WordPress empfiehlt Entwicklern, auf die Integration von Google Fonts zu verzichten. Schriftarten sollten, so WordPress, selbst gehostet werden.
Grund für die Empfehlung unter dem Titel «Complying with GDPR when using Google Fonts» ist neuere Rechtsprechung zur europäischen Datenschutz-Grundverordnung (DSGVO).
Für Entwickler ist besonders wichtig, dass sie den Nutzern ihrer Plugins, Themes und Websites keine integrierten Drittdienste wie Google Fonts unterjubeln.
Im Zweifelsfall sollten Website-Betreiber mit einem Content-Blocker wie uBlock Origin oder einem Dienst wie Webbkoll prüfen, ob nur die gewollten Drittdienste integriert sind.
Inzwischen sind in Deutschland die ersten Google Fonts-Abmahnungen zu verzeichnen.
Momentan kommen die Abmahnungen als nur schlecht versteckte Drohungen von einzelnen Personen daher. Die deutsche Abmahnindustrie wird sich den Umsatz mit Datenschutz-Abmahnungen aber sicherlich nicht entgehen lassen.
Wo liegt das datenschutzrechtliche Problem?
Gemäss Art. 6 Abs. 1 DSGVO benötigt jede Verarbeitung personenbezogener Daten mindestens einen Rechtfertigungsgrund. Die DSGVO erlaubt die Bearbeitung von Personendaten nur ausnahmsweise («Erlaubt ist, was nicht verboten ist»).
Mit der Integration von Google Fonts wird mindestens die IP-Adresse der einzelnen Website-Besucher und damit grundsätzlich ein Personendatum bearbeitet. Gleichzeitig wird dieses Personendatum in die USA und damit in einen unsicheren Drittstaat exportiert.
Kein überwiegendes berechtigtes Interesse …
Als Rechtfertigungsgrund kommen die Einwilligung der Website-Nutzer und das überwiegende berechtigte Interesse des Website-Betreibers in Frage.
Das überwiegende berechtigte Interesse gemäss Art. 6 Abs. 1 lit. f DSGVO scheitert an der fehlenden Erforderlichkeit, so jedenfalls das Landgericht München kürzlich in seinem Urteil 3 O 17493/20 (Volltext):
«Bei dynamischen IP-Adressen handle es sich um personenbezogene Daten, da es dem Webseitenbetreiber über eine zuständige Behörde und den Internetzugangsanbieter abstrakt möglich sei, die betreffende Person zu identifizieren […]. Ein berechtigtes Interesse im Sinne der Datenschutzgrundverordnung (DSGVO), mit dem der beklagte Webseitenbetreiber argumentiert hatte, liege jedoch nicht vor. Denn die Google Fonts können auch heruntergeladen und vom eigenen Server ausgeliefert werden, statt sie über externe Google-Server einzubinden.»
… und keine Einwilligung als Rechtfertigungsgrund
Die Einwilligung scheitert unter anderem daran, dass in den Daten-Export eingewilligt werden müsste, was aber nur für die gelegentliche Übermittlung von Daten zulässig ist (Art. 49 Abs. 1 lit. a DSGVO i.V.m. Erwägungsgrund 111). Bei der Integration von Google Fonts findet ein regelmässiger Daten-Export in die USA statt, sodass keine wirksame Einwilligung möglich ist.
Man kann aus guten Gründen anderer Meinung sein. Wer auf Nummer sicher gehen möchte, wird aber auf die Integration von Google Fonts und vergleichbaren Diensten verzichten.
Bei Diensten von Google steht insbesondere Google Analytics auf der Abschussliste von Aufsichtsbehörden und Gerichten.
Wie sollten sich Website-Betreiber in der Schweiz verhalten?
Für Website-Betreiber in der Schweiz ist die europäische Rechtslage relevant, weil sie mit ihren Websites häufig die DSGVO und sonstiges europäisches Recht einhalten müssen. Viele schweizerische Verantwortliche benötigen beispielsweise eine EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO.
In der Folge ist es für schweizerische Website-Betreiber, die unnötige Risiken vermeiden möchten, empfehlenswert, auf die Integration von Google Fonts zu verzichten.
Mit dem neuen Datenschutzgesetz ab dem 1. September 2023 wird der Daten-Export in unsichere Drittstaaten in der Schweiz an rechtlicher Bedeutung gewinnen. Wer den Daten-Export in die USA nicht genügend absichert, muss mit einer persönlichen Busse bis zu 250’000 Franken rechnen (Art. 61 lit. a nDSG).
Siehe auch: Schadensersatz-Urteil: Google Fonts und die DSGVO (Dr. Datenschutz)
Bild: Pixabay / stux, Public Domain-ähnlich.
Ausser man hosted die Google Webfonts selber, nicht war? Denn da sollten keine IP-Adresse an die USA gehen. Setzt aber ein paar HTML Kenntnisse voraus und direkten Zugriff auf das Hosting.
@Thierry:
Ja, wenn man Schriftarten selbst hostet – egal aus welcher Quelle –, ist man datenschutzrechtlich auf der sicheren Seite.
Wie das mit WordPress funktioniert, wird in der verlinkten Empfehlung erklärt.
Vielen Dank für das interessante Interview.
Wie hoch schätzen sie das Risiko ein, als Schweizer Unternehmen von einer deutschen Abmahnkanzlei abgemahnt zu werden?
Ich sehe, dass ich mich um die Problematik Google Fonts kümmern muss, frage mich nur, welche Dringlichkeit ich dem beimessen muss.
vielen Dank!
@Ingrid Angehrn:
Google Fonts-Abmahnungen aus Deutschland gelangen bereits in die Schweiz. Dito schon seit Jahren überhaupt Abmahnungen aus Deutschland.
Tja, guter, informativer Artikel. Allerdings wird m.E. zu sehr an die Juristerei gedacht, was das Kernproblem aus der Aufmerksamkeit rücken läßt: Um den Netzverkehr effizient zu machen, sind einheitliche Fonts keine schlechte Idee. Das Problem besteht doch darin, dass wir Google (zu recht) nicht vertrauen. Und die Lösung könnte darin bestehen, eine vertrauensvolle Ausliefunrungsalternative z.B. in Deutschland/Europa aufzubauen, so ähnlich wie CDN’s das für Mediendaten tun.
Also lautet meine Anregung: Weniger Aufwand und Anstrengung in die Auseinandersetzung mit Google und ähnlichen Entitäten zu stecken und dafür mehr in den Aufbau einer vertrauensvolleren Infrastruktur. Aber Deutschland hinkt bei Digitalem gerne Jahrzehnte hinterher. Da kann ich dann auch die rechtlichen Versuche, es «korrekt» machen zu wollen, nicht wirklich ernst nehmen.
Browser cachen aber keine Dateien über mehrere Domains hinweg, auch wenn sie von einem CDN oder eben Google Fonts ausgeliefert werden. Somit spricht nichts gegen das Self-Hosting, im Gegenteil ist es je nachdem sogar effizienter, wenn die Fonts direkt vom (Schweizer) Webhost mitgeliefert werden, anstatt noch den Umweg über die Google-Server irgendwo auf der Welt zu machen.
@Tobias Vogler: Genau!
Siehe auch: https://steigerlegal.ch/2022/11/19/google-kritik-google-fonts/
Danke für die Ausführungen. Spannend. Begeht man beim Download und Hosting auf einem eigenen Server nicht ein Vergehen gegen die Lizenzvereinbarungen von Google (Fonts)?
@Daniel Gauch:
Nein.