Google Fonts DSGVO - konform verwenden

Wer auf seiner Website Google Fonts nutzt, handelt unter Umständen rechtswidrig. Websitebetreiber müssen entweder auf die Nutzung von Google Fonts verzichten oder die entsprechenden Schriftarten lokal einbinden. Wir erklären Ihnen, was es damit auf sich hat und wie Sie Google Fonts DSGVO-konform nutzen können.

Google Fonts ist ein von Google bereitgestelltes Verzeichnis von Schriftarten. Es ermöglicht Websitebetreibern, verschiedene Schriftarten auf ihren Websites zu verwenden, ohne diese auf ihren eigenen Server hochladen zu müssen. Alles läuft über die Server von Google. So sparen Websitebetreiber Platz auf ihren eigenen Servern.

Die Nutzung von Google Fonts ist außerdem kostenfrei. Daher überrascht es nicht, dass sich viele Websitebetreiber und Webdesigner dafür entscheiden, diesen Service zu nutzen.

Dabei gibt es zwei Möglichkeiten, die entsprechende Schriftart auf der Website einzubinden:

Die Weiterleitung der IP-Adresse stellt jedoch ein datenschutzrechtliches Problem dar.

Die datenschutzfreundlichere Option ist, die Webfonts auf dem eigenen Server zum Download bereitzustellen. Dafür werden die ausgewählten Schriftarten heruntergeladen und auf den eigenen Server hochgeladen. Dabei findet keine Übertragung personenbezogener Daten an Google statt.

Das LG München hat in seinem Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) entschieden, dass die einseitige Nutzung von Google Fonts auf Basis vermeintlich berechtigter Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO unzulässig ist. Die Betreiberin einer Internetseite hatte Google Fonts in ihre Website integriert, wodurch bei jedem Seitenaufruf die IP-Adressen der Besucher an Google übermittelt wurden.

Nach dem Urteil des LG München besteht jedoch kein berechtigtes Interesse für die Nutzung von Google Fonts, da sich auch externe Schriften nutzen lassen, für die keine Verbindung zu Google notwendig ist. Das LG München beschloss nicht nur einen Unterlassungsanspruch, sondern auch einen Schadensersatzanspruch, der durch die Übertragung personenbezogener Daten in Form von IP-Adressen an Google.

Vor diesem Hintergrund sollten alle Websitebetreiber eingehend prüfen, wie die genutzten Schriftarten eingebunden sind. Bei einer Nutzung von Google Fonts direkt über die Server des Anbieteres ist höchstwahrscheinlich eine Einwilligung notwendig, etwa in Form eines Cookie Banners. Bei der Nutzung über den eigenen Server ist keine separate Einwilligung erforderlich, da keine Übertragung personenbezogener Daten stattfindet.

Die Verwendung von Google Fonts bietet serverseitige Vorteile, wirft jedoch aufgrund der US-Serverstandorte von Google datenschutzrechtliche Fragen auf. Zwischen der EU und den USA besteht keine datenschutzrechtliche Einigung.

Die Datenschutz-Standards sind in der EU deutlich höher als in den USA. Somit ist eine Übermittlung personenbezogener Daten in die USA nicht DSGVO-konform. Das gilt auch für die Nutzung von Google Fonts.

Ein Versuch eines Datenschutzabkommens zwischen der EU und den USA war das Privacy Shield-Abkommen. Gemäß dem sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs wurde dieses Abkommen jedoch für ungültig erklärt, was die transatlantische Übertragung personenbezogener Daten weiterhin kompliziert macht.

Beim Laden von Fonts von den Google-Servern werden automatisch verschiedene Daten erfasst, darunter IP-Adresse, Browserinformationen, Browsereinstellungen, aufgerufene Webseiten oder Betriebssystemdetails .

Die Übertragung von IP-Adressen an Google birgt Datenschutzrisiken, da dies als Erfassung sensibler personenbezogener Daten betrachtet wird. Die gesammelten Informationen ermöglichen Unternehmen die Erstellung von Nutzerprofilen und werden potenziell für das Tracking der betroffenen Personen anhand ihrer Daten verwendet.

Aus diesem Grund müssen Webseitenbetreiber die Zustimmung der Nutzer einholen, bevor sie automatisch erfasste Daten an Google weitergeben. Nur so werden die Datenschutz-Standards der EU erfüllt.

Am 18. November 2022 gab Google ein Statement zu datenschutzrechtlichen Bedenken im Zusammenhang mit der Verwendung von Google Fonts ab.

Das Unternehmen betonte in seiner Stellungnahme, dass die durch die von ihnen entwickelte Google Fonts-Web-API erfassten, gespeicherten und verwendeten Daten auf das notwendige Minimum beschränkt sind, um eine reibungslose Bereitstellung der Schriftarten und die Erstellung von Nutzerstatistiken zu ermöglichen.

Google betonte die sichere Aufbewahrung der Daten und stellte sicher, dass diese weder zur Erstellung von Nutzerprofilen noch für Werbezwecke verwendet werden.

Dieses Statement ändert jedoch nichts am Urteil des LG München. Somit müssen Websitebetreiber sich weiterhin um eine DSGVO-konfrome Einbindung von Google Fonts kümmern.

Das Urteil des LG München I hatte damals eine regelrechte Welle von Rundmails mit Abmahnungen ausgelöst.

Darin wurde behauptet, dass Webseitenbesucher Ansprüche auf Schadensersatz gegenüber den Betreibern geltend machen können, da durch die dynamische Einbindung von Google Fonts die IP-Adressen der Betroffenen an Google weitergeleitet werden würden.

Bei diesen E-Mails handelte es sich in den meisten Fällen jedoch um eine Betrugsmasche. Auch jetzt sollten Website-Betreiber noch skeptisch sein, wenn sie eine Abmahnung erhalten.

Wenn Sie eine Abmahnung in Bezug auf Google Fonts erhalten haben, sollten Sie zunächst überprüfen, ob Google Fonts remote oder lokal in die Webseite eingebunden wurde. Falls der Dienst remote und somit rechtswidrig eingebunden ist, sollten Sie nach Alternativen suchen oder Google Fonts lokal in die Webseite einbinden.

Wenn Google Fonts bereits lokal eingebunden wurde, ist die Abmahnung unbegründet. In diesem Fall müssen Sie nicht auf die Abmahnung antworten. Alternativ können Sie in einer kurzen Antwort darauf hinweisen, dass keine Remote-Einbindung stattfindet und keine Verbindung zu Google aufgebaut wird.

Mit wenigen Klicks lässt sich herausfinden, ob Sie Google Fonts auf Ihrer Website nutzen. Online stehen zahlreiche "Google Fonts Checker" zur Verfügung, Websites, die kostenlos die Einbindung von Google Fonts prüfen. Dazu müssen Sie einfach nur Ihre URL eingeben und die Überprüfung starten.

Sie müssen nicht komplett auf Google Fonts verzichten. Mit wenigen Einstellungen lässt sich Google Fonts durch lokale Einbindung DSGVO-konform nutzen.

Um die gewünschte Schriftart zu bekommen, besuchen Sie die entsprechende Website von Google. Wählen Sie die entsprechende Schriftart aus und klicken Sie auf den "Download"-Button.

Das Problem ist, dass Sie bei Google Fonts die Schriften nur im TTF-Format herunterladen können.

Für den Einsatz auf Ihrer Website benötigen Sie jedoch das Format Woff2 (für "Web Open Font Format"). Woff2 ist das Dateiformat für Webfonts, das den geringsten Speicherplatz beansprucht und somit die Ladezeit Ihrer Website minimiert.

Die TTF-Dateien können Sie relativ unkompliziert mit einem Online-Tool konvertieren. Dazu müssen Sie die Dateien nur im Tool hochladen und auf den "Konvertieren"-Button klicken.

Die Dateien im Woff2-Format können Sie dann in einen lokalen Ordner in Ihrem System, beispielsweise WordPress, hochladen.

Sind die Font-Dateien im richtigen Ordner abgelegt, können Sie diese nun lokal einbinden. Bei WordPress erfolgt das über das Custom CSS, das Sie unter Design - Customizer - Zusätzliches CSS finden. Sobald Sie die Google Fonts eingebunden haben, können Sie die Schriftart auch entsprechend im CSS referenzieren.

Für Laien kann sich die lokale Einbindung von Google Fonts als durchaus komplex gestalten, da der Code in WordPress bearbeitet werden muss. Holen Sie sich am besten Unterstützung von einem IT-Experten. So sparen Sie Zeit und Nerven und stehen auf der sicheren Seite.

Falls Sie keinen offiziellen IT-Experten haben, können Sie sich an den Dienstleister wenden, der Ihnen Ihre Website ursprünglich aufgebaut hat.

Viele Themes und Plugins verwenden Google Fonts und laden diese von Google Servern.

In den meisten Fällen lässt sich dies beheben und damit datenschutzkonform umsetzen, indem das Plugin OMGF installiert wird. Dieses findet die verwendeten Google Fonts, speichert diese lokal ab und unterbindet das Laden dieser von den Google Servern.

Als Erstes sollten Sie prüfen, ob überhaupt Google Fonts geladen werden.

Dazu öffnen Sie Ihre Webseite, klicken auf eine beliebige Stelle mit der rechten Maustaste und wählen „Untersuchen“:

Anschließend öffnen sich die Developer Tools. Hier wählen Sie in der oberen Zeile „Quellcode“ und darunter „Seite“:

Hier sehen Sie sämtliche Inhalte, welche auf Ihrer eigenen Domain und von extern geladen werden.

Sollten hier fonts.googleapis.com und/oder fonts.gstatic.com aufgeführt sein, dann ist die Installation des Plugins notwendig.

Loggend Sie sich dazu in Ihre WordPress Adminoberfläche ein. Anschließend in der Seitennavigation auf Plugins klicken und dann auf „Neues Plugin hinzufügen“:

Geben Sie anschließend „omgf“ in die Suchleiste ein und installieren Sie das Plugin OMGF | GDPR/DSGVO Compliant, Faster Google Fonts. Easy.:

Nach der Installation auf „Aktivieren“ klicken:

Anschließend landen Sie wieder auf der Pluginübersicht. Suchen Sie dort das eben installierte OMGF Plugin heraus und klicken Sie dort auf „Einstellungen“:

Scrollen Sie auf der sich öffnenden Seite ganz nach unten und klicken Sie dort auf „Save & Optimize“:

Danach sehen Sie alle Google Fonts, welche vom Plugin gefunden und lokal abgespeichert wurden, unten aufgelistet:

Um sicherzustellen, dass auch alle Google Fonts lokal gehostet sind und nicht mehr von Google Servern geladen werden, öffnen Sie erneut Ihre Webseite und gehen dann durch Rechtsklick wieder auf „Untersuchen“.

Nun sollte fonts.googleapis.com und fonts.gstatic.com nicht mehr aufgeführt werden:

Sollten dennoch Google Fonts von extern geladen werden, kann dies mehrere Gründe haben:

1. Sie haben andere Google Dienste wie reCaptcha eingebunden
2. Sie haben iFrames eingebunden, z. B. ein Newsletter Formular, welche Goolge Fonts laden
3. Das Theme welches Sie verwenden, oder eines Ihrer installierten Plugins bindet die Google Fonts so ein, dass diese durch das OMGF Plugin nicht entfernt werden können

Gehen Sie schrittweise vor, um einzugrenzen, von wo die Google Fonts geladen werden:

1. Falls reCaptcha oder ein anderer Google Dienst eingebunden ist, diesen temporär deaktivieren
2. Falls Sie iFrames eingebunden haben, diese temporär rausnehmen
3. Wechseln Sie Ihr Theme auf ein standard WordPress Theme, z. B. Twenty Twenty-Four oder Twenty Twenty-Three
4. Deaktivieren Sie alle Plugins (ausgenommen OMGF) und aktivieren Sie anschließend eines nach dem anderen

Wiederholen Sie nach jedem Schritt die unter Prüfen, ob alle Google Fonts lokal gehostet sind aufgeführte Vorgehensweise, um zu prüfen, ob noch Google Fonts geladen werden. Werden nach dem Deaktivieren aller Plugins keine Google Fonts mehr in den Developer Tools aufgeführt, jedoch wieder nach dem Aktivieren eines Plugins, dann haben Sie die Ursache gefunden und können nach einem alternativen Plugin suchen.

Wenn Sie Google Fonts weiterhin dynamisch über die Server von Google einbinden, müssen Sie die Verwendung dieser Web Fonts in Ihrer Datenschutzerklärung und in einem Cookie-Banner erwähnen.

Dabei sollten Sie die Besucher Ihrer Website unter anderem darüber informieren,

• welche personenbezogenen Daten über Google Fonts verarbeitet werden und warum,
• wie lange die personenbezogenen Daten gespeichert werden und
• wie Nutzer der Erfassung ihrer Daten widersprechen bzw. einwilligen können.

Trotz dieser Möglichkeit ist es empfehlenswert, Google Fonts lokal einzubinden.

Die lokale Einbindung von Google Fonts erfordert keine Zustimmung durch den Nutzer. Allerdings kann sich die lokale Einbindung negativ auf die Ladezeiten Ihrer Website auswirken, was Besucher abschrecken könnte. Nach der lokalen Einbindung sollten Sie daher regelmäßig die Ladezeit mit entsprechenden Tools prüfen.

Zudem sind Sie selbst für die Aktualisierung der Schriftarten nach der lokalen Einbindung verantwortlich. Auch aus diesem Grund lohnt es sich, einen IT-Experten als Unterstützung hinzuzuziehen.

Aus rechtlicher Sicht dürften diese Nachteile kaum als berechtigtes Interesse für die dynamische Einbindung von Google Fonts gelten.

Nach dem einmaligen Aufwand für die lokale Einbindung fällt der Aufwand für eine Optimierung der Ladezeiten und der Aktualisierung der Schriftarten kaum ins Gewicht.

Das Nutzen von Schriftarten, wie von Google Fonts, ist wichtig, um der Individualisierung von Websites gerechter zu werden. Vor allem können spezifische Schriftarten den Wiedererkennungswert der eigenen Marke stark erhöhen. Google Fonts bietet dafür lizenzfrei die Möglichkeit, mit über 1400 verschiedenen Schriftarten. 

Bei der Nutzung einer Font von Google, sollte jedoch dringend verhindert werden, dass keine dynamische Einbindung auf der Website erfolgt. Das ist problematisch, da sonst die IP-Adressen von Besuchern auf Server von Google gesendet werden. Die USA bieten nicht dasselbe Datenschutzniveau, das die Europäische Union bietet. 

Stattdessen sollte die Schriftart heruntergeladen werden, die genutzt werden soll und über den eigenen Server hochgeladen werden. Diese statische Variante kommt ohne eine rechtswidrige Verbindung zu amerikanischen Servern aus.