Google Fonts und DSGVO-Risiko

 Die Online-Welt ist sehr vielseitig und individuell. Jeder gestaltet seine Website oder seinen Onlineshop, wie er es möchte. Dabei gibt es zahlreiche Optionen, um auch sich selbst auf der Website widerzuspiegeln. Die Individualisierung macht das Leben im E-Commerce nicht nur spannender, sondern auch schöner, da alles seinen speziellen, eigenen Touch hat. Seine Website oder seinen Shop an das Produkt oder die Dienstleistung anzupassen, ist auch aus Marketing-technischer Sicht sinnvoll. Denn eine Seite mit hohem Wiedererkennungswert hilft dabei, eine Marke zu etablieren. Neben Farben und Bildern spielt auch der Text auf Webpages eine zentrale Rolle. Nicht nur die Platzierung, der Inhalt und wie viel oder wenig Text angebracht ist, sind relevant. Auch die Schriftart kann speziell auf das Marketing abgestimmt sein und kann hohen Wiedererkennungswert mit sich bringen. Eine Möglichkeit von diesem Vorteil Gebrauch zu machen ist Google Fonts.

 Google Fonts ist ein Verzeichnis. Dieses umfasst ca. 1400 Schriftarten, die zur individuellen Gestaltung einer Internetseite genutzt werden können. Egal wie extravagant ein Geschmack ist, hier findet jeder eine passende Ästhetik für die heißgeliebte Website. Der Vorteil ist, dass Google diese Schriftarten ohne Lizenz zur Verfügung stellt. Sie müssen also weder kenntlich gemacht werden, noch müssen sie bezahlt werden. Die gängigste Methode, um die Fonts zu nutzen ist, diese über einen Link einzubinden. Dieser Link stellt eine Verbindung mit den Servern von Google her. Dort werden personenbezogene Daten der Websitebesucher an das Tech-Unternehmen gesendet. In diesem Fall, die IP-Adresse des Nutzers. Unter personenbezogenen Daten sind alle Daten zu verstehen, die Rückschlüsse auf eine reale, natürliche Person zulassen. Über die IP-Adresse lassen sich theoretisch alle Informationen über Standort etc. einer Person herausfinden. Dies ist also datenschutzrechtlich problematisch.

 Die Europäische Datenschutzgrundverordnung (DSGVO) wurde 2018 erlassen und regelt das Datenschutzrecht auf europäischer Ebene einheitlich. Sie wirkt für jeden EU-Bürger gleichermaßen, der mit der Erhebung personenbezogener Daten zu tun hat. Die Verordnung normiert ein sehr gehobenes Datenschutzniveau, ist also einfach gesagt, sehr streng. Der Europäische Gerichtshof ist für europarechtliche Fragen zuständig und veränderte mit dem Schrems-II-Urteil am 16.07.2020 so einiges. Denn hierbei wurde das Privacy Shield-Abkommen der EU mit den USA zerschlagen. Auf dieses beriefen sich europäische Unternehmen bis dato, die Daten an US-Anbieter weitergeben. Der EuGH entschied damals, dass personenbezogene Daten generell nicht an Drittländer gesendet werden dürfen, in denen kein vergleichbares Datenschutzniveau, wie in der EU herrscht. Was das neue Privacy Shield-Abkommen nach unserer Einschätzung zum Datenschutz beiträgt lesen Sie in unserem letzten Beitrag.

Die USA sind nach Ansicht der europäischen Rechtsprechung also kein Drittland mit einem gleichwertigen Schutz für personenbezogene Daten. Grund hierfür sei, dass das Recht in den Vereinigten Staaten es leicht zulasse, dass amerikanische Behörden Zugriff auf die Daten haben. Dass die Geheimdienste in Übersee mehr oder weniger nach Lust und Laune über die Daten der EU-Bürger verfügen dürfen, ist nicht im Sinne der politischen Position der Europäischen Union. Zudem ist es vor allem auch nicht im Sinne der EU-Bürger. Das Landgericht München hat im Januar 2022 auf Grundlage dessen entschieden, dass Google Fonts ohne Einwilligung des Nutzers unzulässig ist. Um den Bogen zu spannen, sind also Google Fonts in der gewöhnlichen Einbindung DSGVO-widrig, wenn keine Einwilligung seitens des betroffenen Besuchers eingeholt wird. Diese Einwilligung einzuholen, ist jedoch unpraktisch und widerspricht einem guten Nutzererlebnis.

 Wer jedoch nicht auf die 1400 Schriftarten von Google verzichten kann, kann beruhigt aufatmen. Denn die Fonts lassen sich auch DSGVO-konform nutzen. Dies ist zwar ein wenig aufwendiger, aber dennoch nicht utopisch anspruchsvoll und immer noch lohnend. Um die Fonts DSGVO-konform einzubinden, kann eine statische Methode genutzt werden. Dabei müssen die gewünschten Schriftarten heruntergeladen und auf dem eigenen Webserver hochgeladen werden. Dabei gibt es unterschiedliche Formate, die je nach Wunsch ausgewählt werden können, wie zum Beispiel WOFF (2) oder TTF. Werden die begehrten Schriftarten von dem eigenen Server hochgeladen, so entsteht bei dem Besuch eines Nutzers keine Verbindung zu Servern, die sich in den USA befinden, auf deren Daten dort Behörden zugreifen können. Die Anwendung dieser Methode schützt Sie und Ihr Unternehmen vor hohen Sanktionen seitens der Europäischen Union.

Das Nutzen von Schriftarten, wie von Google Fonts, ist wichtig, um der Individualisierung von Websites gerechter zu werden. Vor allem können spezifische Schriftarten den Wiedererkennungswert der eigenen Marke stark erhöhen. Google Fonts bietet dafür lizenzfrei die Möglichkeit, mit über 1400 verschiedenen Schriftarten. Bei der Nutzung einer Font von Google, sollte jedoch dringend verhindert werden, dass keine dynamische Einbindung auf der Website erfolgt. Das ist problematisch, da sonst die IP-Adressen von Besuchern auf Server von Google gesendet werden. Die USA bieten nicht dasselbe Datenschutzniveau, das die Europäische Union bietet. Stattdessen sollte die Schriftart heruntergeladen werden, die genutzt werden soll und über den eigenen Server hochgeladen werden. Diese statische Variante kommt ohne eine rechtswidrige Verbindung zu amerikanischen Servern aus. Wenn Sie weitere Fragen zu Google Fonts und Datenschutz haben kontaktieren Sie unseren externen Datenschutzbeauftragten.