Ein gemeinsamer Beitrag von Elisa Drescher & Ramona Wöpe
Google Fonts lokal einbinden
Was hat die DSGVO mit den Google Fonts zu tun?
Die Google Fonts, die es mittlerweile seit etwa 20 Jahren gibt, sind kostenfrei. Ein umfangreiches Portfolio an Schriftarten steht uns zur Verfügung, um unsere Webseiten und andere digitalen Dokumente ansprechend zu gestalten. Der Vorteil besteht vor allem darin, dass diese Schriftarten bereits für Suchmaschinen optimiert sind und damit die Webseiten schneller machen.
Doch wo besteht nun das Problem aus Sicht der DSGVO?
Beim Laden der Website, auf der Google Fonts verwendet werden, wird eine Verbindung zu den Google-Servern in den USA aufgebaut. Über diese Verbindung werden Informationen zur einheitlichen Darstellung an Google übermittelt. Dabei handelt es sich nicht nur um
Geräteinformationen, sondern auch um IP-Adressen der Nutzer. IP-Adressen sind personenbezogene Daten und unterliegen daher den Anforderungen der DSGVO.
Google Fonts lokal einbinden
Auf welcher rechtlichen Basis dürfen Google Fonts eingebunden werden?
Das Grundrecht auf informationelle Selbstbestimmung bedeutet, dass jeder Eingriff in das Grundrecht gesetzlich erlaubt sein muss. Deswegen muss für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage nach der DSGVO bzw. nationalen Gesetzen vorliegen. Also auch für die Übermittlung der IP-Adresse an Google Server bei der Einbindung von Google Fonts.
Im Urteil vom Januar 2021 des LG München wurde für Datenübermittlungen der IP-Adresse an Google festgestellt, dass diese nicht auf Basis des sog. berechtigten Interesses erfolgen darf (Art. 6 Abs. 1 lit. f) DSGVO). Warum? Weil die Einbindung von Google Fonts auch direkt erfolgen kann, siehe mehr dazu unter unserem Lösungsvorschlag.
Da das berechtigte Interesse ausscheidet, verbliebe aus Sicht der DSGVO nur mehr die Einwilligung (Art. 6 Abs. 1 lit. a) in Verbindung mit Art. 49 Abs. 1 lit. a) DSGVO.
Doch da sitzt der Hase im Pfeffer: Denn die Übermittlung der Daten erfolgt bereits direkt beim Aufrufen der Website. Die Einwilligung müsste also bereits vorher eingeholt werden. Eine weitere Schwierigkeit besteht darin, dass Google keine für diesen Zweck ausreichenden Informationen darüber bereitstellt, wie lange die Daten zum Beispiel gespeichert und welche Daten zu welchem Zweck übermittelt werden.
Die Lösung: Google Fonts lokal einbinden
Die Lösung besteht in der folgenden Vorgehensweise: Die Google Fonts können heruntergeladen und anschließend lokal im Theme eingebunden werden. Damit ist es nicht mehr erforderlich, eine Verbindung zu Google-Servern in den USA aufzubauen und die datenschutzrechtlichen Probleme stellen sich nicht mehr. Und: Diese Vorgehensweise erfordert auch keine Einwilligung der Nutzer.
Nachteile
- Das lokale Einbinden der Google Fonts beeinträchtigt die Ladezeiten der Website.
- Die Aktualisierung der Schriftarten muss manuell vorgenommen werden.
Google Fonts lokal einbinden
Worin liegt aus Sicht der DSGVO das Problem, wenn personenbezogene Daten in die USA übermittelt werden?
16. Juli 2020 – Das Privacy Shield Abkommen zwischen der EU und den USA wurde vom Europäischen Gerichtshof mit sofortiger Wirkung für ungültig erklärt, da es aufgrund der amerikanischen Sicherheitsgesetzgebung zu erheblichen negativen Auswirkungen auf den Schutz personenbezogener Daten kommen kann. Das Privacy Shield war ein sog. Angemessenheitsbeschluss.
Angemessenheitsbeschlüsse sind eine mögliche Rechtsgrundlage nach der DSGVO, die es ermöglichen, dass personenbezogene Daten wie IP-Adressen in Drittländer übermittelt werden können. Die DSGVO versteht unter Drittländer alle Länder, die nicht Mitglied der Europäischen Union bzw. Europäischen Währungsunion sind. Die USA gilt somit derzeit aus Sicht des Datenschutzschutzes als nicht sicheres Drittland.
Konsequenzen bei Verstößen gegen die DSGVO
- Bußgeld bis zu 4 % des weltweit erzielten Jahresumsatzes
- Schadenersatzanspruch durch die Betroffenen wie im Falle des Münchner Urteils
Urteil des LG München
Nachzulesen: LG München – 20.01.22 Az. 3 O 17493/20
Für den ersten Eindruck gibt es keine zweite Chance
Die Einhaltung des Datenschutzes schafft Vertrauen und zeigt Ihre Professionalität. SCALELINE rät seinen Mandant:innen daher immer: Glänzen. Auch nach außen.
Der Datenschutz wird dadurch zu einer Win-Win-Situation.
Terminvereinbarung
Vereinbare jetzt einen unverbindlichen Termin und stelle uns gerne deine Fragen zu diesem Thema und zu allem rund um Webseiten, Google und Suchmaschinenoptimierung.
Unverbindlichen Termin sichern!
Zur Co-Autorin:
Mag. Elisa Drescher ist Data Protection Enthusiastin, Juristin und Co-Gründerin von SCALELINE LTD, einer Unternehmensberatung für Datenschutzrecht. Nach ihrer Tätigkeit bei einer renommierten Unternehmensberatung für Datenschutz in Deutschland verbindet sie die Anforderungen der DSGVO sowie den nationalen Datenschutzgesetzen in Österreich und Deutschland und vermittelt das für viele sehr trockene Thema Datenschutz auf eine sehr lockere und charmante Weise. Denn Datenschutz geht uns alle an. Und mit SCALELINE wird Datenschutz[R]echt easy. Mehr Informationen zu SCALELINE: