Einbindung von Google Fonts – Datenschutzkonform?

Die Datenschutz-Grundverordnung hat mit ihrem Inkrafttreten vieles auf deutschen Websites verändert. Dazu ist das Datenschutzrecht ein sehr dynamisches Rechtsgebiet, welches von vielen tagesaktuellen Entwicklungen geprägt ist. Grundsätzlich führt dies dazu, dass viele Websites auch stetig angepasst werden müssen, um datenschutzrechtlichen Bestimmungen gerecht zu werden. Ein aktuelles Thema ist dabei die Einbindung von Google Fonts, das interaktive Schriftenverzeichnis von Google, auf der eigenen Website. Google stellt dabei dem Nutzer die benötigten Schriften zur Verfügung, um beispielsweise Grafiken zu erstellen. Dementsprechend bindet der Websiteersteller, durch die Erstellung von Inhalten, Google Fonts auf der eigenen Website ein. Dies hat zur Folge, dass die Daten des Nutzers an Google übermittelt werden. Eine lokale Einbindung hingegen bedeutet, dass die Schriften vom eigenen Server statt vom Google-Server geladen werden. 
Daher stellt sich bei diesem Thema die juristische Frage, inwiefern eine solche Einbindung datenschutzkonform ist.

Was man unter Google Fonts versteht und welche Vorteile daraus entstehen 

Seit 2010 bietet Google den populären Dienst an, über 1000 unterschiedliche Schriftarten zu nutzen. Diese sind unter dem Namen Google Web Fonts bekannt. Der große Vorteil ist, dass die Schriftarten von Webentwicklern oder auch Webseitenbetreibern kostenfrei genutzt werden können. Dies ist der große Unterschied zu anderen Anbietern, die für die Nutzung ihrer Schriftarten teilweise enorm hohe Beträge verlangen. Die Google Fonts können dabei ohne eine persönliche Registrierung oder die Verwendung von persönlichen Daten in die Website eingebunden werden.
Neben der direkten Einbindung auf der Website können Nutzer die Google Fonts auch in WordPress-Themen einarbeiten. Um dabei eine schnellere Auswahl hinsichtlich der Schriftarten treffen zu können, stehen den Nutzern verschiedene Filteroptionen zur Verfügung.

Der Nachteil ist die Übermittlung von personenbezogenen Daten an die Google-Server

Der große Nachteil an Google Fonts ist hingegen, dass diese für das sogenannte Tracking genutzt werden können. Dementsprechend werden die Daten vom Websitebesucher an Google übertragen. Somit könnte Google beispielsweise den Standort des Besuchers ermitteln, da die IP-Adresse übertragen wird.
Die IP-Adresse stellt dabei ein personenbezogenes Datum dar, da es abstrakt möglich ist, den Inhaber des Internetanschlusses zu ermitteln und somit einen Rückschluss auf eine konkrete Person herzustellen. Festgehalten ist dies auch in Artikel 4 DSGVO. Gleichzeitig bestätigte auch der Bundesgerichtshof 2017, dass eine IP-Adresse unter personenbezogene Daten fällt. 
Bei einer Verarbeitung von personenbezogenen Daten ist jedoch im nächsten Schritt vonnöten, dass der Betroffene vorher darüber informiert wird und seine Einwilligung gibt. Andernfalls ist die Verarbeitung rechtswidrig. Dabei muss die Verarbeitung stets auf einer Rechtsgrundlage basieren. Dies kann eben jene Einwilligung des Betroffenen sein oder aber ein überwiegend berechtigtes Interesse des Website-Betreibers.
Eine Einwilligung ist bei der Einbindung von Google Fonts aber nicht möglich, da die Übermittlung an Google direkt nach dem Aufrufen der Website bereits stattfindet.

Sie haben einen akuten Fall? Jetzt Ansprüche prüfen lassen


    LG München zur Einbindung von Google Fonts ohne Einwilligung des Websitebesuchers

    Das Landgericht München hat Anfang diesen Jahres entschieden, dass die dynamische Einbindung von Google Fonts ohne die Einwilligung des Websitebesuchers einen Verstoß gegen das allgemeine Persönlichkeitsrecht darstellt. Denn die Weitergabe der IP-Adresse sei ein personenbezogenes Datum, was nicht ohne die Einwilligung des Betroffenen möglich sei. Die Folge war ein Schadensersatzanspruch gemäß Art. 82 DSGVO in Höhe von 100 € und einen damit verbundenen Unterlassungsanspruch. Nach Auffassung des Landgerichts München bestehe auch keine Pflicht des Websitebesuchers, die eigene IP-Adresse zu verschlüsseln. Dies wäre beispielsweise mittels einer VPN möglich. Allerdings würde eine solche Verschlüsselung dem Sinn und Zweck des Datenschutzes widersprechen.

    Wie man DSGVO-konform Google Fonts nutzen kann

    Damit bei einer Nutzung von Google Fonts auf der eigenen Website nicht dauerhaft die Gefahr einer Abmahnung besteht, gibt es zwei Möglichkeiten:
    Zum einen können die präferierten Google Fonts heruntergeladen werden, um so dann eine lokale Nutzung zu gewährleisten. Infolgedessen wird die Verbindung zu den Google Servern gekappt. Der Nachteil hier ist allerdings, dass sich mit einer lokalen Einbindung die gesamte Ladezeit der Website verlängern kann. Diese Einschränkung dürfte sich aber im minimalen Bereich bewegen. 
    Zum anderen kann bei einer Einbindung von Google Fonts mit dem überwiegend berechtigten Interesse des Websitebetreibers als Rechtsgrundlage argumentiert werden. Dieses Interesse würde dann die Einwilligung ersetzen. 
    Dies bringt allerdings nach dem Münchner Urteil eine gewisse rechtliche Gefahr mit sich. Zwar ist die Rechtslage nicht abschließend geklärt, ein überwiegend berechtigtes Interesse kann allerdings nicht ohne Probleme angenommen werden. Denn bereits der EuGH hatte im Schrems II Urteil 2020 entschieden, dass das US-Recht nur unzureichend den Datenschutz von EU-Bürgern gewährleistet. 
    Daher sollte man im Zweifelsfall tendenziell eher eine lokale Einbindung vornehmen. 

    Welche Wirkung das Urteil hat

    Grundsätzlich erzeugte das Urteil insbesondere in der breiten Öffentlichkeit ein großes Echo. Denn das Urteil könnte eine neue Abmahnwelle auslösen. Schon in den letzten Wochen haben Unternehmen vermehrt Abmahnungen erhalten. Dies könnte auch Trittbrettfahrer auf den Plan rufen, welche gezielt versuchen, mit solchen Schreiben Geld zu verdienen. 
    Für Webseitenbetreiber und Unternehmer dürfte daher folgendes gelten:
    Prüfen Sie, ob Google Fonts bei Ihnen auf der Website eingebunden ist.
    Prüfen Sie, ob Google Fonts von einem Google Server geladen werden. Falls ja, binden Sie die Schriftarten lokal ein. Hier wird Ihnen erklärt wie.


    Autor:
    Steinbock & Partner mbB, Rechtsanwälte
    Konrad Terporten LL.B.
    eMail: info@steinbock-partner.de
    Weiterführende Informationen: https://www.steinbock-partner.de/datenschutzrecht/