Google Fonts ist ein faszinierendes Tool, mit dem man die modernsten und gefragtesten Schriftarten zurzeit kostenlos erwerben kann. Wenn Sie allerdings Google Fonts direkt von den Servern von Google verwenden, entsteht dadurch praktisch ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) der EU!
Bevor wir fortfahren, möchte ich Sie darauf hinweisen, dass dieser Artikel weder eine juristische Beratung darstellt noch den Zweck hat diese zu ersetzen! Vielmehr fokussiere ich mich auf die technischen und datenschutzrelevanten Aspekte bei der Einbindung von Google Fonts.
Der Besucher, der auf Ihrer Seite landet, sendet seine IP-Adresse an einen unbekannten Server in den USA. Die USA zählen zu den Ländern, die die europäischen Anforderungen in punkto Datenschutzes nicht erfüllen. Somit ist die Einbettung von externen Diensten wie Google Fonts, Google Maps oder auch Google Analytics aus europäischer Sicht nicht datenschutzkonform.
Die IP-Adressen werden als personenbezogene Daten definiert. Daher ist es wichtig, solche Informationen nur nach ausdrücklicher Zustimmung des Besuchers zu senden.
Verstöße gegen die DSGVO durch unzureichende Konfiguration der Tracker oder des Cookie Consents können zu Abmahnungen und Geldstrafen führen – siehe Urteil vom 19.01.2022, LG München: Einsatz von Google Fonts ohne Einwilligung rechtswidrig. Dies gilt nicht nur für die Server in den USA, sondern auch für solche, die sich in Drittländern ohne einen sogenannten „Angemessenheitsbeschluss” (Art. 45 DSGVO) befinden.
Wie kann ich Google Fonts datenschutzkonform verwenden?
1. Mit Cookie-Zustimmungsbanner
Mit einem Cookie-Fenster, das die Nutzung von Google Fonts funktional erklärt, wird der Besucher aufgefordert, explizit einzuwilligen. Bis zur Einwilligung des Besuchers wird die über Google Fonts eingebundene Schriftart nicht geladen. Dies kann zu einem verzerrten Design der Website führen, wenn im CSS keine Systemschrift definiert ist, die auf allen Betriebssystemen funktioniert.
Еs soll auch berücksichtigt werden, dass es zu einem „Flash Of Unstyled Text“ kommen kann, sobald der Besucher seine Einwilligung abgibt. Im Moment der Einwilligung wird Google Fonts geladen und der komplette Text der Webseite wird auf die neu geladene Schriftart umgestellt.
2. Lokales Hosting von Google Fonts
Eine sichere Methode, Google Fonts datenschutzkonform zu verwenden, besteht darin, die Schriftarten lokal zu speichern. So werden die Schriften vom eigenen Server und nicht von den Google-Servern geladen. Die Rechtsgrundlage hierbei könnte als „berechtigtes Interesse” ausgelegt werden, da keine Daten an Drittanbieter gesendet werden.
Fonts selbst zu hosten, bringt allerdings auch Nachteile. Dazu zählen etwa längere Ladezeiten oder das Anzeigen von Texten mit einem “Fallback-Font”, bis Google Fonts geladen ist. Die Aktualisierung der Schriftarten ist nun Aufgabe des Webseitenbetreibers. Weiters sollen die Lizenzen berücksichtigt werden, bevor die Schrift lokal gespeichert wird.
3. Verwenden von Systemschriften
Die Lizenzprobleme können durch die Verwendung von Systemschriften vermieden werden. Systemschriftarten sind Schriftarten, die durch den jeweiligen Hersteller (z.B. Apple®, Microsoft® oder Google®) auf dem Computer vorinstalliert sind.
Das Problem bei Systemschriften: Man geht davon aus, dass jeder Kunde die Schrift auf seinem Endgerät hat. Doch nicht jedes System – sei es ein Mac, ein Windows-PC oder ein Smartphone – verfügt über die gleichen Fonts. Sollte Ihre Corporate-Schrift auf dem Gerät des Kunden nicht verfügbar sein, so verwendet die Webseite eine andere Standardschrift.
Wenn man bewusst auf Web-Fonts verzichten möchte, bieten die Standardschriften eine sinnvolle Alternative.
Fazit: Jede Methode hat ihre Vor- und Nachteile. Die Datenschutzexperten empfehlen, Schriftarten lokal zu speichern. Damit findet ein Datentransfer zu Google oder anderen Dritten nicht mehr statt.
Andere beliebte Fonts, die eine Datenschutzerklärung brauchen:
Fontawesome
Bei der beliebten Web Icon Library wird auch die IP-Adresse übermittelt, wenn Sie die Icons anzeigen und laden möchten. Fontawesome erhebt auch personenbezogene Daten im Sinne der Datenschutz-Grundverordnung.
Adobe Fonts (Typekit)
Alle Schriften sind für die persönliche und kommerzielle Verwendung lizensiert. Ein Hosting auf eigenen Servern oder ein Download des Katalogs ist nicht möglich. Adobe Fonts kann Cookies auf den Geräten Ihrer Besucher installieren.
Fonts.com
Dies ist der Webfont-Service von Monotype. Er umfasst hauseigene Schriften aber auch Schriften externer Hersteller, beispielsweise Adobe. Fonts.com wird auf Monotype-Servern gehostet. Ein Download zu Layoutzwecken oder Selfhosting ist gegen Gebühr möglich.
Falls Sie nicht sicher sind, ob ihre Webseite Google Fonts verwendet und ob der DSVGO Genüge getan wird, lassen Sie dies überprüfen.
Wir beraten Sie gerne, wie Sie auch in Zukunft mit Ihrer Webpräsenz sicher sind!
Weiterführende Links:
