Google Fonts und die DSGVO
Ist es datenschutzrechtlich erlaubt, Schriften direkt von Google abzurufen? Oder stellt dies einen Verstoß gegen die DSGVO dar? Falls ja, was wäre die Alternative?
Jürgen Zöllner 03. Februar 2022 ·
Vorweg: Wir sind eine Online-Marketing-Agentur und dürfen keine rechtliche Beratung bieten. Die nachfolgenden Infos ersetzen keine juristische Beratung, sondern geben das von uns in der Agenturpraxis gesammelte Wissen weiter. Weitere Informationen? Finden Sie hier: Cookie Consent-Management-Beratung.
Letztes Update: 03.02.2022
Google Fonts erfreuen sich einer enormen Beliebtheit. Kein Wunder, schließlich stellt Google einige äußerst hochwertige Schriften zur Verfügung. Und das sogar kostenlos – auch für die kommerzielle Nutzung. Ein großer Vorteil, wenn die Schriften dabei direkt von Google abgerufen werden, ist die Geschwindigkeit. Denn die Server von Google sind äußerst leistungsstark. Hinzu kommt: Viele Menschen werden einigen Google-Schriften bereits im Cache (= Zwischenspeicher) ihres Browsers geladen haben. Denn dies ist immer dann der Fall, wenn man zuvor eine Website besucht hat, die dieselbe Schrift im Einsatz hat. Und bei solch populären Schriften wie z.B. der Open Sans, wird das sehr häufig der Fall sein.
Dennoch gab es seit dem Inkrafttreten der DSGVO Unsicherheit. Einige unserer Kunden fragten sich, ob es einen Verstoß gegen die DSGVO darstellt, wenn diese Schriften direkt von den Google-Servern bezogen werden. Seit 2. Februar 2022 gibt es dazu ein Urteil des LG München. Darin kommen die Richter zu dem Schluss, dass es einen Verstoß gegen die DSGVO darstellt. (Mehr dazu erfahren Sie in einem Artikel der Interne World (externer Link): https://bit.ly/3okjuBx
Selbst wenn einige Indizien auch weiterhin dafür sprechen, dass es rechtlich – zumindest unter gewissen Voraussetzungen - legitim sein kann, die Google Fonts über den Google-Server zu beziehen, raten wir davon klar ab.
Sehen wir uns die Indizien im Detail an:
1) Wird ein Cookie gesetzt?
Nein. Bei einem Abruf der Schriften von den Google-Servern wird kein Cookie gesetzt. Google wertet die Abrufdaten nach eigenen Angaben nur aggregiert und zu statistischen Zwecken aus (z.B. „Wie populär ist welche Schriftart?“). siehe bit.ly/38Gekp8
2) Werden die erhobenen Daten (IP-Adresse, Browser etc.) mit weiteren eventuell verfügbar Daten durch Google zusammengeführt?
Nein. Sagt Google. Und in der Tat ist dies höchst unwahrscheinlich. Denn die Schriften werden von eigenständigen, ausschließlich für die Google Fonts verwendeten Domains abgerufen. Eine Verknüpfung mit weiteren Google-Daten (z.B. Gmail oder Google Analytics) erscheint mir somit sehr unwahrscheinlich. Zudem würde sich Google potentiell strafbar oder zumindest öffentlich angreifbar machen, da sie eine solche Verknüpfung in den FAQ explizit ausschließen. Google liegt viel an seiner Reputation. Gerade jetzt, da sie im Fokus von Datenschützern aus aller Welt stehen.
3) Wird die IP-Adresse der Besucher an Google übermittelt?
Ja. In der Tat wird sie an die Server von Google in den USA übermittelt. Eine weitergehende Auswertung (siehe Punkt 1) erfolgt jedoch laut den Eigenangaben von Google nicht.
4) Besteht ein „berechtigtes Interesse“ nach Art. 6 Abs. 1 lit. f DSGVO?
Kaum. Zumindest wenn man der Argumentation des LG München folgt.
5) Dürfen Google-Schriften lokal auf dem Webserver eingebunden werden?
Ja. Lizensiert sind die Google-Schriften unter der „SIL Open Font License, 1.1“ oder der „Apache License, version 2.0“, siehe fonts.google.com/attribution
Auf der GitHub-Seite von Google (http://bit.ly/2U7oxHk) heißt es dazu: „Since all the fonts available here are licensed with permission to redistribute, subject to the license terms, you can self-host. For help doing this, see github.com/majodev/google-webfonts-helper.
Um die entsprechenden Schriftformate (WOFF, WOFF2 und EOT) zu erhalten, lohnt es sich tatsächlich das Tool „Google Webfonts Helper“ des österreichischen Entwicklers Mario Ranftl nutzen: bit.ly/2t0chgn Es steht seit 2014 zur Verfügung und ist kostenlos. Mehr dazu erfahren Sie hier: bit.ly/2t1eB6R
6) Lokal vs. Google-Server: Was bedeutet das für die Ladegeschwindigkeit?
Oft bedeutet dies durchaus einen Unterscheid. Zumindest immer dann, wenn kein Content Delivery Network (CDN) eingesetzt wird. Dank der äußerst leistungsstarken Server von Google ist die Ladezeit der Schriften extrem niedrig. Werden die Schriften hingegen lokal auf dem eigenen Webserver gehostet, kann dies sowohl eine Mehrbelastung des Servers als auch eine Einbuße an Ladegeschwindigkeit bedeuten.
Was also tun?
Sie haben drei Möglichkeiten:
- Sie rufen die Schriften weiterhin direkt von Google ab und leben mit dem Risiko einer Abmahnung bzw. Strafe. Hiervon raten wir ab!
- Sie hosten die Schriften lokal auf Ihrem Server. Aus datenschutzrechtlicher Sicht ist dies gewiss vorteilhaft. Es hat jedoch den Preis einer potentiell langsameren Website-Geschwindigkeit. Dies ist in unseren Augen jedoch vernachlässigbar.
Gut zu wissen: Es gibt ein - wenn auch recht verstecktes - Statement von Google zur lokalen Einbindung von Schriften: Dies ist erlaubt. Wörtlich heißt es dazu: „Since all the fonts available here are licensed with permission to redistribute, subject to the license terms, you can self-host.“, siehe bit.ly/2U7oxHk
Somit sind Sie mit einer lokalen Einbindung der Schrift sowohl urheber- als auch datenschutzrechtlich safe. - Sie verabschieden sich von den kostenlosen Google-Fonts und erwerben eine kostenpflichtige Lizenz einer alternativen Schrift. Diese liefern Sie idealerweise über ein in Europa ansässiges Content Delivery Netzwerk (CDN) aus.
