Dynamisch eingebundene Google Fonts nicht DSGVO konform
…Unterlassungserklärungen und Schadensersatz drohen
Um was geht es?
➔ Google Fonts ist ein Dienst, der eine große Auswahl an sehr hübschen Schriften zur Verfügung stellt, die man z.B. als Schriftart für die eigene Website nutzen kann.
➔ Die Einbindung in die eigene Website kann auf zwei verschiedene Wege stattfinden: 1. dynamisch eingebunden 2. lokal eingebunden
Was ist das Problem?
Auf beiden Wegen wird dem User die ausgewählte Schriftart beim Zugriff auf die Website angezeigt.
Falls Google Fonts verwendet werden, kann ein Laie nicht auf Anhieb sehen welche der beiden Techniken verwendet wird, es jedoch sehr leicht herausfinden. Als Verantwortlicher sollten Sie auf jeden Fall Ihre Website darauf prüfen.
Bei dynamisch eingebundenen Schriften besteht eine technische Verbindung der jeweiligen Website mit Google. Öffnet ein User die Website, wird dessen IP-Adresse an Google übertragen (Server in den USA), Google lädt daraufhin die angeforderte Schrift nach und sie wird auf dem Display des Users angezeigt.
Da die IP-Adresse ein personenbezogenes Datum darstellt, ist dies definitiv ein Fall in dem die DSGVO Anwendung findet.
Die zweite Möglichkeit der Einbindung hingegen findet lokal auf dem Server der jeweiligen Website statt. Die Schriftdatei wird bei Google heruntergeladen und über das Backend der eigenen Website in die Website integriert.
Öffnet ein User dann die Website, wird die Schrift direkt von dem Server der Seite angefordert und stellt keine Verbindung zu fremden Netzwerken her.
Wie kann man es prüfen?
Die wohl einfachste Art festzustellen, ob eine Website Google Fonts dynamisch einbindet, ist die Analyse über den Webbrowser. Öffnen Sie die jeweilige Website in Ihrem Browser. Im Browsermenü gibt es einen Entwicklermodus, dort finden man „Webinformationen“ – wie es z.B. im Safari-Browser heißt. Wählt man dies an, öffnet sich eine Maske, die für die meisten Laien erst einmal abschreckend wirken dürfte… Wählen Sie „Netzwerk“, hier finden Sie nun eine Reihe URLs, lauten diese immer wie die Hauptdomain, scheinen keine Verbindungen zu anderen Diensten zu bestehen. Finden Sie hier jedoch Google URLs (font.googleapis.com oder fonts.gstatic.com) können Sie von einer dynamischen Einbindung ausgehen. (Falls hier weitere “fremde” URLs zu finden sind, lohnt es sich auch da einen näheren Blick darauf zu werfen)
Wieso werden die Fonts so häufig dynamisch eingesetzt?
Das hat mehrere Gründe.
Websites, die bereits vor der DSGVO entstanden sind, wurden selten nach Geschichtspunkten des Datenschutzes aufgebaut. Es ging viel mehr um die vielen großartigen und oft kostenlosen Möglichkeiten, die durch die Dienste von Google & anderen Anbietern zur Verfügung standen. Das Einbinden der dynamischen Fonts war technisch sehr einfach oder sowieso bereits vorgesehen. Selbst wenn die Website eigentlich ohne Google Fonts erstellt wurde, können durch Einbindung von Funktionserweiterungen (Plugins) Google Fonts oder CDNs nachgeladen werden. Das lokale Einbinden war hingegen eher etwas für Spezialisten und im Vergleich eher aufwendiger.
So hat sich die dynamische Einbindung schnell verbreitet und wurde oft zum Standard, auch heute wird es vielerorts völlig unkritisch gesehen. Wir dürfen hier nicht vergessen, dass das Web global ist und nicht überall das gleiche Datenschutzniveau herscht.
Mit Einführung der DSGVO wurde klar, dass diese dynamische Einbindung im Europa zum Problem werden könnte. Trotzdem gab es für dieses Problem nicht gleich eine einfache Lösung. Nicht alle Web-Entwickler haben Ihre Produkte im Hinblick auf die DSGVO bzw. GDPR optimiert. Viele Website-Betreiber wissen überhaupt nicht, welche Fonts und welche Technik in Ihrer eigenen Website genutzt wird und waren sich somit auch nicht über einen Handlungsbedarf im Klaren. Nichtsdestotrotz liegt es in ihrer Verantwortung.
Wir empfehlen unseren Kunden schon seit Einführung der DSGVO auf dynamische Fonts zu verzichten – Nachteilig war diese Haltung noch in keinem Fall.
Es gab aber auch viele Stimmen, die in der Nutzung der dynamischen Google Fonts ein berechtigtes Interesse gesehen haben. Darum ging es jüngst bei LG München. Hier hatte sich ein Websitebetreiber auf das besagte berechtigte Interesse berufen, um die Google Fonts auf seiner Website einzubinden. Das LG München ist zu dem Urteil gekommen, dass dies nicht zulässig ist (Urteil mit Begründung: https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/).
Der Kläger konnte einen Unterlassungsanspruch und einen Schadensersatz von 100 Euro erreichen. Wer nun denkt: „ …100 Euro…“ der möge überlegen was es bedeutet, wenn sich da mehrere User einer stark frequentierten Website zu einer Klage zusammen tun würden…
Die Empfehlung geht also klar in die Richtung, dass man die Fonts, sofern man sie nutzen möchte, lokal einbindet.
Wer trotzdem unbedingt dynamisch eingebundene Fonts nutzen möchte, der muss zwingend die Einwilligung des Users einholen. Dies muss selbstverständlich geschehen, bevor die IP-Adresse des Users an Google übermittelt wird.
Ich bin seit 1998 in der Werbebranche tätig und spezialisierte mich nach eineinhalb Jahren “Full-Service-Agentur” 1999 auf Web-Projekte. Ich habe somit noch die Zeit erlebt, in der jede Website individuell programmiert werden musste und ein Handy noch nichts anders als telefonieren konnte. Einige Systeme kamen und gingen. Disruption ist in unserer Branche schon immer ein ständiger Begleiter, weshalb ein wichtiger Teil unserer Geschichte die Weiterentwicklung ist. Meine Themen sind daher nicht nur die Umsetzung und Optimierung von Webseiten oder Shopsystemen, über die ich hier schreibe, sondern auch die Datensicherheit ein wichtiger Bestandteil des Datenschutz. Fragen hierzu beantworte ich gerne.