Google Fonts ist eine von Google im Jahr 2010 eingerichtete Schriftarten-Bibliothek, die direkt in eine Website integriert werden kann. Da Google Fonts unter der SIL Open Font License veröffentlicht werden, können diese nach Belieben verwendet, kopiert oder verändert werden. Aber warum brauche ich sowas? Nun ja, tatsächlich muss man an dieser Stelle unterscheiden, ob die Google Fonts über die Google-Server oder lokal auf meiner eigenen Seite liegen. Grundsätzlich bietet die Google-Font-Bibliothek tausende von Schriftarten, die man für die Erstellung einer Website nutzen kann. Der große Vorteil der Integration der Fonts über die Google-Server ist zum einen die Geschwindigkeit, aber auch die Simplizität. So muss in den meisten CMS-Systemen einfach nur die gewünschte Schrift ausgewählt werden. Das CMS-System bindet diese Schrift dann direkt von den Google-Servern ein. Das bedeutet, wenn meine Seite aufgerufen wird, kommen die Informationen, wie der Text auf meiner Seite dargestellt werden soll, nicht mehr von meiner Webseite, sondern direkt von Google, wodurch auch der Performance-Vorteil zu erklären ist.
Möchte ich die Schriftarten lokal nutzen, so muss ich jede einzelne Schrift händisch aus der Google-Fonts Bibliothek herunterladen und auf meiner Webseite hochladen.
Warum wird aktuell so viel darüber berichtet?
Warum ist der Begriff Google Fonts aktuell in aller Munde? Ganz einfach: Geld!
Denn wie wir es schon oft im Internet erlebt haben, gibt es zu diesem Thema eine große Abmahnwelle. Eine Person/ein Unternehmen macht damit Kasse, Webseiten, auf denen die Google Fonts extern eingebunden sind, ausfindig zu machen und in Zusammenarbeit mit einer Anwaltskanzlei diese abzumahnen. Natürlich trifft diese Abmahnwelle mal wieder den Mittelstand und kleine Unternehmen, da diese oft bereit sind, die Gebühr, in diesem Fall 170 €, einfach zu bezahlen, anstatt das Ganze gerichtlich auszufechten. Die Chancen der Betroffenen wären gar nicht so schlecht.
Weitere rechtliche Einschätzungen sind auf der Seite von E-Recht24 gut beschrieben:
Achtung Abmahnung: Prüfen Sie jetzt die Einbindung von Google Fonts
Warum ist die Einbindung von Google Fonts ein Problem?
Sind die Schriftarten extern von Google Servern eingebunden, baut der PC des Besuchers meiner Seite automatisch eine Verbindung zu Google auf. Im Rahmen dieses Verbindungsaufbaus wird auch die IP-Adresse des Besuchers an die Google Server übermittelt. Das verstößt, zumindest aus der Sicht des LG Münchens I gegen den §823 Abs. 1 BGB für die informationelle Selbstbestimmung. So ist das automatische Verbinden und Übertragen der IP-Adresse ein Kontrollverlust über die personenbezogenen Daten, denn meist wird keine Einwilligung des Besuchers eingeholt, bevor die Verbindung aufgebaut wird. Somit verstößt man nicht nur gegen das BGB, sondern auch gegen Art. 6 Abs. 1 lit. a der DSGVO, da es keine oder eine fehlerhafte Einwilligung gibt, die das Übertragen von personenbezogenen Daten in ein Nicht-EU-Land rechtfertigt.
Ist auf meiner Website Google Fonts eingebunden?
Diese Frage ist aus meiner Sicht schwierig mit Ja oder Nein zu beantworten.
Es gibt mittlerweile diverse Online-Tools, um meine Webseite auf Google Fonts zu prüfen, doch Vorsicht: die meisten Scanner scannen nur exakt die Seite, die du in dem Suchfeld eingibst. Sämtliche Unterseiten sind mehrheitlich nicht enthalten und oft sind die Fonts nicht auf allen Seiten eingebunden. So kann deine Startseite zum Beispiel sauber sein, doch da du auf deiner Kontakt-Seite eine Google Map oder ein Google ReCaptcha nutzt, werden dort Google Fonts verwendet. Denn: Nur weil du die Google Fonts lokal installiert hast, hindert das nicht eine Drittanbieter-Software, wie zum Beispiel diverse WordPress-Plugins, daran, die Fonts in deine Seite einzubinden. Das ist in der Tat gängige Praxis, da viele Plugins für diverse CMS-Systeme außerhalb der EU programmiert werden und die Hersteller sich somit keine Gedanken darüber machen, dass das aus Datenschutz-Sicht ein Problem darstellt.
Was kann ich tun, wenn auf meiner Seite Google Fonts eingebunden sind?
Findet nun eines der vielen Tools Google Fonts auf meiner Seite, muss ich mir zunächst anschauen, welche Software diese Fonts lädt. Ist es mein eigenes Theme, ein installiertes Plugin, ein iFrame von einer anderen Website oder auch nur die Google Map, die ich auf meiner Kontakt-Seite eingebunden habe. Wenn die Fonts aus dem Theme stammen, müssen die verwendeten Schriften zunächst heruntergeladen und dann beispielsweise in der CSS-Datei des Themes eingebunden werden. Vergiss nicht, die Verwendung der Google Fonts im Theme zu deaktivieren, sonst werden diese weiterhin geladen.
Es gibt auch Plugins wie zum Beispiel den Borlabs Font Blocker, welcher die Google Fonts aus vielen Themes und Plugins automatisch entfernt.
Für Fonts, die zum Beispiel von Google Maps geladen werden, hilft meistens nur die Verwendung in der Cookie-Einwilligung erlauben zu lassen. Dann habe ich eine saubere Einwilligung des Nutzers, dass eine Verbindung zu Google hergestellt werden kann.
Ein gutes WordPress-Plugin für die Cookie-Einwilligung ist zum Beispiel Borlabs-Cookie.
Was sagt der Datenschutz dazu?
Grundsätzlich ist es immer problematisch, Inhalte auf einer Webseite darzustellen, die nicht direkt von meiner Webseite ausgeliefert werden. Wenn diese externen Quellen in der Einwilligung abgefragt werden, ist die Einbindung aber möglich. Schwierig wird es immer dann, wenn die Inhalte von nicht-EU Unternehmen bereitgestellt werden, denn diese werden in der DSGVO als hohes Risiko eingestuft.
Als Faustregel kann man sich also merken: Du solltest ohne Einwilligung des Besuchers nur Inhalte von deiner eigenen Webseite laden. Verwende nur externe Inhalte, wenn dein Besucher explizit dazu einwilligt.
Persönliche Meinung
“Unwissenheit schützt vor Strafe nicht!” Ist bestimmt ein Satz, der den Personen durch den Kopf ging, die die Abmahnungen zu verantworten haben. Man sollte sich fragen, ob aktuell ein guter Zeitpunkt ist, sich an der Unwissenheit anderer zu bereichern. Außerdem ist es aus meiner Sicht nicht ganz nachvollziehbar, warum eine IP-Adresse als personenbezogene Daten gilt. Die meisten Router führen jede Nacht einen Reset durch, wodurch das Gerät täglich eine neue IP-Adresse erhält. Im Mobilfunknetz haben oft mehrere Geräte gleichzeitig die gleiche IP-Adresse und um zu der IP-Adresse einen Namen zu bekommen, ist es notwendig, an den Provider heranzutreten. Somit ist aus meiner Sicht eine IP-Adresse zumindest pseudonymisiert und sollte aus meiner Sicht nicht als personenbezogene Daten behandelt werden. Die Übermittlung der IP-Adresse ist für viele Anwendungen einfach technisch notwendig und lässt sich meist nicht anders lösen.
Es sollte zumindest noch einmal ausführlich diskutiert werden, ob man an dieser Stelle die rechtlichen Schrauben ein wenig lockert.
Du hast weitere Fragen oder brauchst Hilfe rund um das Thema externe Inhalte, Google Fonts und Einwilligung?
Dann schreib mir doch eine Nachricht: