Wie Sie Google Fonts DSGVO - konform auf Ihrer Website einbinden können

Wer auf seiner Website Google Fonts nutzt, handelt unter Umständen rechtswidrig. Websitebetreiber müssen entweder auf die Nutzung von Google Fonts verzichten oder die entsprechenden Schriftarten lokal einbinden. Wir erklären Ihnen, was es damit auf sich hat und wie Sie Google Fonts DSGVO-konform nutzen können.

Was ist Google Fonts?

Google Fonts ist ein von Google bereitgestelltes Verzeichnis von Schriftarten. Es ermöglicht Websitebetreibern, verschiedene Schriftarten auf ihren Websites zu verwenden, ohne diese auf ihren eigenen Server hochladen zu müssen. Alles läuft über die Server von Google. So sparen Websitebetreiber Platz auf ihren eigenen Servern.

Die Nutzung von Google Fonts ist außerdem kostenfrei. Daher überrascht es nicht, dass sich viele Websitebetreiber und Webdesigner dafür entscheiden, diesen Service zu nutzen.

Dabei gibt es zwei Möglichkeiten, die entsprechende Schriftart auf der Website einzubinden:

  1. Lokale Nutzung: Die gewünschte Schriftart wird heruntergeladen und auf dem eigenen Webserver hochgeladen. Die Schriftart wird bei jedem Aufruf der Website vom eigenen Server geladen. Es erfolgt also keine Verbindung zu Google.
  2. Remote Nutzung: Bei jedem Besuch der Webseite werden die ausgewählten Schriftarten remote von den Google-Servern geladen. Dabei wird eine Verbindung zu den Google-Servern hergestellt, und die IP-Adresse des Webseitenbesuchers an Google übertragen

Die Weiterleitung der IP-Adresse stellt jedoch ein datenschutzrechtliches Problem dar.

Die datenschutzfreundlichere Option ist, die Webfonts auf dem eigenen Server zum Download bereitzustellen. Dafür werden die ausgewählten Schriftarten heruntergeladen und auf den eigenen Server hochgeladen. Dabei findet keine Übertragung personenbezogener Daten an Google statt.

DSGVO und Google Fonts: Das Urteil des Landgerichts München

Das LG München hat in seinem Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) entschieden, dass die einseitige Nutzung von Google Fonts auf Basis vermeintlich berechtigter Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO unzulässig ist. Die Betreiberin einer Internetseite hatte Google Fonts in ihre Website integriert, wodurch bei jedem Seitenaufruf die IP-Adressen der Besucher an Google übermittelt wurden.

Nach dem Urteil des LG München besteht jedoch kein berechtigtes Interesse für die Nutzung von Google Fonts, da sich auch externe Schriften nutzen lassen, für die keine Verbindung zu Google notwendig ist. Das LG München beschloss nicht nur einen Unterlassungsanspruch, sondern auch einen Schadensersatzanspruch, der durch die Übertragung personenbezogener Daten in Form von IP-Adressen an Google.

Vor diesem Hintergrund sollten alle Websitebetreiber eingehend prüfen, wie die genutzten Schriftarten eingebunden sind. Bei einer Nutzung von Google Fonts direkt über die Server des Anbieteres ist höchstwahrscheinlich eine Einwilligung notwendig, etwa in Form eines Cookie Banners. Bei der Nutzung über den eigenen Server ist keine separate Einwilligung erforderlich, da keine Übertragung personenbezogener Daten stattfindet.

Warum sind Google Fonts nicht datenschutzkonform?

Es gibt kein Datenschutzabkommen zwischen der EU und den USA

Die Verwendung von Google Fonts bietet serverseitige Vorteile, wirft jedoch aufgrund der US-Serverstandorte von Google datenschutzrechtliche Fragen auf. Zwischen der EU und den USA besteht keine datenschutzrechtliche Einigung.

Die Datenschutz-Standards sind in der EU deutlich höher als in den USA. Somit ist eine Übermittlung personenbezogener Daten in die USA nicht DSGVO-konform. Das gilt auch für die Nutzung von Google Fonts.

Ungültigkeit des Privacy Shield-Abkommens

Ein Versuch eines Datenschutzabkommens zwischen der EU und den USA war das Privacy Shield-Abkommen. Gemäß dem sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs wurde dieses Abkommen jedoch für ungültig erklärt, was die transatlantische Übertragung personenbezogener Daten weiterhin kompliziert macht.

Automatische Datenerfassung beim Laden von Fonts

Beim Laden von Fonts von den Google-Servern werden automatisch verschiedene Daten erfasst, darunter IP-Adresse, Browserinformationen, Browsereinstellungen, aufgerufene Webseiten oder Betriebssystemdetails .

Risiken der IP-Adressübertragung und Datenspeicherung

Die Übertragung von IP-Adressen an Google birgt Datenschutzrisiken, da dies als Erfassung sensibler personenbezogener Daten betrachtet wird. Die gesammelten Informationen ermöglichen Unternehmen die Erstellung von Nutzerprofilen und werden potenziell für das Tracking der betroffenen Personen anhand ihrer Daten verwendet.

Zustimmung von Webseitenbesuchern notwendig

Aus diesem Grund müssen Webseitenbetreiber die Zustimmung der Nutzer einholen, bevor sie automatisch erfasste Daten an Google weitergeben. Nur so werden die Datenschutz-Standards der EU erfüllt.

Was sagt Google dazu?

Am 18. November 2022 gab Google ein Statement zu datenschutzrechtlichen Bedenken im Zusammenhang mit der Verwendung von Google Fonts ab.

Das Unternehmen betonte in seiner Stellungnahme, dass die durch die von ihnen entwickelte Google Fonts-Web-API erfassten, gespeicherten und verwendeten Daten auf das notwendige Minimum beschränkt sind, um eine reibungslose Bereitstellung der Schriftarten und die Erstellung von Nutzerstatistiken zu ermöglichen.

Google betonte die sichere Aufbewahrung der Daten und stellte sicher, dass diese weder zur Erstellung von Nutzerprofilen noch für Werbezwecke verwendet werden.

Dieses Statement ändert jedoch nichts am Urteil des LG München. Somit müssen Websitebetreiber sich weiterhin um eine DSGVO-konfrome Einbindung von Google Fonts kümmern.

Abmahnwelle wegen falscher Einbindung von Google Fonts

Das Urteil des LG München I hatte damals eine regelrechte Welle von Rundmails mit Abmahnungen ausgelöst.

Darin wurde behauptet, dass Webseitenbesucher Ansprüche auf Schadensersatz gegenüber den Betreibern geltend machen können, da durch die dynamische Einbindung von Google Fonts die IP-Adressen der Betroffenen an Google weitergeleitet werden würden.

Bei diesen E-Mails handelte es sich in den meisten Fällen jedoch um eine Betrugsmasche. Auch jetzt sollten Website-Betreiber noch skeptisch sein, wenn sie eine Abmahnung erhalten.

Was passiert bei einer Abmahnung?

Wenn Sie eine Abmahnung in Bezug auf Google Fonts erhalten haben, sollten Sie zunächst überprüfen, ob Google Fonts remote oder lokal in die Webseite eingebunden wurde. Falls der Dienst remote und somit rechtswidrig eingebunden ist, sollten Sie nach Alternativen suchen oder Google Fonts lokal in die Webseite einbinden.

Wenn Google Fonts bereits lokal eingebunden wurde, ist die Abmahnung unbegründet. In diesem Fall müssen Sie nicht auf die Abmahnung antworten. Alternativ können Sie in einer kurzen Antwort darauf hinweisen, dass keine Remote-Einbindung stattfindet und keine Verbindung zu Google aufgebaut wird.

Wie kann man herausfinden, ob man Google Fonts nutzt?

Mit wenigen Klicks lässt sich herausfinden, ob Sie Google Fonts auf Ihrer Website nutzen. Online stehen zahlreiche "Google Fonts Checker" zur Verfügung, Websites, die kostenlos die Einbindung von Google Fonts prüfen. Dazu müssen Sie einfach nur Ihre URL eingeben und die Überprüfung starten.

Wie kann man Google Fonts DSGVO-konform nutzen?

Sie müssen nicht komplett auf Google Fonts verzichten. Mit wenigen Einstellungen lässt sich Google Fonts durch lokale Einbindung DSGVO-konform nutzen.

Schritt 1: Einbindung von Google Fonts auf Ihrer Website checken

Überprüfen Sie zuerst, ob Google Fonts auf Ihrer Website eingebunden ist und ob es sich um eine dynamische (remote) oder statische (lokale) Einbindung handelt. Wenn Google Fonts bereits lokal eingebunden ist, müssen Sie nichts weiter tun. Eine Remote-Einbindung führt zu der rechtswidrigen Übermittlung von IP-Adresse in die USA.

Um DSGVO-konform zu handeln, sollten Sie Google Fonts also lokal einbinden. Dazu müssen Sie die nachfolgenden Schritte befolgen.

Schritt 2: Google Fonts DSGVO-konform auf dem lokalen Server einbinden

Wenn Sie Google Fonts lokal verwenden, wird beim Aufruf der Website keine Verbindung zu einem Google-Server hergestellt. Auf diese Weise findet keine Übertragung der IP-Adresse Ihrer Website-Besucher an Google statt.

Gehen Sie wie folgt vor:

  1. Laden Sie die gewünschte Schriftart von Google herunter.
  2. Laden Sie die Dateien anschließend auf Ihren eigenen Webserver hoch.
  3. Die Schriftarten können nun in verschiedenen Formaten auf Ihrer Website verwendet werden, was die Anpassung an Ihre individuellen Systeme erleichtert.
  4. Überprüfen Sie mit der IT-Abteilung in Ihrem Unternehmen oder einem externen Experten, ob die Schriftarten korrekt von Ihrem Server geladen werden.

Die lokale Einbindung von Google Fonts im Detail

1. Laden Sie Google Fonts herunter

Um die gewünschte Schriftart zu bekommen, besuchen Sie die entsprechende Website von Google. Wählen Sie die entsprechende Schriftart aus und klicken Sie auf den "Download"-Button.

Das Problem ist, dass Sie bei Google Fonts die Schriften nur im TTF-Format herunterladen können.

Für den Einsatz auf Ihrer Website benötigen Sie jedoch das Format Woff2 (für "Web Open Font Format"). Woff2 ist das Dateiformat für Webfonts, das den geringsten Speicherplatz beansprucht und somit die Ladezeit Ihrer Website minimiert.

2. Wandeln Sie TTF-Dateien in Woff2-Format um

Die TTF-Dateien können Sie relativ unkompliziert mit einem Online-Tool konvertieren. Dazu müssen Sie die Dateien nur im Tool hochladen und auf den "Konvertieren"-Button klicken.

3. Laden Sie die Woff2-Dateien auf den eigenen Webserver hoch

Die Dateien im Woff2-Format können Sie dann in einen lokalen Ordner in Ihrem System, beispielsweise WordPress, hochladen.

4. Binden Sie die lokale Schriftart ein

Sind die Font-Dateien im richtigen Ordner abgelegt, können Sie diese nun lokal einbinden. Bei WordPress erfolgt das über das Custom CSS, das Sie unter Design - Customizer - Zusätzliches CSS finden. Sobald Sie die Google Fonts eingebunden haben, können Sie die Schriftart auch entsprechend im CSS referenzieren.

Tipp: Holen Sie sich Unterstützung vom Experten

Für Laien kann sich die lokale Einbindung von Google Fonts als durchaus komplex gestalten, da der Code in WordPress bearbeitet werden muss. Holen Sie sich am besten Unterstützung von einem IT-Experten. So sparen Sie Zeit und Nerven und stehen auf der sicheren Seite.

Falls Sie keinen offiziellen IT-Experten haben, können Sie sich an den Dienstleister wenden, der Ihnen Ihre Website ursprünglich aufgebaut hat.

Google Fonts in WordPress lokal einbinden

Viele Themes und Plugins verwenden Google Fonts und laden diese von Google Servern.

In den meisten Fällen lässt sich dies beheben und damit datenschutzkonform umsetzen, indem das Plugin OMGF installiert wird. Dieses findet die verwendeten Google Fonts, speichert diese lokal ab und unterbindet das Laden dieser von den Google Servern.

1. Herausfinden, ob Google Fonts geladen werden

Als Erstes sollten Sie prüfen, ob überhaupt Google Fonts geladen werden.

Dazu öffnen Sie Ihre Webseite, klicken auf eine beliebige Stelle mit der rechten Maustaste und wählen „Untersuchen“:

dsgvo google fonts seite untersuchen

Anschließend öffnen sich die Developer Tools. Hier wählen Sie in der oberen Zeile „Quellcode“ und darunter „Seite“:

dsgvo google fonts seiten quellcode vorhanden

Hier sehen Sie sämtliche Inhalte, welche auf Ihrer eigenen Domain und von extern geladen werden.

Sollten hier fonts.googleapis.com und/oder fonts.gstatic.com aufgeführt sein, dann ist die Installation des Plugins notwendig.

Plugin installieren und konfigurieren

Loggend Sie sich dazu in Ihre WordPress Adminoberfläche ein. Anschließend in der Seitennavigation auf Plugins klicken und dann auf „Neues Plugin hinzufügen“:

dsgvo google fonts plugin installieren

Geben Sie anschließend „omgf“ in die Suchleiste ein und installieren Sie das Plugin OMGF | GDPR/DSGVO Compliant, Faster Google Fonts. Easy.:

dsgvo google fonts plugin installieren 1

Nach der Installation auf „Aktivieren“ klicken:

dsgvo google fonts plugin aktivieren

Anschließend landen Sie wieder auf der Pluginübersicht. Suchen Sie dort das eben installierte OMGF Plugin heraus und klicken Sie dort auf „Einstellungen“:

dsgvo google fonts plugin einstellungen

Scrollen Sie auf der sich öffnenden Seite ganz nach unten und klicken Sie dort auf „Save & Optimize“:

dsgvo google fonts plugin optimieren

Danach sehen Sie alle Google Fonts, welche vom Plugin gefunden und lokal abgespeichert wurden, unten aufgelistet:

dsgvo google fonts plugin gefundene fonts

Prüfen, ob alle Google Fonts lokal gehostet sind

Um sicherzustellen, dass auch alle Google Fonts lokal gehostet sind und nicht mehr von Google Servern geladen werden, öffnen Sie erneut Ihre Webseite und gehen dann durch Rechtsklick wieder auf „Untersuchen“.

Nun sollte fonts.googleapis.com und fonts.gstatic.com nicht mehr aufgeführt werden:

dsgvo google fonts seiten quellcode entfernt

Sollten dennoch Google Fonts von extern geladen werden, kann dies mehrere Gründe haben:

  1. Sie haben andere Google Dienste wie reCaptcha eingebunden
  2. Sie haben iFrames eingebunden, z. B. ein Newsletter Formular, welche Goolge Fonts laden
  3. Das Theme welches Sie verwenden, oder eines Ihrer installierten Plugins bindet die Google Fonts so ein, dass diese durch das OMGF Plugin nicht entfernt werden können

Gehen Sie schrittweise vor, um einzugrenzen, von wo die Google Fonts geladen werden:

  1. Falls reCaptcha oder ein anderer Google Dienst eingebunden ist, diesen temporär deaktivieren
  2. Falls Sie iFrames eingebunden haben, diese temporär rausnehmen
  3. Wechseln Sie Ihr Theme auf ein standard WordPress Theme, z. B. Twenty Twenty-Four oder Twenty Twenty-Three
  4. Deaktivieren Sie alle Plugins (ausgenommen OMGF) und aktivieren Sie anschließend eines nach dem anderen

Wiederholen Sie nach jedem Schritt die unter Prüfen, ob alle Google Fonts lokal gehostet sind aufgeführte Vorgehensweise, um zu prüfen, ob noch Google Fonts geladen werden. Werden nach dem Deaktivieren aller Plugins keine Google Fonts mehr in den Developer Tools aufgeführt, jedoch wieder nach dem Aktivieren eines Plugins, dann haben Sie die Ursache gefunden und können nach einem alternativen Plugin suchen.

Google Fonts in der Datenschutzerklärung

Wenn Sie Google Fonts weiterhin dynamisch über die Server von Google einbinden, müssen Sie die Verwendung dieser Web Fonts in Ihrer Datenschutzerklärung und in einem Cookie-Banner erwähnen.

Dabei sollten Sie die Besucher Ihrer Website unter anderem darüber informieren,

  • welche personenbezogenen Daten über Google Fonts verarbeitet werden und warum,
  • wie lange die personenbezogenen Daten gespeichert werden und
  • wie Nutzer der Erfassung ihrer Daten widersprechen bzw. einwilligen können.

Trotz dieser Möglichkeit ist es empfehlenswert, Google Fonts lokal einzubinden.

Welche Nachteile hat die lokale Einbindung von Google Fonts?

Die lokale Einbindung von Google Fonts erfordert keine Zustimmung durch den Nutzer. Allerdings kann sich die lokale Einbindung negativ auf die Ladezeiten Ihrer Website auswirken, was Besucher abschrecken könnte. Nach der lokalen Einbindung sollten Sie daher regelmäßig die Ladezeit mit entsprechenden Tools prüfen.

Zudem sind Sie selbst für die Aktualisierung der Schriftarten nach der lokalen Einbindung verantwortlich. Auch aus diesem Grund lohnt es sich, einen IT-Experten als Unterstützung hinzuzuziehen.

Aus rechtlicher Sicht dürften diese Nachteile kaum als berechtigtes Interesse für die dynamische Einbindung von Google Fonts gelten.

Nach dem einmaligen Aufwand für die lokale Einbindung fällt der Aufwand für eine Optimierung der Ladezeiten und der Aktualisierung der Schriftarten kaum ins Gewicht.

Fazit

Das Nutzen von Schriftarten, wie von Google Fonts, ist wichtig, um der Individualisierung von Websites gerechter zu werden. Vor allem können spezifische Schriftarten den Wiedererkennungswert der eigenen Marke stark erhöhen. Google Fonts bietet dafür lizenzfrei die Möglichkeit, mit über 1400 verschiedenen Schriftarten. 

Bei der Nutzung einer Font von Google, sollte jedoch dringend verhindert werden, dass keine dynamische Einbindung auf der Website erfolgt. Das ist problematisch, da sonst die IP-Adressen von Besuchern auf Server von Google gesendet werden. Die USA bieten nicht dasselbe Datenschutzniveau, das die Europäische Union bietet. 

Stattdessen sollte die Schriftart heruntergeladen werden, die genutzt werden soll und über den eigenen Server hochgeladen werden. Diese statische Variante kommt ohne eine rechtswidrige Verbindung zu amerikanischen Servern aus.

Externer Datenschutzbeauftragter in ganz Deutschland

Unser externer Datenschutzbeauftragter München berät Unternehmen in ganz Deutschland in allen datenschutzrechtlichen Fragen.