Lesefortschritt:

Wpress-Mechanikerin    &
zertifizierte Datenschutzbeauftragte

Der Blog

Und wenn du mal nicht weiter kommst:

Sind Google-Fonts DSGVO-konform?

DSGVO, Allgemein

Google-Fonts sind Webfonts, die von Google kostenfrei angeboten werden.
Webfonts werden eingesetzt, um einer Website eine ganz persönliche Note zu geben.
Denn nichts wäre langweiliger, als wenn alle Websites dieser Welt ein-und-dieselbe Schrift verwenden würden.

In so ziemlich jedem WordPress-Theme ist deshalb eine Schnittstelle zum kostenlosen Schrift-Pool von Google enthalten.
Das macht die Gestaltung sowohl für die Selbermacherin, aber auch für die Webdesignerin herrlich einfach:

Einfach im Pull-down die gewünschte Google Font auswählen, dem Text / der Textart zuweisen, fertig.

Sind Google-Fonts DSGVO-konform? – Eher nicht.
Warum ich das so sehe, möchte ich dir jetzt erklären.
Beginnen wir zunächst mit ein paar grundsätzlichen Infos.

Was genau sind Webfonts?

Webfonts sind Schriften im speziellen Format, sodass sie auf Website integriert und von allen gängigen Browsern dargestellt werden können. Speziell insofern, als dass nicht jede Schrift tatsächlich web-geeignet ist.

Ist wie mit Herden und Töpfen.
Nicht jeder Topf ist für den Betrieb auf einem Induktionsherd geeignet.
→ Nicht jede Schrift ist für die Verwendung im Web geeignet.

Die bekanntesten Dateiformate sind .woff, .ttf und .otf.

Es gibt viele Anbieter, die Schriften (teilweise kostenlos) zur Verfügung stellen, wie eben z. B. Google.

Google bietet zur Vereinfachung deines Workflows an, die Schriften auf Google-eigenen Servern zu hosten und die Anzeige der Schrift in der Website über eine API-Schnittstelle zu ermöglichen.

So ziemlich jedes WordPress-Theme hat diese Schnittstelle integriert, mit dem Ziel, dass die Gestaltung der Website mit eben diesem Theme vereinfacht wird.

An sich sehr praktisch, weil, wie eingangs beschrieben: Schrift im Pull-down auswählen – fertig.
Es ist sooo easy und damit so verlockend.

Wie funktionieren Google-Fonts?

Die Schriften liegen auf Servern von Google.
Die Website liegt auf dem Hosting des Website-Betreibers.
Der Website-Besucher ruft auf seinem Gerät nun die Website auf und stellt damit eine “zeig mal her”-Anfrage bei den Servern des Website-Hosters.
Die Server senden die Dateien zur Darstellung der Website an den Browser des Besuchers.
Das ist wie ein Telefonat:

  1. Besucher-Browser ruft beim Server an und will die Infos zur Anzeige der Website haben.
  2. Der Server ruft zurück und recht die Infos (Bilder, Texte, Anweisung zur Anordnung der Inhalte) rüber.
  3. Der Browser setzt die Infos zu einer betrachtbaren Website zusammen.

Werden nun aber Schriften von Google-Servern auf der Website eingebunden, wird um 3 Ecken telefoniert.

  1. Besucher-Browser ruft beim Server an und will die Infos zur Anzeige der Website haben.
  2. Der Server ruft zurück und reicht die Infos, die er selber hat, rüber.
  3. Gleichzeitig ruft (mithilfe der API) der Server bei Google an, und bestellt die Schrift-Dateien und gibt dabei die Anschlussnummer des Browsers für die direkte Lieferung durch.
  4. Google hat damit die Anschlussnummer des Browsers – ergo: Die IP-Adresse des Besuchers – und ruft den Anschluss des Browsers an um die Schriften durchzugeben.
  5. Nun setzt der Browser die Infos (vom Hosting: Bilder, Texte, Anweisung zur Anordnung der Inhalte; von Google: Schriften) zusammen und zeigt dem Besucher die Website an.
    Das geschieht alles quasi zeitgleich.

Also: Die Schrift liegt nicht mit der Website zusammen auf den Servern des Hostings, sondern wird von extern eingebunden.
Damit zählen Google-Fonts zu “Embeddings”.

Warum ist das nun aus Datenschutzsicht ein Problem?

Das ganze Problem ist dieses hier:

Google hat damit die Anschlussnummer des Browsers – ergo: die IP-Adresse des Besuchers.

Und warum ist das nun so kritisch?
Weil die IP-Adresse (Anschlussnummer des Browsers) ein personenbezogenes Datum ist.

Gemeinsam mit dem Zeitstempel und dem Anfragen-Weiterleiter (die besuchte Website), weiß Google nun mindestens, dass über den Anschluss x um y Uhr die Unterseite z von Website A besucht wurde.

Zudem weiß niemand so wirklich, welche Daten mithilfe der API noch übermittelt werden.
Möglich wären ganze Browser-Verläufe, wodurch sich ein sehr konkretes Profil vom Besucher erstellen ließe.

Die Weitergabe von personenbezogenen Daten an Dritte darf in der Regel aber nur mit Einwilligung der betroffenen Person (in diesem Fall also des Besuchers) erfolgen.
Ausnahme kann sein, wenn ein berechtigtes Interesse des Anbieters besteht und der Interessenabwägung standhält.

Das Problem mit der Einwilligung bei der Nutzung von Google-Fonts

Eine Einwilligung muss bestimmte Kriterien erfüllen, damit sie wirksam ist.

Der Ablauf ist ganz grob dargestellt folgender:

Informieren und fragen: Ich möchte x tun, dabei findet y statt. Darf ich?
Antwort-Möglichkeit I: Die Betroffene Person willigt ein. Alles ist erstmal gut.
Antwort-Möglichkeit II: Die Person verneint. Dann darf x und y auch nicht stattfinden.
Antwort-Möglichkeit III: Die Person überlegt es sich nach einem “ja” anders. Dann muss ab diesen Zeitpunkt x und y unterlassen werden.

Das Problem ist: Wie, bitte, soll das mit Schriften umgesetzt werden?
Und wenn es einfach möglich wäre (was es nicht ist), welche Schrift sollte bei einem “nein” stattdessen angezeigt werden?

Das Problem mit dem berechtigten Interesse

Der Website-Betreiber hat durchaus ein Interesse daran, dass seine Website mit einer individuell gewählten Schrift dargestellt wird.

Insbesondere im schnelllebigen Internet muss mit visuellen Eindrücken binnen Sekundenbruchteilen überzeugt werden – sonst ist der Besucher weg und weiß noch nicht mal was er verpasst.

Um die Erlaubnisgrundlage “Berechtigtes Interesse” wirksam nutzen zu können, muss aber eine Interessenabwägung stattfinden:

Was sind deine Interessen als Website-Betreiber? VS. Was sind die Schutzinteressen der Besucher?

Und diese Abwägung muss fair geschehen!
Was schwieriger ist, wenn du bei der inneren Diskussion gegen dich selbst argumentieren sollst, wo du doch unbedingt diese Schrift einsetzen möchtest.

Und selbst wenn du wirklich überzeugende (nicht für dich, sondern im dümmsten Fall für den Richter!) Argumente gefunden hast:
Beim berechtigten Interesse hat die Betroffene Person immer das Recht zu widersprechen!

Und dann wären wir wieder beim Problem, wie möchtest du im Falle eines erfolgreichen Widerspruchs umsetzen, dass die Schrift dann nicht von Google geliefert wird?

Ja und nun? Sind Google-Fonts DSGVO-konform?

Aber fast alle Datenschutzerklärung-Generatoren bieten einen Abschnitt zu Webfonts an.
Kann so dramatisch dann also nicht sein! – Oder?
Immerhin informierst du dann zumindest über die Schriften, plänkelst etwas von deinem Interesse und gut ist. – Oder?

Vielleicht!

Zum aktuellen Zeitpunkt (also jetzt gerade, wo ich hier sitze und tippe) gibt es noch kein Urteil zu diesem speziellen Thema.
Auch dass die Datenschutzbehörden in diesem Punkt schon mit Sanktionen durchgegriffen hätten, ist mir nicht bekannt.

Aber:
Möchtest du im Zweifelsfall die erste Person sein, die’s “erwischt”, vielleicht nur, weil jemand, der dir nicht wohlgesonnen ist, dich angeschwärzt hat?

Oder: Wenn dann ein Urteil kommt oder die Behörden in diesem Punkt aktiv werden, möchtest du dann in Hektik ausbrechen, nur um schnell-schnell das sinkende Schiffe zu verl… Ich meine, nur um dann “schnell” das Schriften-Problem zu beheben?

Ich denke nicht.

Noch ein Grund, auf Google-Fonts zu verzichten

Datenschutz ist ja so eine zweischneidige Sache.
Wenn es um die eigenen Daten geht, sind mittlerweile sehr viele Menschen sehr sensibilisiert und möchte nicht, das irgendwie mit ihren Daten umgegangen wird.

Auf der anderen Seiten sind (teilweise dieselben Menschen) genervt davon, einen zeitlichen und teils finanziellen Aufwand zu betreiben, um eigene Prozesse datenschutzfreundlicher zu gestalten.
Es wird zu einem lästigen und aufgezwungenen Übel.

Wie wäre es aber mit der Sichtweise, dass du deinem Besucher Respekt zeigst, indem du – auch bei der Schrift-Frage – umsichtig und zurückhaltend mit seinen persönlichen Daten umgehst?

Datenschutz ist nicht nur eine Frage der gesetzlichen Vorgaben, sondern auch eine Frage des Respekts im Umgang mit anderen Menschen.

Der DSGVO-sichere Weg, die Wunsch-Schrift einzusetzen, ist meist gar nicht so aufwendig und kompliziert

Schriften lassen sich in der Regel recht einfach lokal auf der Website installieren und der ganze Datentransfer wird somit unnötig.
Zugegeben: Das klappt nicht mit jedem Theme und jedem Plugin – das sollte also ggf. mit ein Kriterium bei der Auswahl dieser Tools sein.

Der Dialog des Website-Aufrufs wäre bei lokal installierten Schriften:

  1. Browser an Website-Server: “Gib mal die Über-mich-Seite.”
  2. Website-Server an Browser: “Hier, bitteschön.”

Kein Trara mit Daten-Hin-Und-Her-Schieberei. Kein Kummer mit der DSGVO.
Alle sind glücklich.

p

Werbelinks

Mit * markierte Links sind Werbelinks. D.h. ich bekomme eine kleine Provision, wenn du über so einen Empfehlungslink einen Kauf tätigst. Für dich ändert sich dadurch am Preis natürlich nichts! Ich empfehle ausschließlich nur, wovon ich auch wirklich überzeugt bin!

Anita Leverenz | Wpress-Mechanikerin und zert. DSB

Anita Leverenz

Wpress-Mechanikerin & zert. Datenschutzbeauftragte

Ich bin begeistert von WordPress-Technik und DSGVO. Klingt schräg? – Ist aber so!

Wenn du Unterstützung suchst, bist du bei mir genau richtig. Schreib mir einfach oder buche direkt einen Termin mit mir.

Workbook Cookies-Grundrezept

Das Cookie-Grundrezept

Workbook für Webdesignerinnen & VAs

Erhalte einen umfangreichen Überblick, was du alles zum Thema Cookies in deinen Kundenprojekten beachten solltest.

→ 45 Seiten geballtes Wissen, Tipps und gute Laune

2 Kommentare

  1. Liebe Anita,
    was wäre denn die Alternative zu Google-Fonts?
    L.G. Maureen
    P.S. Deine Webseite ist der Hammer! So liebevoll gestaltet und klar strukturiet.

    Antworten
    • Liebe Maureen,
      vielen Dank für das Lob zur Website! Das freut mich ungemein 🙂

      Zu deiner Frage:
      Die Alternative wäre, die gewünschten Schriften lokal auf der Website zu installieren.

      Liebe Grüße
      Anita

      Antworten

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutzhinweise:
Wenn du die Kommentarfunktion verwendest, wird neben den Daten, die du eingibst, aus Sicherheitsgründen auch für 60 Tage deine IP-Adresse gespeichert. Deine E-Mail-Adresse wird nicht veröffentlicht. Weitere Informationen über die Datenspeicherung und -Verarbeitung findest du in meiner Datenschutzerklärung.

Anita Leverenz – Wpress-Mechanikerin