Google Fonts lokal einbinden: die neue Richtlinie der DSGVO

Neues aus der Welt des Datenschutzes:
Google Fonts und die Anforderungen an den verantwortlichen Webseitenbetreiber
Co-Autorin: Elisa Drescher von SCALELINE

Wir erinnern uns:

Wir erinnern uns: seit Mai 2018 ist die DSGVO in aller Munde. Die meisten von uns werden sicher nun die grundlegenden Anforderungen in ihrem Unternehmen umgesetzt haben. Wir haben https-verschlüsselte Seiten, ein DSGVO-konformes Cookie-Plugin und natürlich einen Datenschutzerklärung. Das Interesse und die Sorge vor Abmahnungen sind gesunken und wir beschäftigen uns wieder mehr mit unserem eigentlichen Business. Es sollte berücksichtigt werden: Die Umsetzung der DSGVO ist ein Marathon, kein Sprint. Warum? Weil sich Ihr Unternehmen auch anpassen und verändern wird. Daher darf „die DSGVO“ nie zur Gänze abgehakt werden, sondern sollte laufend mitbedacht werden.

Jetzt allerdings gibt es eine neue Anforderung, die uns als Webseitenbetreiber wieder direkt betrifft. Und zwar: Die direkte Einbindung von Google Fonts, also der Schriftarten von Google auf der Website.

Google Fonts lokal einbinden​

Was hat die DSGVO mit den Google Fonts zu tun?
Die Google Fonts, die es mittlerweile seit etwa 20 Jahren gibt, sind kostenfrei. Ein umfangreiches Portfolio an Schriftarten steht uns zur Verfügung, um unsere Webseiten und andere digitalen Dokumente ansprechend zu gestalten. Der Vorteil besteht vor allem darin, dass diese Schriftarten bereits für Suchmaschinen optimiert sind und damit die Webseiten schneller machen.

Doch wo besteht nun das Problem aus Sicht der DSGVO?

Beim Laden der Website, auf der Google Fonts verwendet werden, wird eine Verbindung zu den Google-Servern in den USA aufgebaut. Über diese Verbindung werden Informationen zur einheitlichen Darstellung an Google übermittelt. Dabei handelt es sich nicht nur um Geräteinformationen, sondern auch um IP-Adressen der Nutzer. IP-Adressen sind personenbezogene Daten und unterliegen daher den Anforderungen der DSGVO.

Google Fonts lokal einbinden​

Auf welcher rechtlichen Basis dürfen Google Fonts eingebunden werden?

Das Grundrecht auf informationelle Selbstbestimmung bedeutet, dass jeder Eingriff in das Grundrecht gesetzlich erlaubt sein muss. Deswegen muss für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage nach der DSGVO bzw. nationalen Gesetzen vorliegen. Also auch für die Übermittlung der IP-Adresse an Google Server bei der Einbindung von Google Fonts.

Im Urteil vom Januar 2021 des LG München wurde für Datenübermittlungen der IP-Adresse an Google festgestellt, dass diese nicht auf Basis des sog. berechtigten Interesses erfolgen darf (Art. 6 Abs. 1 lit. f) DSGVO). Warum? Weil die Einbindung von Google Fonts auch direkt erfolgen kann, siehe mehr dazu unter unserem Lösungsvorschlag.
Da das berechtigte Interesse ausscheidet, verbliebe aus Sicht der DSGVO nur mehr die Einwilligung (Art. 6 Abs. 1 lit. a) in Verbindung mit Art. 49 Abs. 1 lit. a) DSGVO.

Doch da sitzt der Hase im Pfeffer: Denn die Übermittlung der Daten erfolgt bereits direkt beim Aufrufen der Website. Die Einwilligung müsste also bereits vorher eingeholt werden. Eine weitere Schwierigkeit besteht darin, dass Google keine für diesen Zweck ausreichenden Informationen darüber bereitstellt, wie lange die Daten zum Beispiel gespeichert und welche Daten zu welchem Zweck übermittelt werden.

Die Lösung: Google Fonts lokal einbinden

Die Lösung besteht in der folgenden Vorgehensweise: Die Google Fonts können heruntergeladen und anschließend lokal im Theme eingebunden werden. Damit ist es nicht mehr erforderlich, eine Verbindung zu Google-Servern in den USA aufzubauen und die datenschutzrechtlichen Probleme stellen sich nicht mehr. Und: Diese Vorgehensweise erfordert auch keine Einwilligung der Nutzer.

Nachteile

Google Fonts lokal einbinden​

Worin liegt aus Sicht der DSGVO das Problem, wenn personenbezogene Daten in die USA übermittelt werden?

16. Juli 2020 – Das Privacy Shield Abkommen zwischen der EU und den USA wurde vom Europäischen Gerichtshof mit sofortiger Wirkung für ungültig erklärt, da es aufgrund der amerikanischen Sicherheitsgesetzgebung zu erheblichen negativen Auswirkungen auf den Schutz personenbezogener Daten kommen kann. Das Privacy Shield war ein sog. Angemessenheitsbeschluss.
Angemessenheitsbeschlüsse sind eine mögliche Rechtsgrundlage nach der DSGVO, die es ermöglichen, dass personenbezogene Daten wie IP-Adressen in Drittländer übermittelt werden können. Die DSGVO versteht unter Drittländer alle Länder, die nicht Mitglied der Europäischen Union bzw. Europäischen Währungsunion sind. Die USA gilt somit derzeit aus Sicht des Datenschutzschutzes als nicht sicheres Drittland.

Konsequenzen bei Verstößen gegen die DSGVO
Urteil des LG München
Nachzulesen: LG München – 20.01.22 Az. 3 O 17493/20

Für den ersten Eindruck gibt es keine zweite Chance

Die Einhaltung des Datenschutzes schafft Vertrauen und zeigt Ihre Professionalität. SCALELINE rät seinen Mandant:innen daher immer: Glänzen. Auch nach außen.

Der Datenschutz wird dadurch zu einer Win-Win-Situation.

Terminvereinbarung

Vereinbare jetzt einen unverbindlichen Termin und stelle uns gerne deine Fragen zu diesem Thema und zu allem rund um Webseiten, Google und Suchmaschinenoptimierung.

Zur Co-Autorin:

Mag. Elisa Drescher ist Data Protection Enthusiastin, Juristin und Co-Gründerin von SCALELINE LTD, einer Unternehmensberatung für Datenschutzrecht. Nach ihrer Tätigkeit bei einer renommierten Unternehmensberatung für Datenschutz in Deutschland verbindet sie die Anforderungen der DSGVO sowie den nationalen Datenschutzgesetzen in Österreich und Deutschland und vermittelt das für viele sehr trockene Thema Datenschutz auf eine sehr lockere und charmante Weise. Denn Datenschutz geht uns alle an. Und mit SCALELINE wird Datenschutz[R]echt easy. Mehr Informationen zu SCALELINE:

Teile den Beitrag:

Facebook
Twitter
LinkedIn
WhatsApp
Navigation

SEO-Tipps für 0 €

"Die wichtigsten Infos, um noch heute mit SEO starten zu können" downloaden.

Wir verwenden deine Daten gemäß unserer Datenschutzerklärung.

Anleitung für 0 €

Einreichung einer Sitemap und Überprüfung der Indexierung in der Google Search Console

Wir verwenden deine Daten gemäß unserer Datenschutzerklärung.