Google Fonts stellt Webseitenbetreibern eine große Auswahl kostenlos nutzbarer Schriftarten zur Verfügung. Die Fonts können entweder lokal auf dem eigenen Webserver gespeichert oder dynamisch über Server von Google eingebunden werden. Genau an dieser technischen Unterscheidung knüpfen die datenschutzrechtlichen Probleme an.
Problematisch ist insbesondere die dynamische Einbindung der Google Fonts.
Bei der dynamischen Einbindung werden die Schriftarten nicht auf dem eigenen Server gespeichert, sondern beim Besuch der Webseite direkt von Google-Servern nachgeladen. Dabei wird automatisch die IP-Adresse des Webseitenbesuchers an Google übertragen. Je nach Konfiguration können zudem weitere personenbezogene Daten verarbeitet werden.
Datenschutzrechtlich ist dies deshalb kritisch, weil die Datenübertragung regelmäßig in die USA erfolgt. Seit der sogenannten Schrems-II-Urteil Entscheidung des Europäischen Gerichtshofs gilt ein Datentransfer in die USA nicht mehr ohne Weiteres als datenschutzrechtlich sicher. Hintergrund ist insbesondere, dass US-Behörden unter bestimmten Voraussetzungen Zugriff auf personenbezogene Daten erhalten können, ohne dass Betroffene vergleichbare Rechtsschutzmöglichkeiten wie innerhalb der Europäischen Union haben.
Die Folge: Werden Google Fonts dynamisch eingebunden, ist hierfür grundsätzlich eine vorherige Einwilligung der Nutzer erforderlich – etwa über ein Consent-Banner.
Dynamische Einbindung ohne Einwilligung kann abmahnbar sein
Besondere Aufmerksamkeit erhielt das Thema durch das Urteil des Landgericht München I vom 20. Januar 2022. Das Gericht entschied, dass die dynamische Einbindung von Google Fonts ohne Einwilligung gegen Datenschutzrecht verstoßen kann, wenn dabei personenbezogene Daten wie die IP-Adresse an Google übertragen werden.
Das berechtigte Interesse des Webseitenbetreibers reicht nach dieser Rechtsprechung allein nicht aus, um die Datenübertragung zu rechtfertigen. Webseitenbetreiber müssen daher nicht nur transparent in ihrer Datenschutzerklärung über die Datenverarbeitung informieren, sondern regelmäßig auch eine aktive Einwilligung der Nutzer einholen.
Lokale Einbindung als datenschutzfreundliche Lösung
Deutlich weniger problematisch ist die lokale Einbindung der Schriftarten.
Dabei werden die Google Fonts direkt auf dem eigenen Server gespeichert. Die Schriftarten werden dann beim Aufruf der Webseite nicht mehr von Google geladen. In der Regel findet dadurch keine Übertragung personenbezogener Daten an Google statt.
Aus datenschutzrechtlicher Sicht gilt die lokale Einbindung daher grundsätzlich als die sicherere und praktikablere Lösung. Dennoch sollten Webseitenbetreiber auch hierbei die jeweiligen Lizenzbedingungen sorgfältig prüfen.
Wer trägt die Verantwortung?
Für die datenschutzkonforme Gestaltung einer Webseite ist stets der jeweilige Webseitenbetreiber verantwortlich – nicht Google.
Webseitenbetreiber müssen daher prüfen:
- welche Dienste auf ihrer Webseite eingebunden sind,
- ob personenbezogene Daten verarbeitet werden,
- ob hierfür eine Einwilligung erforderlich ist und
- ob die Datenschutzerklärung vollständig und aktuell ist.
Gerade bei extern eingebundenen Diensten wird häufig unterschätzt, wie schnell datenschutzrechtliche Risiken entstehen können.
Muss künftig häufiger mit Abmahnungen gerechnet werden?
Das Datenschutzrecht und insbesondere die Datenschutz-Grundverordnung entwickeln sich weiterhin stark durch Gerichtsentscheidungen und behördliche Vorgaben. Viele Rechtsfragen sind noch nicht abschließend geklärt.
Fest steht jedoch: Webseitenbetreiber sollten ihre Webseite regelmäßig technisch und rechtlich überprüfen lassen. Werden externe Dienste wie Google Fonts datenschutzwidrig eingebunden oder Datenschutzhinweise fehlerhaft umgesetzt, können Abmahnungen, Schadensersatzforderungen oder Beschwerden bei Datenschutzbehörden drohen.
Wer bereits eine Abmahnung erhalten hat, sollte diese rechtlich prüfen lassen und nicht vorschnell reagieren. Entscheidend ist immer der konkrete Einzelfall sowie die technische Umsetzung der Webseite.
