Google Fonts richtig einsetzen
Das Landgericht München I entschied Ende Januar (Az.: 3 O 17493/20), dass die Einbindung von Google Fonts aufgrund berechtigter Interessen (Art. 6 Abs. 1 S. 1 f) DSGVO) unzulässig sei. Ausgang des Verfahrens war keine aufsichtsbehördliche Maßnahme, sondern eine Beschwerde, die letztlich zu einem Schadensersatz in Höhe von 100 EUR führte.
Zwar stellt diese Entscheidung noch keine höchstrichterliche und somit endgültige Bewertung dar, dennoch möchten wir Risiken für Sie auf ein Minimum reduzieren und Ihnen dabei helfen, vorausschauend zu agieren. Deshalb erläutern wir Ihnen nachfolgend den Kontext und zeigen eine mögliche Lösung auf.
Funktionsweise und daraus resultierende Probleme
Sind auf einer Webseite Google Fonts auf die „klassische Weise“ eingebunden, werden die Schriftarten beim Webseitenaufruf von Google-Servern abgerufen. Dabei erhält Google zwangsläufig die IP-Adresse der Besuchenden, um die Daten zu übermitteln. Google selbst beteuert zwar, die durch Google Fonts anfallenden Verbindungsdaten nicht zum Tracking zu verwenden, doch dies ist nur bedingt prüfbar. Da Google-Nutzende in ihren Privatsphäre-Einstellungen die Verfolgung ihrer Aktivitäten auf Drittanbieterwebseiten deaktivieren können, besteht zumindest der Verdacht der Auswertung.
Seitenbetreiber begründen den Einsatz der Google Fonts in erster Linie mit technischen Zwecken, um eine gewisse Performance und ein vertrautes Erscheinungsbild der Webseite zu gewährleisten.
Demgegenüber muss aber berücksichtigt werden, dass mit der Einbindung ein Drittstaatentransfer unter anderem in die USA nicht ausgeschlossen werden kann. Hierfür bestehen spätestens seit der Schrems-II-Entscheidung des EuGH strengere Anforderungen an technische und organisatorische Sicherungsmaßnahmen.
Lösung des Problems: DIY (do it yourself)
Möchten Sie weiterhin Google Fonts einbinden, empfehlen wir den datenschutzrechtlich sichersten Weg: die lokale Einbindung der Schriftarten. Denn dies wird auch von Google als Rechteinhaber gestattet. Eine Anleitung ist unter https://wiki.selfhtml.org/wiki/HTML/Tutorials/Google-Fonts_selbst_hosten abrufbar.
Die lokale Einbindung verbraucht nur sehr wenig Webspace und Traffic, denn die Font-Dateien sind winzig. Regelmäßig bestehen auch keine spürbaren Performance-Einbußen. Die Ladezeiten liegen im Bereich von Millisekunden und sind im Vergleich zu den übrigen Seitenelementen meist vernachlässigbar. Darüber hinaus gibt es auch lokale Optimierungsmöglichkeiten. Nur wenn ein (datenschutzfreundliches) Content-Delivery-Network im Einsatz ist, können Google Fonts ruhigen Gewissens über dieses ausgeliefert werden.
Warum nicht weiter wie bisher?
Google Fonts können auch weiterhin aus externer Quelle, also von Google-Servern abgerufen werden, müssen dazu jedoch folgendes beachten:
1. Die Übermittlung personenbezogener Daten in unsichere Drittstaaten bedarf eines geeigneten rechtlichen Übermittlungsinstruments, z.B. EU-Standardvertragsklauseln, die mit Google abgeschlossen werden müssen.
2. Zur rechtssicheren Einbindung dürfen die Google Fonts erst nach einer Zustimmung des Webseitenbesuchers geladen werden, da neben der Drittstaatenproblematik auch die Trackingmöglichkeit bedacht werden muss. Dies technisch zu gewährleisten und eine funktionale Alternativlösung für verweigerte/widerrufene Zustimmungen zu schaffen, ist kompliziert und bedeutet letztlich, dass eine lokale Alternative vorgehalten werden muss. Somit müssen im Ergebnis zwei Seitenversionen vorgehalten werden.
3. Wird der Drittstaatentransfer aufgrund einer Einwilligung vorgenommen, müssen die Betroffenen transparent informiert werden. Das beinhaltet auch die mit der Übermittlung verbundenen Risiken wie den Verlust von Rechtsschutzmöglichkeiten und der Kontrolle über die Weiterverarbeitung. Das kann auf Besuchende verwirrend oder gar abschreckend wirken.
Zusammenfassung
Webseitenbetreiber sind aufgrund dieser Gemengelage von Möglichkeiten, Risiken und Aufwänden gut damit beraten, sich für die lokale Einbindung der Google Fonts zu entscheiden.
Diese Bewertung ist auch auf andere Drittanbieterinhalte übertragbar. Merken Sie sich dazu die Faustregel:
Jeder Drittanbieterinhalt, der auch lokal und ohne erheblichen Mehraufwand betrieben werden könnte, kann nicht auf berechtigte Interessen (Art. 6 Abs. 1 S. 1 f DSGVO) gestützt werden, wenn
– dabei personenbezogene Daten Betroffener an Dritte übermittelt werden und
– die Betroffenen dabei einen Kontrollverlust über ihre Daten erleiden.
Stefan Effmert
Volljurist
Berater für Datenschutz