Google Fonts und die DSGVO

Ist es datenschutzrechtlich erlaubt, Schriften direkt von Google abzurufen? Oder stellt dies einen Verstoß gegen die DSGVO dar? Falls ja, was wäre die Alternative?

Jürgen Zöllner

Jürgen Zöllner 09. Juli 2020 ·

Vorweg: Wir sind eine Online-Marketing-Agentur und dürfen keine rechtliche Beratung bieten. Die nachfolgenden Infos ersetzen keine juristische Beratung, sondern geben das von uns in der Agenturpraxis gesammelte Wissen weiter. Weitere Informationen? Finden Sie hier: Cookie Consent-Management-Beratung.

Letztes Update: 09.07.2020

Google Fonts erfreuen sich einer enormen Beliebtheit. Kein Wunder, schließlich stellt Google einige äußerst hochwertige Schriften zur Verfügung. Und das sogar kostenlos – auch für die kommerzielle Nutzung. Ein großer Vorteil, wenn die Schriften dabei direkt von Google abgerufen werden, ist die Geschwindigkeit. Denn die Server von Google sind äußerst leistungsstark. Hinzu kommt: Viele Menschen werden einigen Google-Schriften bereits im Cache (= Zwischenspeicher) ihres Browsers geladen haben. Denn dies ist immer dann der Fall, wenn man zuvor eine Website besucht hat, die dieselbe Schrift im Einsatz hat. Und bei solch populären Schriften wie z.B. der Open Sans, wird das sehr häufig der Fall sein.

Dennoch gibt es seit dem Inkrafttreten der DSGVO Unsicherheit. Einige unserer Kunden fragen sich, ob es einen Verstoß gegen die DSGVO darstellt, wenn diese Schriften direkt von den Google-Servern bezogen werden.

Um es vorweg zu nehmen: Abschließend, sprich höchstrichterlich, ist dies noch nicht geklärt. Denn bislang (9. Juli 2020) gib es dazu nach meiner ausführlichen Recherche noch immer kein Urteil. Was es aber gibt, sind Indizien. Und diese sprechen in meinen Augen dafür, dass es rechtlich – zumindest unter gewissen Voraussetzungen - legitim und sogar vorteilhaft sein kann, die Google Fonts über den Google-Server zu beziehen.

Sehen wir uns die Punkte im Detail an:

1) Wird ein Cookie gesetzt?
Nein. Bei einem Abruf der Schriften von den Google-Servern wird kein Cookie gesetzt. Google wertet die Abrufdaten nach eigenen Angaben nur aggregiert und zu statistischen Zwecken aus (z.B. „Wie populär ist welche Schriftart?“). siehe bit.ly/38Gekp8

2) Werden die erhobenen Daten (IP-Adresse, Browser etc.) mit weiteren eventuell verfügbar Daten durch Google zusammengeführt?
Nein. Sagt Google. Und in der Tat ist dies höchst unwahrscheinlich. Denn die Schriften werden von eigenständigen, ausschließlich für die Google Fonts verwendeten Domains abgerufen. Eine Verknüpfung mit weiteren Google-Daten (z.B. Gmail oder Google Analytics) erscheint mir somit sehr unwahrscheinlich. Zudem würde sich Google potentiell strafbar, oder zumindest öffentlich angreifbar machen, da sie eine solche Verknüpfung in den FAQ explizit ausschließen. Google liegt viel an seiner Reputation. Gerade jetzt, da sie im Fokus von Datenschützern aus aller Welt stehen.

3) Wird die IP-Adresse der Besucher an Google übermittelt?
Ja. In der Tat wird sie an die Server von Google in den USA übermittelt. Eine weitergehende Auswertung (siehe Punkt 1) erfolgt jedoch laut den Eigenangaben von Google nicht. Hinzu kommt: Google ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten. Siehe bit.ly/38G8F2n

4) Besteht ein „berechtigtes Interesse“ nach Art. 6 Abs. 1 lit. f DSGVO?
Genau das ist mangels eines entsprechenden Urteils noch nicht abschließend geklärt. Dr. Schwenke bezieht sich in seiner Datenschutz-Mustererklärung auf ein berechtigtes Interesse u.a. an einer „… wartungsfreien und effizienten Nutzung von Schriftarten“ sowie der „Berücksichtigung möglicher lizenzrechtlicher Restriktionen für deren Einbindung“, siehe datenschutz-generator.de Gerade Letzteres kann durchaus ein wesentlicher Punkt sein. Dazu gleich mehr in Punkt 5. Hinzu kommen in meinen Augen zudem die zumeist geringeren Ladezeiten für Website-Besucher. Auch dazu mehr in Punkt 6.

5) Dürfen Google-Schriften lokal auf dem Webserver eingebunden werden?
Ja. Lizensiert sind die Google-Schriften unter der „SIL Open Font License, 1.1“ oder der „Apache License, version 2.0“, siehe fonts.google.com/attribution

Auf der GitHub-Seite von Google (http://bit.ly/2U7oxHk) heißt es dazu: „Since all the fonts available here are licensed with permission to redistribute, subject to the license terms, you can self-host. For help doing this, see github.com/majodev/google-webfonts-helper“.

Um die entsprechenden Schriftformate (WOFF, WOFF2 und EOT) zu erhalten, lohnt es sich tatsächlich das Tool „Google Webfonts Helper“ des österreichischen Entwicklers Mario Ranftl nutzen: bit.ly/2t0chgn Es steht seit 2014 zur Verfügung und ist kostenlos. Mehr dazu erfahren Sie hier: bit.ly/2t1eB6R

6) Lokal vs. Google-Server: Was bedeutet das für die Ladegeschwindigkeit?
Oft bedeutet dies durchaus einen Unterscheid. Zumindest immer dann, wenn kein Content Delivery Network (CDN) eingesetzt wird. Dank der äußerst leistungsstarken Server von Google ist die Ladezeit der Schriften extrem niedrig. Werden die Schriften hingegen lokal auf dem eigenen Webserver gehostet, kann dies sowohl eine Mehrbelastung des Servers als auch eine Einbuße an Ladegeschwindigkeit bedeuten.

Bleibt die Frage: Was sagen sachkundige Rechtsanwälte dazu?
Der renommierte Rechtsanwalt Dr. Schwenke kommt in einem Facebook-Post vom 11. Januar 2019 zu dem Schluss, dass „ein externer Bezug der Schriftarten von Google zulässig [ist], wenn dessen Erforderlichkeit begründet und in der Datenschutzerklärung aufgenommen wird.“, siehe bit.ly/2uxL5Gr

Was also tun?
Sie haben drei Möglichkeiten:

  1. Sie rufen die Schriften weiterhin direkt von Google ab. Ein gewisses datenschutzrechtliches Risiko bleibt. Es ist in meinen Augen aber überschaubar. Zumindest dann, wenn Ihre Angaben in der Datenschutzerklärung umfassend und up-to-date sind.
  2. Sie hosten die Schriften lokal auf Ihren Server. Aus datenschutzrechtlicher Sicht ist dies gewiss vorteilhaft. Es hat jedoch den Preis einer potentiell langsameren Website-Geschwindigkeit.

    Gut zu wissen: Es gibt ein - wenn auch recht verstecktes - Statement von Google zur lokalen Einbindung von Schriften: Dies ist erlaubt. Wörtlich heißt es dazu: „Since all the fonts available here are licensed with permission to redistribute, subject to the license terms, you can self-host.“, siehe bit.ly/2U7oxHk
    Somit sind Sie mit einer lokalen Einbindung der Schrift sowohl urheber- als auch datenschutzrechtlich safe. 
  3. Sie verabschieden sich von den kostenlosen Google-Fonts und erwerben eine kostenpflichtige Lizenz einer alternativen Schrift. Diese liefern Sie idealerweise über ein Content Delivery Netzwerk (CDN) aus.
Teilen Sie diesen Artikel

Verwandte Artikel

Fragen? Wir haben Antworten.

Ich will was wissen →