Wie Du Google Fonts DSGVO-konform nutzen kannst.
Die Datenschutzgrundverordnung (DSGVO) ist in aller Munde und betrifft auch die Nutzung von Google Fonts. Doch keine Sorge, wir erklären dir, wie du problemlos weiterhin Google Fonts nutzen kannst – ganz ohne Abmahnung!
DSGVO und Google Fonts – was ist das Problem?
Derzeit sind viele Unternehmen und Organisationen dabei, ihre Websites DSGVO-konform zu machen. Ein wichtiger Aspekt dabei ist die Nutzung von Google Fonts. Doch was ist das Problem mit Google Fonts und der DSGVO?
Google Fonts ist eine Sammlung kostenloser Schriftarten, die von Google zur Verfügung gestellt wird. Die Schriftarten können auf Websites eingesetzt werden und werden dann von Google an die Besucher der Website geladen. Dabei werden die IP-Adressen der Besucher an Google übermittelt.
Dies stellt ein Problem dar, da IP-Adressen als personenbezogene Daten gelten und somit unter die DSGVO fallen. Das heißt, Unternehmen und Organisationen, die Google Fonts auf ihren Websites nutzen, müssen sicherstellen, dass sie eine gültige Rechtsgrundlage für die Verarbeitung der IP-Adressen haben.
In den meisten Fällen ist diese Rechtsgrundlage die Einwilligung des Betroffenen. Das bedeutet, dass Nutzer der Website explizit darüber informiert werden müssen, dass ihre IP-Adresse an Google übermittelt wird und sie hierzu ihr Einverständnis erteilen müssen.
Alternativ können Unternehmen und Organisationen auch eine andere Rechtsgrundlage nutzen, um die Verarbeitung der IP-Adressen zu legitimieren. Beispielsweise könnte die Bereitstellung der Schriftarten für den Betrieb der Website erforderlich sein (Rechtsgrundlage: Erforderlichkeit zur Erfüllung eines Vertrags). In diesem Fall müsste jedoch sichergestellt sein, dass keine alternative Schriftart zur Verfügung steht, die nicht unter die DSGVO fällt (z.B. eine Schriftart, die lokal auf dem Server installiert ist).
Für Unternehmen und Organisationen, die Google Fonts auf ihren Websites nutzen, gilt also: Informieren Sie Ihre Website-Besucher darüber, dass ihre IP-Adresse an Google übermittelt wird und stellen sicher, dass eine gültige Rechtsgrundlage für die Verarbeitung vorhanden ist.
Wie kann ich Google Fonts datenschutzkonform einsetzen?
Gerade im digitalen Zeitalter ist es wichtig, sich über die verschiedenen Rechtsgrundlagen für Datenverarbeitung zu informieren. Berechtigtes Interesse vs. Einwilligung – was ist was?
Google Fonts eine Rechtsgrundlage für Berechtigtes Interesse?
Webseitenbetreiber, die Google Fonts verwenden wollen, sollten bedenken, dass diese IP-Adressen und somit personenbezogene Daten im Sinne der EU-Datenschutzgrundverordnung (DSGVO) erfassen und verarbeitet. Für diesen Vorgang ist eine Rechtsgrundlage erforderlich, die der Webseitenbetreiber vorhalten muss. Bei anonymen Webseitenbesuchern kommt nur das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO oder die Einwilligung gemäß Art. 6 Abs. 1 lit a DSGVO in Frage. Ob für Google Fonts das berechtigte Interesse ausreicht, hängt von der Auslegung des Webseitenbetreibers ab.
Die DSK (Datenschutzkommission) stellt klar, dass eine strenge dreistufige Prüfung durchgeführt werden muss, um sich auf berechtigtes Interesse stützen zu können. Diese Argumentation sollte idealerweise transparent in der Datenschutzerklärung aufgeführt werden. Im Falle von Google Fonts ist die Rechtslage jedoch keinesfalls eindeutig, da die IP-Adresse in die USA gesendet wird.
Webseitenbetreiber können sich auf berechtigtes Interesse stützen, müssen dem Webseitenbesucher aber trotzdem eine Widerspruchsmöglichkeit geben. Also sicherstellen, dass der Webseitenbesucher einer Verwendung von Google Fonts widersprechen kann – und zwar mittels einer Opt-Out Schaltfläche.
Die Einwilligung ist die Rechtsgrundlage für die Verwendung von Google Fonts
Um Google Fonts in Europa datenschutzkonform zu verwenden, ist eine rechtssichere Rechtsgrundlage erforderlich. Die Einwilligung könnte hierbei zwingend erforderlich sein, da die Daten an einen amerikanischen Anbieter (Google) in einen Drittstaat (USA) gesendet werden.
Der Webseitenbetreiber muss bei der Einwilligung die Kriterien der DSGVO erfüllen. Wichtig ist, dass der Nutzer nach seiner Einwilligung gefragt wird, bevor ein URL-Call von Google Fonts zur Google Font API stattfindet.
Welche Optionen gibt es Google Fonts datschenschutzkonform einzubinden?
Als erstes müssen wir klären, welche Google Schriftarten wir durch neue ersetzen wollen. Dafür müssen wir die aktuell genutzten Schriften identifizieren.
Wenn du nicht weißt, welche Schriften du aktuell eingebunden hast, gibt es mehrere Wege das rauszufinden. Das kommt daher, weil Google Fonts auf unterschiedlichen Wegen eingebunden werden können.
Wenn du ein Plugin extra zur Einbindung von Google Fonts hast, findest du die Schriftarten logischerweise in den Einstellungen des Plugins. In der Regel werden Schriften aber über Themes eingebunden.
Google Fonts lokal einbinden
Wenn Du Google Fonts nicht lokal auf Deinem Computer installierst, wird jedes Mal, wenn Du eine Seite mit Google Fonts aufrufst, eine Verbindung zu den Google-Servern hergestellt. Rechtlich gesehen benötigst Du hierfür die Einwilligung des Nutzers, um als Webseitenbetreiber DSGVO-konform zu agieren.
Wenn Du Dich nicht auf rechtlich unsicheres Terrain begeben möchtest, kannst Du Google Fonts lokal auf Deinem Computer installieren. Auf diese Weise werden die Schriften von Deinem eigenen Server geladen und nicht von den Google-Servern. Die Rechtsgrundlage hierfür könnte als “berechtigtes Interesse” ausgelegt werden, da keine Daten an Drittanbieter gesendet werden.
Allerdings birgt das Hosting der Fonts selbst auch Nachteile, wie längere Ladezeiten oder das Anzeigen von Texten mit einem Fallback-Font bis der Google Font geladen ist. Doch wir haben dafür das passende Webhosting, damit die Latenz so gering die möglich ist!