Google Fonts & Datenschutz – geht das?
Management Summary
Der verantwortungsvolle Umgang mit Daten hat im Digitalmarketing speziell und im Unternehmertum generell oberste Priorität. Die Änderungen im Datenschutzrecht der letzten Jahre haben viel Unsicherheit erzeugt, denn oft hinkt die Theorie der Praxis hinterher. Die Datenschutzkonformität der Systeme wird immer wichtiger, nicht nur, um sich vor Strafen zu schützen. Wir geben in diesem Artikel Tipps, wie das im Fall von Google Fonts möglich ist.
Abmahnwelle zur Nutzung von Google Fonts
Alles hat mit dem Urteil des Landgerichts München vom 20.01.2022 begonnen, wonach bei der dynamischen Einbindung von Google Fonts ein unzulässiger Drittland-Transfer von personenbezogenen Daten erfolgt. Das Gericht sprach für den Eingriff in Persönlichkeitsrechte (Stichwort: Kontrollverlust über personenbezogene Daten und damit verbundenes Unwohlsein) einen Schadenersatz in Höhe von EUR 100 zu.
Seit Anfang Juli hat ein österreichischer Anwalt systematisch zahlreiche Abmahnungen an kleine und mittlere Unternehmen in Österreich, die Google Fonts auf deren Websites einbetten, verschickt. Er fordert für seine, stets identische, Mandantin Schadensersatz in der Höhe von EUR 100, Kostenersatz in der Höhe von weiteren EUR 90 und stellt ein Auskunftsbegehren nach der DSGVO.
Datenschutz als Geschäftemacherei?
Das Thema hat viele Medien und Datenschutzanwälte in Österreich erreicht. Die Abmahnwelle hat nicht nur einen Wirbel um die datenschutzkonforme Einbindung von dynamischen Google-Fonts, sondern auch eine Diskussion ausgelöst, ob Datenschutzrecht zu einem Businessmodell für Abmahner verkommt. In den letzten Tagen ist in Medien sogar die Vermutung zu lesen, dass der Abmahnung mit hoher Wahrscheinlichkeit rein automatisierte Websitebesuche zugrunde liegen würden, sodass es keine Person als User gebe und daher gar keine personenbezogene Daten verarbeitet würden.
Die WKO ist alarmiert und hat nun Empfehlungen veröffentlicht. Auch die Datenschutzbehörde reagiert darauf und stellt Informationen zur Verfügung.
Die Frage der Datenschutzkonformität bei der Nutzung von Google Fonts betrifft aber nicht nur die konkret Abgemahnten, bei denen es sich schon um “zehntausende Websites“ handeln soll, sondern unter Umständen 60% aller Website-Betreiber in Österreich, also dem Marktanteil von Google Fonts in Österreich:
Marktanteil Google Fonts in Österreich, Quelle: Buildwith
Kann Google Fonts datenschutzkonform genutzt werden?
Die datenschutzrechtliche Unsicherheit kann laut Österreichischer Datenschutzbehörde aber durch technische Schritte beseitigt werden:
- Lokale (statt dynamische) Einbindung von Google-Fonts
- Überprüfen Sie, ob die Schriftarten von einem Google-Server (nach)geladen werden, oder ob die Schriftarten lokal eingebunden sind.
- Zusätzlich überprüfen Sie, ob aufgrund der Einbindung von Google Fonts auf Ihrer Website überhaupt eine Verbindung zu einem Google-Server aufgebaut wird.
- Dokumentation der obigen Ergebnisse.
Wir raten bereits seit dem Urteil des LG in München vom Januar 2022 dazu, Google Fonts lokal einzubinden. Ob das bei Ihnen der Fall ist, können Sie wie folgt prüfen.
Wie prüfen Sie, ob Google Fonts vor der Einwilligung feuert?
Es gibt mehrere Möglichkeiten zu prüfen, ob Google Fonts über den Google Server eingebunden ist und man die Zustimmung (den Consent) dafür hat. Alle Methoden sind nicht schwer und können recht einfach angewandt werden:
Über die Webdeveloper Tools (Browser Erweiterung)
Über die Webdeveloper Tools bzw. die Entwickler Tools des jeweiligen Browsers kann man sehr viele Informationen über die Webseite erlangen. Folgende Schritte sind dafür notwendig:
- Diese Browser-Erweiterung kann man öffnen indem man auf F12 klickt oder mit Rechtsklick auf die Webseite und dann auf “Untersuchen” oder “Seite untersuchen” klickt.
- Nun den Tab “Sources” öffnen und wenn eine Zeile mit dem Namen “fonts.googleapis.com” erscheint, dann wird Google Fonts genutzt.
- Man kann auch den Tab “Network” öffnen und danach auf F5 klicken (bzw. die Seite neu laden). Danach werden alle Ressourcen geladen, welche von der Webseite abgerufen werden. Erscheint unter der Teile “Domain” der Name “fonts.googleapis.com”, wird Google Fonts vom Google Server geladen.
Sollten Sie Google Fonts vom Google Server laden, sind diese zustimmungspflichtig und dürfen erst geladen werden, nachdem die Zustimmung (der Consent) gegeben wurde.
Überprüfung mittels Online-Checker
Es gibt mittlerweile eine Vielzahl an Online-Tools, welche die Seite analysieren, ob Google Fonts vom Google Server geladen wird. Dazu einfach in Google den Begriff “Google Fonts checker” eingeben und eines der ersten Ergebnisse auswählen.
In allen Fällen muss man die eigene Domain in ein Eingabefeld eintragen und danach auf “prüfen”, “analysieren” oder “Start” klicken.
Nach einigen Sekunden erhält man auch schon das Ergebnis dazu. In den folgenden Screenshots sind zwei Beispiele von einem solchen Ergebnis-Bericht:
Beispiel Ergebnis Online Checker
Beispiel Ergebnis Online Checker
Prüfen über Browser-Erweiterungen (Tag Explorer)
Eine weitere Möglichkeit zu prüfen, ob Google Fonts über den Google Server geladen werden, ist die Nutzung von anderen Browser-Erweiterungen. Dabei gibt es sehr viele Lösungen, in diesem Beispiel wird der “Tag Explorer” genutzt.
Dazu öffnet man einfach seine Webseite und klickt auf das Tool. Dieses zeigt dann an, welche Drittanbieter Services zum derzeitigen Zeitpunkt geladen wurden.
Wie schon erwähnt wurde, ist es wichtig, dass Google Fonts entweder selbst gehostet oder erst nach Zustimmung geladen wird.
In beiden Fällen können wir Sie gerne bei der Umsetzung unterstützen.
Unser Fazit:
Dieser Blogartikel befasst sich nicht mit rechtlichen Themen, wie z.B. der Frage, ob ein Kontrollverlust der Daten überhaupt einen immateriellen Schaden iSd DSGVO auslösen kann. Darüber müssen die Gerichte erst Rechtssicherheit herstellen. Auch zur Frage, ob die Weitergabe der IP-Adresse im Rahmen der dynamischen Einbindung von Google Fonts tatsächlich gegen die DSGVO verstößt, müssen wir abwarten: die Datenschutzbehörde in Österreich hat dazu ein amtswegiges Prüfverfahren eingeleitet.
Wozu wir unabhängig von diesen weiteren Entwicklungen zum jetzigen Zeitpunkt raten, ist Google Fonts lokal einzubinden. Google Fonts sollte nach Möglichkeit lokal über den eigenen Server gehostet werden. Falls Sie hierzu Hilfe benötigen, helfen wir Ihnen gerne weiter.
Zudem raten wir, die Einwilligungseinstellungen zu überprüfen und damit Google Fonts erst nach der Einwilligung einzubinden. Hier unterstützen wir Sie mit einer CMP und der Entwicklung eines sauberen Consent Management Prozesses. Kontaktieren Sie uns: kontakt@e-dialog.group
