DSGVO und die Verwendung von Google Fonts
Die Datenschutz Grundverordnung (DSGVO) ist am 25. Mai dieses Jahres offiziell in der gesamten Europäischen Union in Kraft getreten. Damit geht die Europäische Kommission einen weiteren Schritt in Richtung eines verbraucherorientierten Internetzeitalters. Das übergreifende Ziel der DSGVO ist der bestmögliche Schutz persönlicher Informationen, welcher durch die Überarbeitung der bisherigen Datenschutzrichtlinien in die Wege geleitet wurde. Eine durchaus komplexe Verordnung, die Webseitenbetreibern seit ihrer Einführung Kopfzerbrechen bereitet. So ist auch die datenschutzkonforme Einbindung der beliebten Google Fonts zum heiß diskutierten Thema geworden.
Was sind Google Fonts?
Google Fonts wurde 2010 eingeführt und mauserte sich schnell zu einer der größten, kostenlosen Font-Bibliotheken im Internet. Webseitenbetreiber können aus mehr als 800 Schriftarten wählen, welche sowohl zu kommerziellen als auch privaten Zwecken kostenfrei zur Verfügung gestellt werden. Da die Schriften von Google gehostet werden, können sie simpel auf der Webseite implementiert werden, ohne dass sie auf den eigenen Server hochgeladen werden müssen. Genau hier liegt auch der Knackpunkt.
Abmahnungen sorgen für Unruhe
Die Abmahnwelle ließ nach Inkrafttreten der DSGVO nicht lange auf sich warten. Die Hintergründe reichen von fehlenden Datenschutzerklärungen bis hin zur unzureichenden Einbindung von Tools, die Daten ohne Einwilligung an Drittanbieter weiterleiten. Wie kommt’s also, dass die Verwendung einer Schriftart gegen die Verordnung verstoßen könnte?
Wie bereits erwähnt, werden die Google WebFonts in der Regel von Google selbst gehostet. Sie liegen dementsprechend nicht direkt auf dem Server des Webseitenbetreibers, sondern werden aus Googles Content Delivery Network (CDN) geladen. Beim Besuch solch einer Webseite wird auch eine Abfrage an Google gesendet, damit die benötigten Schriftarten heruntergeladen und anschließend auf der Webseite dargestellt werden können. Dabei wird die IP-Adresse (gehört zu personenbezogenen Daten) des Users an Google übermittelt. Ein Hinweis in der Datenschutzerklärung reicht bei dieser externen Abfrage nicht mehr aus; es muss eine Einwilligung seitens des Users vorliegen.
Lokale Einbindung von Google Fonts
Eines vorweg: Bei der Minimierung rechtlicher Risiken geht nichts über eine fachliche Beratung durch einen sachverständigen Anwalt.
Im Hinblick auf die DSGVO empfiehlt sich grundsätzlich die lokale Einbindung von Google Fonts auf dem eigenen Webserver. Auf diese Weise fällt die externe Abfrage weg, jedoch muss man sich leider mit einer zusätzlichen Serverbelastung und längeren Ladezeiten arrangieren. In der Google Fonts Bibliothek können die entsprechenden Schriftarten leider nicht in den benötigten Formaten (eot, woff, woff2, svg) heruntergeladen werden. Hierzu hat der Entwickler Mario Ranftl eine Webseite ins Leben gerufen, auf der man die Google Webfonts in zahlreichen Schriftformaten kostenlos herunterladen kann. Eine entsprechende Anleitung wird dort auch zur Verfügung gestellt. Anschließend kann die gewünschte Font auf den entsprechenden Webspace hochgeladen und mit Hilfe einer CSS-Datei eingebunden werden.