Logo LDI NRW

Erste Hilfe bei Google-Fonts

Erste Hilfe bei Google-Fonts

Google Fonts auf der eigenen Website zu nutzen, kann datenschutzrechtlich problematisch sein. Es drohen Abmahnungen und Maßnahmen von Datenschutz-Aufsichtsbehörden. Dabei gibt es einfache Lösungen.

Google Fonts bietet Websitebetreibern die Möglichkeit, Schriftarten auf der eigenen Website zu nutzen, ohne dass sie auf den eigenen Servern hochgeladen werden müssen. Setzen Websitebetreiber*innen Google-Fonts in dieser Form ein, werden beim Aufruf der Website durch die Nutzer*innen die Schriftarten über einen Google-Server nachgeladen. Dieser externe Aufruf bewirkt, dass jedenfalls die IP-Adressen der Nutzer*innen an Google Inc., USA, übertragen werden. Bereits Anfang des Jahres 2022 hatte das Landgericht München entschieden, dass diese automatisierte Weiterleitung der IP-Adressen ohne Zustimmung der Nutzer*innen gegen die Datenschutz-Grundverordnung verstößt (Az. 3 O 17493/20). Seitdem werden zahlreiche zivilrechtliche Abmahnungen an Websitebetreiber, die Google-Fonts verwenden, verschickt. Und immer wieder landen solche Verstöße zur Prüfung auch bei den Landesdatenschutzbehörden.

Abhilfe können die Websitebetreiber mit diesen Möglichkeiten leicht schaffen:

  • Systemschriften nutzen

Damit verzichten Websitebetreiber*innen darauf, die Schrift genau festzulegen, weil die Systemschrift der Nutzer*innen verwendet wird. Vorteil: schnellere Ladezeiten möglich, kein Datenschutz- oder Technikstress.

  • Fonts lokal speichern

Dabei werden Schriftarten vor dem Einbinden in die Websites lokal auf dem eigenen Server gespeichert. Von dort aus können die Schriften datenschutzkonform in die Webseite eingebunden werden.

Übrigens kommt auch eine Einwilligung für die Datenübermittlung in die USA in Frage (Art. 49 Abs. 1 Buchstabe a Datenschutz-Grundverordnung). Dieser Weg hat aber gleich mehrere Nachteile: Wird die Einwilligung nicht erteilt, müssen die Systemschrift oder lokale Fonts als Lösung angeboten werden. Die Einwilligung wird außerdem von vielen Datenschutzaufsichtsbehörden bei Datenverarbeitungen, die im Regelfall erfolgen, nicht anerkannt. Auch die Behörden, die eine Einwilligung grundsätzlich für möglich halten, weisen darauf hin, dass eine Einwilligung von ihnen nur anerkannt wird, wenn die vorherige Information ausreichend bestimmt ist und auf die Risiken konkret und umfangreich hinweist.