Dynamische Einbindung von Google Fonts rechtswidrig

Der dynamische Einsatz von Google Fonts war seit Inkrafttreten der DSGVO im Mai 2018 riskant. Seit einem Gerichtsurteil vom 20. Januar 2022 ist die Einbindung über Google CDN sogar offiziell rechtswidrig. Das Urteil ist ein Weckruf für alle Websitebetreiber.

Lesedauer: 6 Minuten
193 x gelesen
1251 x gesehen

Google Fonts: Weitergabe der IP-Adresse

Vor dem Landgericht München wurde eine Website-Betreiberin verklagt, die Google Fonts (Schriftarten) dynamisch, also über eine externe Website (CDN Domain von Google) eingebunden hat. Dies stellt auch fast 4 Jahre nach Inkrafttreten der europäischen DSGVO keine Seltenheit mehr dar und wird laut Urteil (mehr dazu auf rewis.io) auch in anderen Bereichen problematisch.

Viele Seitenbetreiber binden externe Scripte ohne vorgeschalteten Cookie-Banner (Consent Tool) ein. Sofern die Daten dabei ohne Zustimmung in die USA abwandern, stellt dies rechtliche Probleme dar.

Schriftarten extern eingebunden

Die Websitebetreiberin bettete die Schriftarten von Google (Fonts) nicht lokal auf ihrem Server ein, sondern nutzte die dynamische Variante, also die Server von Google. Die Schriftarten wurden also extern eingebunden. 

Die IP-Adresse eines Website-Besuchers wurde so ungefragt auf Server in die USA übertragen. Ein Websitebesucher klagte daraufhin und gewann vor Gericht.

Beispielhafte dynamische Einbindung

<link rel="stylesheet" href="https://fonts.googleapis.com/css?family=Source+Sans+Pro">

Diese dynamische Methode ist bereits seit fast 4 Jahren datenschutzrechtlich sehr riskant und spätestens jetzt massiv abmahngefährdet, da sie nicht DSGVO-konform ist.

Rechtswidrige Nutzung von Google Fonts

Inwiefern war die dynamische Nutzung der Google Fonts rechtswidrig?

Datenschutz und Persönlichkeitsrechte verletzt

Geheimdienste können Daten auslesen

Die Problematik besteht darin, dass die externen Server, in dem Fall die Domain fonts.googleapis.com dem Internetgiganten Google zugehörig sind. Diese Server befinden sich in den USA. Die Rechtslage ist leider so, dass alle Daten auf US-amerikanischen Servern von Geheimdiensten wie der NSA und CIA ausgelesen werden können. 

Besucht nun jemand eine Website auf der die Google Fonts via CDN bzw. Clouddienst eingebunden sind, so landen persönliche Daten wie die eigene IP-Adresse ungefragt auf Servern, die von Geheimdiensten ausgelesen werden könnten.

DSGVO Verstoß

Diese Vorgehensweise widerspricht europäischem Recht und verstößt insbesondere gegen die DSGVO. Der Datenschutz und die Persönlichkeitsrechte werden verletzt.

Das mag vielleicht etwas martialisch klingen, doch ist es schon wichtig, dass sensible persönliche Daten nicht in dunklen Kanälen landen. In Europa wurde der Datenschutz zum Glück noch nicht begraben.

In Absprache mit unseren Kunden betten wir die Google Fonts schon seit über 4 Jahren nur noch lokal ein.

Kein schöner Ausblick - Auf den Datenschutz-Friedhof

Weniger ist mehr, aus Datenschutzsicht einfach mal Google Tools streichen.

Unterlassungsanspruch und Schadensersatz

Das Landgericht München hat entschieden, dass die Beklagte 100 € Schadensersatz zahlen muss. 
Darüber hinaus wurde im Falle der Wiederholung der Verstöße ein Ordnungsgeld in Höhe von bis zu 250.000 € festgesetzt.

Fall mit Symbolcharakter

Das angedrohte Ordnungsgeld und der Unterlassungsanspruch nimmt extreme Ausmaße an.
Auch wenn der Schadensersatz gering ist, so muss man doch immer auch die Gerichtskosten und die Gefahren von unterschiebenen Unterlassungserklärungen sehen.

Es handelt sich hierbei auf jeden Fall um ein Urteil mit Symbolcharakter. 

Erhebliche finanzielle Risiken

Es ist eine schwierige und unfaire Situation, wenn Betreiber kleiner Websites, solche großen Probleme mit erheblichen finanziellen Risiken bekommen, Google selbst aber fein raus ist; Zumindest ist Google nur indirekt betroffen.

Dennoch ist niemand dazu gezwungen gänzlich auf Fonts von Google bzw. Webfonts im Allgemeinen zu verzichten.

Google Fonts lokal einbinden

Die Schriftarten / Webfonts müssen nur lokal eingebunden werden

Integration in den Stylesheets

Die Schriftarten müssen als ttf/woff Dateien etc. auf den eigenen Server hochgeladen und in den Stylesheets integriert werden.

Laut e-Recht24 muss man dafür noch nicht einmal einen Absatz in der Datenschutzerklärung vorhalten. Denn bei lokaler Einbindung werden ja auch keine Daten an irgendeinen anderen Server, geschweige denn Google übertragen.
Die Fonts an sich "telefonieren nicht nach Hause".

100% Datenschutzkonform?

Nachdem Sie die Schriftarten lokal eingebunden haben, muss das aber nicht bedeuten, dass Ihre Website jetzt zu 100% Datenschutzkonform ist.

Wie in dem Urteil erkenntlich ist, werden hier indirekt sämtliche Dienste kritisiert, die Daten in die USA abführen bzw. dort vorhalten. Die Urteilsbegründung kommt fast einem Grundsatzurteil gleich und wird zu sehr viel Unsicherheit führen.


Alle US-Dienste problematisch?

Was man schon jetzt daraus ableiten kann: Wer weiterhin vorhat Dienste von Servern aus den USA wie Adobe TypeKit, Bootstrap, jQuery etc. via externem Server (CDN) einzubinden, bekommt wohl ein Problem. Momentan kann man diese Tools wahrscheinlich noch mit Cookie-Consent-Tool einsetzen, aber die Frage ist wie lange noch.

Selbst mit Cookie-Tool stehen diese Dienste zur Disposition. Ob man quasi mit Erlaubnis des Users Daten in die USA abführen darf, ist die interessante Frage. Denn diese Vorgehensweise ist in den letzten 3 Jahren de facto zum Standard mutiert. Fast alle großen Seiten machen es so. Sollte diese Umsetzung ebenfalls rechtswidrig werden, droht das komplette Chaos.

In Österreich hat die Datenschutzbehörde bereits offiziell festgestellt, dass Google Analytics gegen die DSGVO (Datenschutzgrundverordnung) der EU verstößt. Google Analytics könnte also in Europa vor dem Aus stehen (mehr dazu auf der Seite des Beschwerdeführers noyb.eu).

Cookie-Banner oder Lokale Einbindung

Die meisten externen Dienste können durch lokale Einbettung ersetzt werden. 
Diese Art der Nutzung ist in den meisten Fällen die beste und eleganteste Wahl.

Schnellere Ladezeiten bei lokaler Einbindung

Die meisten Tools und Features können auch bei lokaler Einbindung genutzt werden. Zumal die Seiten in der Regel auch schneller geladen werden, wenn keine externen Dienste / Server mehr angefragt werden müssen. Kein unwichtiger Punkt, da der Page-Speed auch ein Ranking-Faktor in Suchmaschinen ist. 

Cookie-Banner / Consent-Tool

Alternativ können Sie ein Cookie-Consent Tool wie unsere Erweiterung Cookiebox einsetzen.

Dadurch werden die Daten Ihrer Website-Besucher erst dann zum Google Server übertragen, wenn derjenige zugestimmt hat.

Dies setzt aber eine wasserdichte Datenschutzerklärung voraus.


Fazit: Lokale Einbindung vorziehen

Alle Daten sollten besser lokal vorgehalten werden. Es sei denn der Dienst ist in Europa gehostet. 

Selbst Google Analytics ist nicht alternativlos. Wir finden Matomo inzwischen viel besser, da es lokal auf dem eigenen Server gehostet wird und keine Daten zu fremden Servern abließen. Die Integration in Contao ist kinderleicht.

Google Fonts und andere Dienste

Die Optimierung von Internetseiten, speziell beim Thema Datenschutz ist immer wieder ein
spannendes Thema für uns. Wenn Sie dabei Hilfe benötigen, melden Sie sich gern.

Contao und Google Fonts

In unserem allseits beliebten Content Management System Contao ist es auch immer ein leichtes die Google Webfonts dynamisch einzubinden. Mit dem Release von Contao 4.11 ist die Einstellung aus dem Backend zum Glück entfernt worden. Aber reicht das aus?

In der aktuellen Version Contao 4.9 LTS ist die Einstellung aber weiter enthalten. Das ist datenschutztechnisch heikel, da hier leicht rechtliche Probleme auftreten können sobald ein Redakteur im Seitenlayout entsprechend die Schriftarten deklariert.

Artikelbewertung
0,0 von 5 Sternen (0 Stimmen)
Sie können diesen Artikel bewerten indem Sie einen Kommentar abgeben.
Schlagwörter
Kommentare & Bewertungen
Einen Kommentar schreiben
Bewerten Sie diesen Artikel
Datenschutz*
Bitte rechnen Sie 9 plus 5.
Ähnliche Beiträge
Meistgelesene Beiträge

Diese Artikel wurden bisher am häufigsten gelesen (Zähler seit 13.11.2021)

Newsletter Anmeldung

Wir versenden nur informative und relevante Inhalte, höchstens einmal im Monat.

Bitte addieren Sie 9 und 4.
Datenschutzerklärung
Weitere Newsletter-Einstellungen