Google Fonts – zuvor Google Web Fonts – sind von Google zur Verfügung gestellte Schriftarten, mit denen Webseiten einheitlich Text darstellen können. Insbesondere Seitenbetreiber, die WordPress nutzen, greifen auf Google Fonts zurück. Was müssen sie dabei datenschutzrechtlich beachten?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellenDarum sind Google Fonts datenschutzrechtlich bedenklich
Damit Google die Schriftarten zur Verfügung stellen kann, laden Webseiten mit jedem Seitenbesuch automatisch die Fonts über einen Server von Google aus den USA. Google liest dann im Gegenzug über einen Cookie zahlreiche Daten von Webseitenbesuchern aus. Dazu zählen u. a.
- der Browser,
- die Webseite, die der Nutzer besucht,
- das Betriebssystem des Nutzers,
- die Bildschirmauflösung des Nutzers
- die IP-Adresse des Nutzers sowie
- die Spracheinstellungen des Browsers.
Dabei handelt es sich um personenbezogene Daten. Webseitenbetreiber dürfen diese nicht ohne Zustimmung von Usern erheben und an Google weiterleiten.
Im Zusammenspiel mit den anderen erhobenen Daten ermöglichen es Webseitenbetreiber Google zudem, einen Fingerabdruck von Nutzern zu kreieren, der Google diesen auf anderen besuchten Webseiten wiedererkennen lässt. Datenschützer gehen davon aus, dass Google alle abgerufenen User-Daten speichert und für Tracking verwendet.
Prüfen Sie jetzt anonym und kostenfrei, ob Ihre Website Google Fonts DSGVO-konform einsetzt.
So können Webseitenbetreiber Google Fonts rechtssicher verwenden
Um Google Web Fonts datenschutzkonform zu verwenden, haben Unternehmen zwei Optionen:
1) Google Fonts lokal einbinden
Um die Weiterleitung der Userdaten an Google in die USA zu verhindern, können Seitenbetreiber Google Web Fonts lokal auf ihrem eigenen Server einbinden. Dazu müssen sie die entsprechende Schriftart herunterladen und in die style.css-Datei ihrer Webseite einbinden. Alte Verweise auf Google Fonts müssen sie entfernen. Das geht beispielsweise über Plugins wie „Disable Google Fonts“ oder „Remove Google Fonts“.
Zusätzlich müssen Seitenbetreiber die Verwendung von Google Web Fonts in ihrer Datenschutzerklärung aufführen. Dabei sollten sie erwähnen,
- warum sie über Google Fonts personenbezogene Daten erheben,
- wie lange sie diese speichern,
- welche Rechtsgrundlage das erlaubt (Art. 6 Abs. 1 DSGVO) und
- dass Nutzer der Datenerhebung jederzeit widersprechen können.
2) Google Fonts über Google einbinden
Kommt eine Einbindung über den eigenen Server nicht infrage, müssen Unternehmen die Schriftarten jedes Mal über Google abrufen. Sie müssen dann neben einer Erwähnung in der Datenschutzerklärung diese datenschutzrechtlichen Pflichten beachten:
Nutzer-Einwilligung in Cookies einholen
Google verwendet Cookies, um über seine Web Fonts Userdaten zu sammeln. Dafür benötigen Unternehmen die Einwilligung der Nutzer. Sie können diese über ein Cookie Consent Tool einholen. Das Tool setzt einen Cookie-Banner auf, der Nutzer per Opt-In in die Datenerhebung einwilligen lässt. Auf Grundlage der erteilten Erlaubnis passt der Banner dann die Datenströme auf der Webseite an.
Standardvertragsklauseln prüfen
Unternehmen benötigen eine rechtliche Grundlage, wenn sie personenbezogene Daten in ein Drittland außerhalb der EU versenden. Derzeit ist das auf Basis von Standardvertragsklauseln möglich. Unternehmen müssen diese mit Google schließen. Haben sie die Klauseln mit Google bereits abgeschlossen, sollten sie überprüfen, ob es sich dabei um die aktuellen, von der EU-Kommission herausgegebenen Klauseln handelt. Denn: Die EU-Kommission hat im vergangenen Jahr neue Klauseln herausgegeben. Unternehmen haben bis zum 27. Dezember 2022 Zeit, diese abzuschließen.
Daneben müssen Unternehmen eine Risikoabschätzung vornehmen. Diese legt offen, wie der Transfer der personenbezogenen Daten in die USA abläuft und welche Maßnahmen Google ergreift, um die Daten zu schützen.
Rechtsprechung zu Google Fonts
Für Google Fonts ist diese Rechtsprechung relevant:
Bundesgerichtshof zur Erhebung von IP-Adressen
Der Bundesgerichtshof (BGH) entschied im Mai 2017: Dynamische IP-Adressen sind immer dann personenbezogene Daten, wenn Seitenbetreiber rein theoretisch die Möglichkeit haben, die Person hinter der IP-Adresse zu ermitteln (Az. VI ZR 135/13).
Europäischer Gerichtshof zur Erhebung von IP-Adressen
Der Europäische Gerichtshof (EuGH) entschied im Oktober 2016: IP-Adressen sind personenbezogene Daten, wenn Strafverfolger die Person hinter einer IP-Adresse bestimmen können. Es ist keine Voraussetzung, dass Seitenbetreiber die IP selbst zuordnen können (Az. C-582/14).
Landgericht Berlin zur Erhebung von IP-Adressen
Im September 2007 kam das Landgericht Berlin zu dem Schluss: Seitenbetreiber dürfen IP-Adressen nicht ohne Nutzer-Einwilligung speichern (Az. 23 S 3/07).
Europäischer Gerichtshof zur Verwendung von Cookies
Seitenbetreiber benötigen stets eine Einwilligung von Nutzern, wenn sie Cookies verwenden. Dabei müssen User ihre Einwilligung aktiv – beispielsweise über das Ankreuzen eines Kästchens im Cookie Banner – erteilen. Zu diesem Schluss kam der Europäische Gerichtshof (Urteil vom 01.10.2019, Az. C-673/17).
Bundesgerichtshof zur Verwendung von Cookies
Seitenbetreiber dürfen Cookies, die keine technischen oder funktionellen Cookies sind, nur mit Einwilligung der User verwenden. Zu diesem Ergebnis kam der Bundesgerichtshof (BGH). Wie der Europäische Gerichthof gab auch der BGH vor, dass die Einwilligung aktiv über ein nicht vorangekreuztes Kästchen erfolgen muss (Urteil vom 28.05.2020, I ZR 7/16).
Aktuelles zu Google Fonts
Seitenbetreiber dürfen dynamische Webinhalte wie Google Web Fonts nicht ohne Einwilligung der User verwenden. Das entschied das Landgericht München am 20.01.2022 (Az. 3 O 17493/20). Nutzer können Seitenbetreiber auf Unterlassung und Schadensersatz verklagen. Das Gericht sprach dem Kläger daher einen Schadensersatz von 100 Euro zu.
Seitenbetreiber erheben über Google Fonts die IP-Adresse von Usern und geben sie an das US-Unternehmen weiter. IP-Adressen sind personenbezogene Daten. Seiten mit Google Web Fonts verletzen daher das allgemeine Persönlichkeitsrecht in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB.
Ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f Datenschutz-Grundverordnung (DSGVO), die personenbezogenen Daten zu erheben, liegt laut des LG nicht vor. Denn: Seitenbetreiber können die Google Fonts herunterladen und von ihrem eigenen Server ausliefern. Sollte der Webseitenbetreiber die IP-Adresse von Usern weiter an Google übermitteln, droht ein Ordnungsgeld von bis zu 250.000 Euro.
