Google Fonts

Google ist heute einer der größten Datensammler weltweit. Angesichts der fast unersetzlichen Rolle des Unternehmens, sowohl für Endverbraucher als auch für Unternehmen, ist die Debatte über den Datenschutz von zentraler Bedeutung. Der folgende Überblick untersucht, wie Googles Geschäftsmodell mit Datenschutzanforderungen vereinbar ist und ob die häufige Kritik gerechtfertigt ist.

Funktionsweise von Google Fonts

Die Implementierung von Google Fonts auf einer Webseite erfolgt üblicherweise über HTML, CSS oder JavaScript. Dabei gibt es zwei verschiedene Möglichkeiten der Einbindung, die unterschiedliche Auswirkungen auf den Datenschutz haben: den „Online“-Modus und den „Offline“-Modus. Beide Varianten unterscheiden sich grundlegend in Bezug auf die Datenübertragung und die damit verbundene Speicherung von Nutzerdaten.

„Online“-Modus: Schriftarten von Google-Servern laden

Im „Online“-Modus wird die Schriftart von einem Google-Server abgerufen, sobald ein Nutzer eine Webseite aufruft, die Google Fonts verwendet. Während des Ladevorgangs stellt der Browser des Nutzers eine Verbindung zu den Servern von Google her. Dabei werden automatisch Daten wie die IP-Adresse und Informationen über das Gerät und den Browser des Nutzers übermittelt. Diese Informationen werden benötigt, um die Webseite korrekt darzustellen und die Schriftarten für zukünftige Seitenbesuche zwischenzuspeichern. Die Font-Dateien bleiben dabei für bis zu ein Jahr im Browser-Cache des Nutzers gespeichert, um die Ladezeiten bei erneutem Besuch der Seite zu verkürzen.

„Offline“-Modus: Lokale Einbindung der Fonts

Im Gegensatz dazu steht der „Offline“-Modus, bei dem die benötigten Schriftarten lokal auf dem Webserver des Webseitenbetreibers gespeichert werden. In diesem Fall werden die Schriftarten nicht von den Google-Servern geladen, sondern direkt vom Server der Webseite bereitgestellt. Dies verhindert die Übertragung der IP-Adresse und anderer Nutzerdaten an Google. Allerdings müssen Webseitenbetreiber dann selbst für die Aktualisierung der Fonts sorgen, und die Ladezeiten könnten länger ausfallen, da die Schriftarten nicht von den Google-Servern optimiert werden.

Datenschutzrechtliche Herausforderungen: Einwilligung und berechtigtes Interesse

Im „Online“-Modus wird die IP-Adresse des Nutzers bei jedem Seitenaufruf automatisch an Google übermittelt, noch bevor der Webseitenbetreiber die Möglichkeit hat, eine DSGVO-konforme Einwilligung einzuholen. Da eine nachträgliche Einwilligung gemäß Artikel 7 der DSGVO nicht möglich ist, wird in der Praxis häufig auf eine andere Rechtsgrundlage zurückgegriffen: das „berechtigte Interesse“ gemäß Artikel 6 Abs. 1 lit. f) DSGVO.

Die Argumentation stützt sich darauf, dass der Einsatz von Google Fonts für den Webseitenbetreiber Vorteile bringt, die eine Nutzung rechtfertigen könnten. Dazu zählen:

• Verbesserte Suchmaschinenplatzierungen
• Schnellere Ladezeiten
• Weniger administrativer Aufwand
• Einheitliche Darstellung auf verschiedenen Endgeräten

Jedoch bleibt fraglich, ob diese Vorteile ausreichen, um die Übermittlung von personenbezogenen Daten, wie der IP-Adresse, in die USA zu rechtfertigen. Dies ist besonders kritisch, da die Datenübertragung in ein Drittland erfolgt, was zusätzliche Anforderungen gemäß der DSGVO mit sich bringt.

Googles Standpunkt zur Datennutzung

Google selbst erklärt in den FAQ zu Google Fonts, dass die übermittelten Daten ausschließlich zur Darstellung der Schriftarten genutzt und nicht mit anderen Google-Daten zusammengeführt werden. Zudem gibt Google an, lediglich aggregierte Daten zu verarbeiten, um die Beliebtheit der einzelnen Fonts zu analysieren. Dennoch bleibt unklar, warum die Übermittlung der vollständigen IP-Adresse notwendig ist, wenn andere Google-Dienste wie Google Analytics nur mit aktivierter IP-Anonymisierung DSGVO-konform genutzt werden können.

Ein weiteres Problem stellt sich bei der Erwartungshaltung des Nutzers: Kann dieser wirklich damit rechnen, dass seine IP-Adresse in die USA übermittelt wird, nur weil er eine Webseite mit speziellen Schriftarten besucht? Diese Frage ist zentral für die datenschutzrechtliche Bewertung der Nutzung von Google Fonts.

Empfehlung: Lokale Einbindung bevorzugen

Aus datenschutzrechtlicher Sicht ist die lokale Einbindung der Google Fonts – also der „Offline“-Modus – die sicherere Wahl. Hier werden keine Daten an Google übermittelt, was das Risiko von Datenschutzverstößen deutlich verringert. Webseitenbetreiber, die Google Fonts verwenden möchten, sollten daher die Schriftarten direkt auf ihrem Server speichern und von dort aus in ihre Webseite einbinden. Dies minimiert nicht nur die Datenübertragung, sondern bietet auch eine langfristige Lösung, bis gerichtliche Entscheidungen oder Stellungnahmen von Aufsichtsbehörden zu diesem Thema vorliegen.

Fazit: DSGVO-konforme Nutzung von Google Fonts

Die Einbindung von Google Fonts in Webseiten kann aus Sicht der DSGVO problematisch sein, insbesondere wenn der „Online“-Modus verwendet wird, bei dem personenbezogene Daten an Google in die USA übermittelt werden. Um rechtliche Risiken zu minimieren, sollten Webseitenbetreiber auf den „Offline“-Modus setzen, bei dem die Schriftarten lokal eingebunden werden. Dies gewährleistet eine DSGVO-konforme Nutzung, ohne dass Nutzer mit der Übermittlung ihrer Daten an Google einverstanden sein müssen.

Jeder Webseitenbetreiber muss letztlich eine Abwägung treffen: Die Vorteile der einfachen Einbindung und schnellen Ladezeiten müssen gegen die potenziellen Datenschutzrisiken abgewogen werden. Dabei sollten die datenschutzrechtlichen Anforderungen stets im Vordergrund stehen, um rechtliche Konsequenzen zu vermeiden.