Datenschutzerklärung für Google Fonts

In diesem Beitrag erklären wir, was datenschutzrechtlich bei der Einbindung von Google Fonts (auch Google Web Fonts genannt) in eine Internetseite zu beachten ist.

Inhaltsverzeichnis

1. Was sind Google Fonts?
2. Wer ist der Betreiber von Google Fonts?
3. Welche Daten verarbeitet Google Fonts?
4. Rechtsgrundlage
5. Ist es erlaubt, Google Fonts in die Internetseite einzubinden?
6. Direkt zur Datenschutzerklärung für Google Fonts

Datenschutzerklärung für Google Fonts u.v.m.

Was sind Google Fonts?

Google Fonts ist ein Dienst von Google, der es Entwicklern und Webdesignern ermöglicht, eine Vielzahl von Schriftarten kostenlos zu nutzen.

Hier sind einige Schlüsselmerkmale von Google Fonts:

• Integration per API: Die Einbindung von Google Fonts in eine Webseite ist unkompliziert. Entwickler können den benötigten Code direkt von der Google Fonts Website kopieren und in das HTML-Gerüst ihrer Seiten einfügen, zum Beispiel in Gestalt eines Stylesheet-Links oder via @import. Bei Aufruf der Webseite wird die Schriftart binnen Sekundenbruchteilen von der Google Schnittstelle (API) geladen und ausgespielt.
• Lokale Integration: Neben den vorstehenden, dynamisch zuladenden Integrationsmöglichkeiten kann man die gewünschten Schriftarten auch von der Google Fonts Website herunterladen und erneut auf den Server des Websitebetreibers hochladen. Das ist etwas aufwändiger und weniger flexibel, ermöglicht es aber, die Schriftarten vom eigenen Server ausliefern zu lassen. Man spricht hier davon, die Google Fonts lokal zu hosten.

Wer ist der Betreiber der Google Fonts?

Im Fall von Google ist nicht eindeutig, wer im datenschutzrechtlichen Sinne als Betreiber anzusehen ist. Der Dienst wird betrieben von:

Google LLC
1600 Amphitheatre Parkway
Mountain View, California 94043
USA

speziell in Bezug auf Europa aber (auch) von der

Google Ireland Limited
Gordon House, Barrow Street
Dublin 4
Irland

Welche Daten verarbeitet Google Fonts?

Wenn Sie Google Fonts in Ihre Internetseite einbinden, werden nur dann personenbezogene Daten Ihrer Websitebesucher verarbeitet bei Integration per API. Dagegen werden bei lokaler Integration keine personenbezogenen Daten verarbeitet.

Welche Daten bei Integration von Google Fonts per API verarbeitet werden, ist unbekannt. Als gesichert gilt aber, dass unter anderem verarbeitet wird:

• IP-Adresse des Websitebesuchers
• Zeitstempel der Anfrage
• Angeforderte URL

Rechtsgrundlage

Um personenbezogene Daten verarbeiten zu dürfen, benötigt man als Websitebetreiber eine Erlaubnisgrundlage im Sinne von Artikel 6 DSGVO. Speichert man dabei Cookies im Browser der Besucher ab oder liest diese aus, ist das seit Geltung des TTDSG (neu: TDDDG) ohnehin nur noch mit Einwilligung des Besuchers zulässig (§ 25 Abs. 1 Satz 1 TDDDG).

Die Einbindung von Google Fonts auf der eigenen Internetseite per API kann nach unserer Einschätzung nicht über ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt werden. Sie benötigen von jedem Besucher der Website eine Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO). Diese Einwilligung muss eingeholt werden, bevor Google Fonts auf der Internetseite ausgeführt werden. Das geschieht am sinnvollsten mithilfe eine Consent Banners (auch „Cookie Banner“ genannt).

Ist es erlaubt, Google Fonts in die Internetseite einzubinden?

Es ist nicht abschließend geklärt, ob man den Dienst DSGVO-konform in eine Internetseite einbinden kann.

• Rechtlich kritisch ist allein die Integration von Google Fonts per API. Die lokale Integration von Google Fonts ist datenschutzrechtlich unbedenklich und damit die juristisch empfohlene Lösung. Mitunter kann es jedoch vorkommen, dass Dienste (z.B. Plugins) Google Fonts zuladen, ohne dass der Websitebetreiber in der Lage oder Willens ist, dies abzustellen – etwa wegen mangelnder Programmierkenntnisse.

• Problematisch ist, dass nicht öffentlich bekannt ist, welche personenbezogenen Daten der Dienst genau verarbeitet. Voraussetzung für eine DSGVO-konforme Einwilligung ist aber, dass diese in informierter Weise erfolgt, was nur der Fall ist, wenn der Websitebesucher weiß, welche personenbezogenen Daten verarbeitet werden.

• Nach unserer Einschätzung muss ein Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Anbieter abgeschlossen werden. Google bietet unserer Kenntnis nach jedoch keine Möglichkeit, einen AV-Vertrag für Google Fonts abzuschließen.

• Der Sitz des Anbieters befindet sich in den USA. Um personenbezogenen Daten aus der EU in ein Drittland senden zu dürfen, muss dort ein angemessenes Datenschutzniveau gewährleistet sein. Die EU-Kommission hat einen Angemessenheitsbeschluss gefasst, der die USA als ein sicheres Drittland einstuft (EU-U.S. Data Privacy Framework), ohne dass weitere angemessene Garantien wie z.B. Standardvertragsklauseln oder zusätzliche Maßnahmen erforderlich sind. Der Anbieter ist nach dem Data Privacy Framework zertifiziert.

• Holen Sie von jedem Websitebesucher vor Aktivierung des Dienstes eine Einwilligung ein. Der Besucher muss frei entscheiden können. Erteilt er keine Einwilligung, darf der Dienst auf Ihrer Website nicht aktiviert werden. Erlauben Sie Besuchern, ihre Einwilligung nachträglich zu widerrufen mit der Folge, dass der Dienst nicht weiter ausgeführt wird.

• Belehren Sie in der Datenschutzerklärung Ihrer Internetseite in einfacher und klar verständlicher Weise über die Nutzung des Dienstes. Dazu gehört:
  • in welchem Umfang personenbezogene Daten automatisiert verarbeitet werden,
  • auf welche Rechtsgrundlage Sie sich für die Verarbeitung personenbezogener Daten stützen (Katalog des Art. 6 Abs. 1 DSGVO),
  • zu welchem Zweck sie den Dienst einsetzen,
  • die Dauer der Speicherung von personenbezogenen Daten,
  • wie Websitebesucher einer Verarbeitung ihrer personenbezogenen Daten widersprechen können,
  • ggf.: Information über den Abschluss eines AV-Vertrags.

Direkt zur Datenschutzerklärung für Google Fonts