziell nutzen dürfen. Voraussetzung dafür ist eine DSGVO-konforme Einbindung der Fonts.  
Google Fonts & DSGVO: Schriftarten sicher einbinden
Die wichtigsten Erkenntnisse
  • Über 1.500 Google Fonts lizenzfrei nutzbar.
  • DSGVO-konforme Einbindung erforderlich.
  • Dynamische Einbindung über Google-Server problematisch.
  • Lokale Einbindung vermeidet Datenübermittlung an Google.
  • Datenschutzerklärung muss Nutzung von Google Fonts erwähnen.

Was sind Google Fonts?

Bei Google Fonts handelt es sich um ein Verzeichnis von mittlerweile über 1.500 Schriftarten. Der Suchmaschinenbetreiber Google stellt diese lizenzfrei und kostenlos zur Verfügung. Websitebetreibende dürfen die Web Fonts ohne Kennzeichnung auf jeder beliebigen Webseite verwenden.

Der Vorteil dabei: Der Dienst ist für die Google Suchmaschine optimiert. Außerdem lassen sich Google Fonts kommerziell nutzen. Und: Google Schriften machen Webseiten nicht nur optisch ansprechender, sondern auch schneller. Denn die Schriftarten liegen auf den Servern von Google und sparen Platz auf den Servern von Websitebetreibenden.

Das sogenannte Cross-Site-Caching sorgt dafür, dass eine Schriftart nur einmal aktiviert werden muss. Auf jeder anderen Website, auf der die gleiche Google Font verwendet wurde, kann die zwischengespeicherte Schriftart dann noch schneller geladen werden.

Doch ist diese Nutzung von Google Fonts datenschutzrechtlich sicher

Google Fonts & Datenschutz: Was ist zu beachten?

Wenn etwas kostenlos ist, gibt es in der Regel einen Haken. Das gilt auch für Google Fonts: In der Praxis werden diese Schriftarten häufig in einer Weise genutzt, die eineDatenübermittlung in die USA auslöst. Werden die Web Fonts über einen Link eingebunden, stellen sie eine Serververbindung zu Google her.

Beim Laden einer Website, auf der Google Fonts eingebunden wurden, übermittelt der Browser der Websitebesucher:innen verschiedene Informationen zur einheitlichen Darstellung der Schriftarten an Google. Dazu gehören neben Browser- und Gerätedaten auch die IP-Adressen der User:innen – die personenbezogene Daten darstellen.  

Das bedeutet konkret: Durch die Einbindung von Google Fonts werden personenbezogene Daten an die Server von Google in den USA übermittelt. Laut der Datenschutzgrundverordnung (DSGVO) müssen Betroffene in diesem Fall vor der Verarbeitung ihrer Daten zunächst darüber informiert werden.

Zudem muss eine Rechtsgrundlage für die Verarbeitung einschlägig sein. Bei der Nutzung von Google Fonts kommen zwei Rechtsgrundlagen in Betracht:  

  • Das überwiegende berechtigte Interesse der Websitebetreibenden.  
  • Eine Einwilligung durch die Nutzer:innen. 

Das Einholen einer Einwilligung scheitert häufig jedoch bereits daran, dass Websites so konfiguriert wurden, dass die Datenübermittlung sofort beim Aufrufen der Website stattfindet und keine Steuerung über ein „Cookiebanner“ bzw. Consent-Management-System erfolgt.  

Zudem stellt Google keine ausreichenden Informationen darüber zur Verfügung, welche Daten zu welchem Zweck verarbeitet oder wie lange sie gespeichert werden. Diese Informationen sind jedoch für die Einholung einer freiwilligen, informierten Einwilligung notwendig.


Was sagt Google dazu?

Laut Google werden personenbezogene Daten durch die Nutzung der Google Web Fonts lediglich in einem technisch erforderlichen Mindestmaß übermittelt. Google führt die Daten nach eigener Aussage außerdem nicht mit anderen Google-Diensten zusammen.

Aus datenschutzrechtlicher Sicht bleiben dennoch viele Fragen offen, auf die die Datenschutz-Grundverordnung eine Antwort verlangt.

Nutzen Sie Google Fonts DSGVO konform?

Unternehmen sollten die Einbindung von Google Fonts auf ihrer Website überprüfen, um Betroffenenanfragen zu vermeiden. Wir werfen mit Ihnen gemeinsam einen Blick auf Ihre Website, um herauszufinden, ob diese datenschutzkonform ist – unverbindlich und kostenfrei.

Jetzt Termin anfragen


Google Fonts datenschutzkonform einbinden: 3 Schritte zur sicheren Nutzung

Damit Sie die Google Schriftarten auf Ihrer Website weiterhin rechtssicher nutzen, sind nur wenige Schritte notwendig. Wir zeigen Ihnen, wie Sie vorgehen.


Schritt 1: Einbindung der Google Fonts auf Ihrer Website checken

Prüfen Sie zunächst, ob Google Fonts auf Ihrer Unternehmenswebsite eingebunden wird und in welcher Weise:

  • dynamisch über Server von Google 
  • statisch auf Ihren eigenen Servern

Mit der dynamischen Einbindung des US-Webdienstes Google Fonts entsteht die beschriebene kritische Verbindung, über die IP-Adressen an den Anbieter übermittelt werden. Diesen direkten Draht zu Google sollten Sie in Zukunft vermeiden und stattdessen die Google Fonts lokal einbinden.

Sind auf Ihrer Website Web Fonts von Google eingebunden, die jedoch bereits über Ihre eigenen Server geladen werden, müssen Sie nichts weiter beachten.

Schritt 2: Google Fonts datenschutzkonform auf dem eigenen Webserver einbinden

Wenn Sie Google Fonts statisch beziehungsweise lokal nutzen, wird beim Aufruf der Website keine Verbindung zu einem Google-Server hergestellt. Auf diese Weise vermeiden eine Übertragung der IP-Adresse Ihrer Website-Nutzer:innen an Google.

So gehen Sie vor:

  • Laden Sie die gewünschten Schriftarten bei Google herunter.  
  • Anschließend laden Sie die Dateien auf Ihren eigenen Webserver. 
  • Die Schriftarten können von nun an in verschiedenen Formaten auf Ihrer Website genutzt werden. Das erleichtert Ihnen die Nutzung passend zu Ihren individuellen Systemen. 
  • Prüfen Sie mit Ihrer IT oder mit Expert:innen für die Webentwicklung, ob die Web Fonts korrekt von Ihrem Server geladen werden. 

Dieses Vorgehen erfordert keine Einwilligung und die Legalität wird sogar in Googles FAQ zu Google Fonts bestätigt. Allerdings wirkt sich die lokale Einbindung von Google Fonts negativ auf die Ladezeiten Ihrer Website aus. Außerdem liegt die Aktualisierung der Schriftarten nach der lokalen Einbindung in Ihrer Hand.

Aufgrund dieser Nachteile könnte datenschutzrechtlich mit einem überwiegenden berechtigten Interesse der Websitebetreiber:innen argumentiert werden. Im Falle eines überwiegenden berechtigten Interesses der Verantwortlichen ist keine gesonderte Einwilligung der Betroffenen erforderlich.

Ob die genannten Nachteile bei der lokalen Einbindung von Google Fonts den Aufsichtsbehörden jedoch ausreichen, um ein überwiegendes berechtigtes Interesse zu rechtfertigen, ist nicht abschließend geklärt. Wer auf Nummer sicher gehen will, sollte deshalb die Google Web Fonts lokal einbinden.

Zudem steht den Websitebesucher:innen im Fall des berechtigten Interesses als Rechtsgrundlage grundsätzlich auch das Recht auf Widerspruch gegen die Datenverarbeitung zu, dessen Umsetzung gewährleistet sein müsste.

Schritt 3: Google Fonts in Datenschutzerklärung aufnehmen

Wenn Sie Google Web Fonts dynamisch über Google Server einbinden: Sie müssen die Verwendung in Ihrer Datenschutzerklärung erwähnen. Sie müssen Ihre Websitebesucher:innen unter anderem darüber informieren

  • warum und welche personenbezogenen Daten sie über Google Fonts verarbeiten,
  • wie lange die Daten gespeichert werden,  
  • auf welcher Rechtsgrundlage das geschieht und  
  • wie Nutzer:innen der Datenerhebung widersprechen bzw. wie sie eine Einwilligung können. 

Entscheiden Sie sich gegen die lokale Einbindung müssen Sie darüber hinaus Ihren Cookie-Banner bzw. Ihr Consent Management System anpassen.

Für eine sichere Nutzung von Google Fonts: Datenschutzerklärung Muster erstellen lassen

Sie benötigen eine DSGVO-konforme Datenschutzerklärung, die Google Fonts berücksichtigt? Wir unterstützen Sie dabei.

Jetzt Beratung anfordern

Fazit zu Google Fonts & DSGVO

IP-Adressen gehören zu den personenbezogenen Daten. Laut DSGVO muss zur Erfassung und Weitergabe solcher Daten eine Rechtsgrundlage vorliegen. Eine Einwilligung wird in den meisten Fällen bei Einbindung der Google Schriftarten nicht eingeholt, was einen Verstoß gegen geltendes Datenschutzrecht bedeuten kann, sofern sich Webseitenbetreibende nicht erfolgreich auf berechtigte Interessen berufen können.

Google Fonts waren bereits Gegenstand gerichtlicher Verfahren. So hat das Landgericht München in seinem Urteil vom 20.01.2022 (3 O 17493/20) entschieden, dass ein berechtigtes Interesse an der Einbindung über Google Server nicht vorliegt und im Fall auch keine Einwilligung eingeholt wurde.

Die durch das Urteil ausgelöste Abmahnwelle hat viele Unternehmen verunsichert. Einige Betroffene haben sich dagegen zur Wehr gesetzt und in zwischen wurde das Vorgehen einiger Abmahnenden von einigen Gerichten für rechtsmissbräuchlich erklärt. Dennoch ist es weiterhin wichtig, Google Fonts sauber in Websites einzubinden, um Beschwerden und Klagen von Betroffenen zu vermeiden.

Das gilt übrigens auch für alle anderen externen Inhalte, die über fremde Server bereitgestellt werden. Dazu gehören zum Beispiel JavaScript-Codes, YouTube-Videos oder Social-Media-Inhalte. Solche Elemente sind heute Standard auf vielen Websites – ihre datenschutzrechtliche Einbindung ist es dagegen nicht.

Wir unterstützen Sie dabei, diese und weitere Datenschutzthema zu einem selbstverständlichen Teil Ihres Unternehmensalltags zu machen.

Jetzt Kontakt aufnehmen


Autor: Sabrina Quente
05.09.2023

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!