Das Wichtigste zu Google Fonts und der DSGVO in Kürze
Ja, Google Fonts verfügen über eine freie Software-Lizenzierung. Sie sind demnach kostenlos und frei nutzbar. Die Bestimmungen der DSGVO müssen dabei aber eingehalten werden.
Google Fonts ist ein Verzeichnis des Google-Konzerns, das fast 1500 verschiedene Schriftarten enthält. Über die Schlagwortsuche (zum Beispiel nach „Google Fonts How to use“) finden sich verschiedene englisch- und deutschsprachige Anleitungen zur Nutzung. Dabei ist zu beachten, dass die Nutzung eines Google Font mit der europäischen Datenschutz-Grundverordnung übereinstimmen muss. In welchen Fällen Google Fonts nicht mit der DSGVO konform ist, wird hier erklärt.
Das kommt darauf an, auf welchem Weg Google Fonts in eine Website eingebunden ist. Eine statische Einbindung der Fonts in die eigene Seite ist DSGVO-konform. Bei einer dynamischen Einbindung werden die Schriften von Google Fonts über einen Google-Server nachgeladen. Dadurch wird die IP-Adresse des Website-Besuchers an Google weitergeleitet, was nicht den Vorgaben der Datenschutz-Grundverordnung entspricht.
Google Fonts sind dann DSGVO-konform, wenn ihre Nutzung nicht mit einer ungefragten und nicht bewilligten Übertragung der Daten von Usern einhergeht. Werden im Zuge ihrer Nutzung personenbezogene Daten wie IP-Adressen weitergegeben, bedarf es einer Einwilligungserklärung. Diese Regel gilt für alle Fonts, unabhängig davon, wie sie lizensiert sind.
So funktioniert Google Fonts
Inhaltsverzeichnis
Google Fonts (früher Google Web Fonts) stellt ein Verzeichnis von Schriften kostenlos zur Verfügung. Die eigenen Server werden dabei nicht belastet, da Fonts vom Unternehmen Google bereitgestellt wird. Um Google Fonts in die eigene Website einzubinden, gibt es zwei Möglichkeiten. Mit der ersten können Sie Google Fonts datenschutzkonform einbinden. Bei der zweiten Methode kollidiert die Nutzung von Google Fonts mit der Datenschutz-Grundverordnung.
1. Download der Schriftarten (lokale/statische Nutzung)
Nachdem Sie die gewünschten Schriftarten (Fonts) selbstständig heruntergeladen haben, können Sie diese auf dem eigenen Server/Webspace hochladen. Der entsprechende CSS-Code der Fonts kann anschließend im Backend oder über ein Plugin in die Website eingebunden werden.
2. Google Fonts über die Google-Server laden (dynamische Nutzung/Remote-Nutzung)
Diese Nutzung ist am einfachsten durch die Einbindung von Google Fonts in das Head-Element des HTML-Codes oder des Stylesheets der eigenen Website umsetzbar. Auch eine Einbindung über den Web-Font-Loader von JavaScript ist möglich. Bei jedem Besuch auf der Website wird eine Verbindung zu den Google-Servern hergestellt, um die Fonts zu laden.
Achtung: Google Fonts ist nicht DSGVO-konform, wenn es über die Google-Server in eine Seite eingebunden wird. Warum das so ist und welche rechtlichen Probleme darauf folgen können, erläutern die nächsten Abschnitte.
Um Google Fonts DSGVO-konform zu nutzen, bedarf es mehr als einer bloßen Einwilligung des Nutzers. Consent Management Platforms sorgen dafür, dass Fonts erst nach einer Einverständniserklärung des Nutzers zur Anwendung kommen. Zusätzlich kann eine auf die Nutzung von Google Fonts hinweisende Datenschutzerklärung online heruntergeladen werden.
Ein Hinweis auf die Nutzung in der Datenschutzerklärung der Webseite ist für sich genommen nicht ausreichend, um Google Fonts der DSGVO entsprechend einzubinden
Google Fonts kann datenschutzrechtlich problematisch sein
Die Nutzung von Google Fonts ohne Einwilligung der User verstößt gegen die DSGVO, wenn im Zuge dessen eine Verbindung zu Google-Servern in den USA aufgebaut werden muss, um die Fonts laden zu können. Das hat das Landgericht München Anfang 2022 festgestellt (Urteil vom 20.01.2022, Az. 3 O 17493/20). Die beklagte Webseitenbetreiberin musste in Folge des Urteils 100 Euro an den Kläger bezahlen.
Sind Google Fonts und die DSGVO unvereinbar?
Beim Besuch einer Website, die Google Fonts mit Hilfe der Google-Server nutzt, wird die IP-Adresse des Besuchers an Google weitergegeben. Insofern von Seiten der Nutzer keine klare Zustimmung für diese Weitergabe erfolgt, ist das ein Datenschutz-Verstoß wegen Google Fonts.
Die unbewilligte Weitergabe der IP-Adressen an Google wegen Fonts ist mit der DSGVO unvereinbar und darüber hinaus ein Verstoß gegen das allgemeine Persönlichkeitsrecht in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB.
„Die Weitergabe der IP-Adresse des Nutzers in der o.g. Art und der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust über ein personenbezogenes Datum an ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Nutzer empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist.“
LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20 (REWIS RS 2022, 1892)
In Folge des Urteils des Landgerichts München bekamen manche Website-Betreiber eine Abmahnung, weil sie Google Fonts nicht der DSGVO entsprechend nutzten. Diese richtete sich gegen Betreiber von Webseiten wegen vermeintlicher Verstöße gegen die DSGVO. Google Fonts hatte eine Abmahnung zur Folge, wenn seine Verwendung unter Einbeziehung der Google Server erfolgte. In vielen solcher Fälle ermittelt mittlerweile die Staatsanwaltschaft wegen betrügerischer Absichten. Wer eine Abmahnung wegen Google Fonts erhält, sollte daher einen Rechtsbeistand zu Rate ziehen.
Woher weiß ich, ob ich Google Fonts verwende?
Welche Webfonts Sie für Ihre Website nutzen, können Sie über das Entwickler-Tool in Chrome oder ähnliche Funktionen anderer Browser herausfinden. Mit einem Rechtsklick öffnet sich ein Pop-up-Fenster mit der Option „Untersuchen“ oder „Element untersuchen“. Wird diese Option gewählt, öffnet sich ein Menü am Rand, in dem die Option „Sources“ oder „Quellcode“ wählbar ist. Dort wird angezeigt, welche Quellen für eine Seite verwendet werden.
Darüber hinaus gibt es die Möglichkeit, mit Hilfe von Google-Fonts-Checkern zu prüfen, ob Google Fonts Verwendung findet. Des Weiteren existieren Plugins, die Google Fonts automatisch entfernen beziehungsweise durch andere Fonts ersetzen.
Google Fonts per Plugin in WordPress einzubinden ist möglich, geht aber mitunter mit einer Anwendung von Google Fonts einher, die DSGVO-unvereinbar ist. Kostenlose Programme wie „Local Google Fonts“ helfen dabei, Google (Web) Fonts, der Datenschutz-Grundverordnung entsprechend, über einen lokalen Server in WordPress-Seiten einzubauen.
Hallo liebes Team,
ab welchem Punkt bin ich denn als „Betreiber“ zu sehen?
Muss die Webseite dem potentiellen „Benutzer“ einen Wert bieten oder reicht es schon, einfach eine Webseite zu haben, um als „Betreiber“ zu gelten?
Dürfen auf einem ein per Passwort abgesicherten Portal google fonts genutzt werden?
Darf auf der Login-Seite des Portals google fonts genutzt werden, oder verstößt das auch schon gegen das „Persönlichkeitsrecht“ – immerhin ist eine passwortgesicherte Webseite für mich ein Indiz, dass ich dort „nicht willkommen bin“.
Als konkretes Beispiel für die ersten beiden Fragen: ich habe einen Homeserver am Laufen, der über das Internet erreichbar ist – passwortgeschützt, mit Portal, versteht sich… und Bootstrap mit Googlefonts und anychart für Auswertungen… die nun einmal aus dem Internet per CDN Daten nachladen, weil das die Funktionsweise des Internet ist, wie es vor Jahrzehnten konzipiert wurde.
Herzliche Grüße,
Jens
Wenn man die Webseite kennt – [von Redaktion entfernt] – muss man für Google Fonts nicht mehr Google nutzen. Und erspart sich die lokale Installation.