Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

03. November 2022

Google Fonts datenschutzkonform nutzen

Es geht auf Websites auch ohne Google Fonts - und damit ohne Schadensersatz-Risiko
Bild: iStock.com / Mykyta-Dolmatov
4,60 (5)
Inhalte in diesem Beitrag
Online-Datenschutz
Viele Websites binden Schriftarten von Google-Servern ein, um Texte darzustellen. Aus dieser Nutzungsart der Schriften entstehen Datenschutzprobleme, die sogar zum Schadenersatz für Website-Besucher führen können. Glücklicherweise lassen sie sich vermeiden.

Google Fonts sind eine beliebte Sammlung von Schriftarten für Webseiten und Apps. Ein Urteil des Landgerichts München sorgte am 20.01.2022 (Az.: 3 O 17493/20) für Aufsehen: Das Gericht untersagte dem Betreiber einer Website den weiteren Einsatz von Google-Schriften, wie die Google Fonts auch genannt werden. Zusätzlich sprach das Gericht dem Kläger, einer Privatperson, einen Schadenersatz von 100 Euro zu, weil dessen Persönlichkeitsrechte verletzt wurden. Das Urteil ist rechtskräftig – und Grundlage einer aktuell laufenden Welle von Schadensersatzforderungen.

Was sind Google Fonts?

Was sind Google Fonts eigentlich? Viele meinen, es handele sich um Schriften, die der Google-Konzern erstellt und bereitstellt. Richtig ist, dass zahlreiche unabhängige Designer auf der ganzen Welt Schriftarten entwickeln. Google stellt für diese Designer lediglich eine Infrastruktur bereit, auf die sie die Schriftdateien, die sie entwickelt haben, hochladen können. Die Designer sind üblicherweise nicht bei Google angestellt und stehen auch nicht bei Google unter Vertrag.

Google bietet darüber hinaus dem Betreiber einer Website als Verwender der Schriften die komfortable Möglichkeit, nach Schriftarten zu suchen und die zugehörigen Dateien auf der eigenen Website einzubinden. Die Einbindung findet so statt, dass die Dateien für die jeweilige Schriftart von Google-Servern abgerufen werden. Dieser Abruf von Google-Servern ist das Hauptmerkmal von Google Fonts und deren eigentlicher Namensgeber.

Was ist das Problem bei Google Fonts?

Wie das Gericht aus München zutreffend feststellte, überträgt eine Website, die die Fonts von Google-Servern einsetzt, personenbezogene Daten von Webseiten-Besucherinnen und -Besuchern an Google. Konkret handelt es sich mindestens um die Netzwerkadresse, die auch als IP-Adresse bezeichnet wird. Das Gericht sah sogar die dynamische IP-Adresse als schützenswert an und folgte damit der Rechtsprechung des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2016 und des Bundesgerichtshofs (BGH) aus 2017.

Kein angemessenes Datenschutzniveau

Google wiederum ist bekanntermaßen ein amerikanisch geführtes Unternehmen. Die Überwachungsgesetze in den USA führen dazu, dass dort ein Datenschutzniveau herrscht, das den Anforderungen der Datenschutz-Grundverordnung (DSGVO) nicht genügt. Das stellte auch der EuGH in seiner Schrems-II-Entscheidung fest. Den Privacy Shield, das informelle Datenschutzabkommen zwischen Europa und den USA, erklärte es damit für ungültig.

Einwilligung für Google Fonts nötig

Um Google Fonts rechtmäßig nutzen zu können, wäre eine Einwilligung durch den Besucher der Website notwendig. Schriften erst nach Einwilligung zu nutzen, klingt praxisfern. Zudem stellt sich die Frage, ob sich eine solche Einwilligung im Fall der USA und von Google überhaupt rechtswirksam einholen ließe.

Ein weiteres Problem, das das Gericht gar nicht thematisieren musste, ist das fehlende berechtigte Interesse, Google Fonts einzubinden. Gleich mehrere Gründe sprechen dagegen, dass ein solches berechtigtes Interesse vorliegt (Genaueres in einer Untersuchung des Autors unter https://dr-dsgvo.de/google-schriften-auf-websites-nur-mit-einwilligung/):

  • So gibt es ein milderes Mittel, das das Problem löst (siehe unten).
  • Weiterhin bietet Google keine geeigneten Garantien, dass es die erhaltenen personenbezogenen Daten gemäß DSGVO verarbeitet. Vielmehr erklärt Google in seinen Datenschutzhinweisen, dass es die Daten, die es über die Google-Dienste erhebt, für eigene Zwecke verwendet. Diese Zwecke umfassen auch personalisierte Werbung.

Was ist die Lösung für Google Fonts?

Die Schriften, die Google auf seiner Plattform bereitstellt, unterliegen einer sehr liberalen Lizenz namens SIL Open Font License. Diese Lizenz erlaubt die freie Nutzung der Schriften, selbst für kommerzielle Zwecke. So steht es auch auf der Google-Fonts-Plattform.

Schriften für Webseiten oder Apps sind nichts anderes als Dateien, die definieren, wie jeder einzelne Buchstabe einer Schrift aussieht. Und Dateien lassen sich herunterladen. Aus technischer Sicht handelt es sich zunächst um eine sogenannte Layout-Datei (CSS-Datei). Diese Layout-Datei enthält pro Schriftart und Variante einen Verweis auf eine Binärdatei, die die eigentliche Schriftendefinition enthält.

Dateien herunterladen und vom eigenen Webserver laden

Sowohl Layout-Datei als auch Binärdateien lassen sich herunterladen. Besonders einfach geht das mit einem Tool wie dem Google Webfonts Helper (https://ogy.de/webfonts-helper). Bevor Sie oder die Kollegen von der IT dieses Tool aufrufen, ist es empfehlenswert, einen Werbeblocker wie uBlock (https://ublock.org/) als Plug-in im Browser zu installieren. So gibt die Webseite keine Daten unerwünscht an Google weiter. Eine typische Layout-Datei für Schriften könnte so aussehen:

@font-face {

font-family: ‚Montserrat‘;

src: url(/fonts/montserrat.woff2) format(‚woff2‘);

}

Diese Angaben besagen, dass eine Website die Schriftart Montserrat laden soll. Die eigentliche Schriftartdefinition befindet sich in der Datei montserrat.woff2 im Unterordner fonts. WOFF2 steht für Web Open Font Format (Version 2.0), also für ein offenes Schriftenformat für das Internet. Der Inhalt der Datei ist hier nicht darstellbar, weil es sich um Binärdaten handelt. Die Datei definiert das Aussehen der Schriftart samt unterstütztem Alphabet.

Diese Layout-Datei lädt die Schrift von einer Datei, die auf dem eigenen Webserver („url“) liegt. Würde die Schrift von einer Adresse wie fonts.googleapis.com geladen, wäre es ein Google Font.

Vorsicht bei Plug-ins

Manche Plug-ins laden Google-Schriften nach. Stammen diese Plug-ins nicht von Google, gilt es, das Plug-in mindestens wegen des Google-Font-Anteils erst nach einer Einwilligung zu laden oder durch eine Alternative zu ersetzen. Prüfen Sie Google-Plug-ins generell kritisch (Unternehmen aus den USA; oft werden technisch nicht notwendige Cookies eingesetzt; fragwürdige Datenverarbeitung).

In Content-Management-Systemen (CMS) wie WordPress lassen sich unterschiedliche Designs auswählen. Einige dieser Designs binden Google Fonts ein. Mithilfe des WordPress-Theme-Editors kann ein Webentwickler ein Design so anpassen, dass WordPress die Schriften vom eigenen Webserver lädt.

Praxis-Tipp

Die Datenschutzprobleme mit Google Fonts lassen sich also leicht vermeiden. Raten Sie dazu, die Schriftartdateien herunterzuladen und vom eigenen Webserver in die Website einzubinden. Ein Datenschutztext erübrigt sich bei derart eingebundenen Schriften. Empfehlen Sie darüber hinaus, Plug-ins, die Google-Schriften nachladen, zu vermeiden und nach Möglichkeit durch datenschutzfreundliche Alternativen zu ersetzen.

Dr. Klaus Meffert

Dr. Klaus Meffert
Verfasst von
Dr. Klaus Meffert
Dr. Klaus Meffert
Dr. Klaus Meffert ist Diplom-Informatiker und seit 30 Jahren in der IT-Beratung und Software-Entwicklung tätig. Kunden wie T-Systems, Fresenius und SAP begleitete er über viele Jahre. Seit 2017 ist er im digitalen Datenschutz tätig und berät Datenschutzbeauftragte, Internet-Agenturen sowie Endkunden.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.