Google Fonts und die DSGVO

Vorweg: Wir sind ein Plugin-Hersteller und dürfen keine rechtliche Bertung anbieten. Die folgenden Ausführung ersetzen keine juristische Beratung und geben das von uns in der Praxis gesammelte Wissen weiter.

Das Problem

Die in vielen Themes und Plugins angebotene Funktion zur Einbindung von Google Fonts ist seit Einführung der DSGVO häufig diskutiert. Denn die neue Datenschutzverordnung lässt immer wieder die Frage aufkommen, ob man die Schriften von Google als Webfont von den Google-Servern beziehen darf oder nicht. Das sorgt für Verunsicherung bei den Shopbetreibern.

Bisher gibt es allerdings auch noch keine Rechtssprechungen im Fall von eingesetzten Google Fonts, an welchem man sich orientieren könnte. (Stand: 10.2020)

Um es vorweg zu nehmen: Abschließend, sprich höchstrichterlich, ist diese Angelegenheit noch nicht geklärt. Was es aber gibt, sind Indizien. Und diese sprechen in unseren Augen dafür, dass es rechtlich – zumindest unter gewissen Voraussetzungen - legitim und sogar vorteilhaft sein kann, die Google Fonts über den Google-Server zu beziehen.

​Eine Rechtsprüfung des Shops durch Trusted Shops oder Portalen wie eRecht24 ist natürlich ratsam - aber auch diese können hier nur eine Empfehlung aussprechen. Denn solange es kein verbindliches Urteil gibt, kann niemand verbindlich sagen, ob man Google Fonts einbinden darf oder nicht. Auf jeden Fall ist es mit der Datenschutzgrundverordnung (DSGVO) nicht mehr ganz so klar.

Im Detail:

Anders als bei z.B. Google Analytics werden bei den Google Fonts keine Cookies gesetzt und es ist ebenfalls nicht möglich einen Besucher über einen Cookie zu tracken. Google wertet die Abrufdaten nach eigenen Angaben zur Aggregation und statistischen Zwecken aus.

Wird die IP-Adresse der Besucher an Google übermittelt?

Kurz: Ja. Die IP-Adresse wird an die Server in den USA übermittelt. Eine weitergehende Auswertung erfolgt laut Google jedoch nicht. Google ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten.

Werden die erhobenen Daten (IP-Adresse, Browser etc.) mit weiteren eventuell verfügbar Daten durch Google zusammengeführt?

Ein offizielles Statement von Google sagt, dass durch den kostenlosen Dienst der Google Fonts keine weiteren Daten gespeichert werden. Denn die Schriften werden von eigenständigen, ausschließlich für die Google Fonts verwendeten Domains abgerufen.:

"Use of Google Fonts is unauthenticated. No cookies are sent by website visitors to the Google Fonts API. Requests to the Google Fonts API are made to resource-specific domains, such as fonts.googleapis.com or fonts.gstatic.com, so that your requests for fonts are separate from and do not contain any credentials you send to google.com while using other Google services that are authenticated, such as Gmail."

Quelle: https://developers.google.com/fonts/faq#Privacy

Besteht ein sog. „berechtigtem Interesse“ (nach Art. 6 Abs. 1 lit. f DSGVO)?

Es gibt nicht wenige, die der Meinung sind, dass die Einbindung der Google Fonts direkt von Google sich mit dem sog. „berechtigtem Interesse“ (nach Art. 6 Abs. 1 lit. f DSGVO) begründen lasse, was eine lokale Einbindung nicht notwendig machen würde. Ebenfalls fraglich ist, ob denn ein Webseitenbesucher tatsächlich einwilligen müsse, damit der Betreiber der Seite Google Fonts einsetzen darf.

Aber genau das ist mangels eines Urteils noch nicht abschließend geklärt.

Wie steht es um den Datenschutz bei Google?

Die Verbindung zum Server von Google ist in den Augen vieler Rechtsexperten gerechtfertigt, da sich Google nach eigenen Angaben an die Datenschutzrichtlinien der EU hält. Google ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten.

Lokal Hosten vs. Google Server - Wie steht es um die Ladezeiten?

Es kann aber durchaus auch Nachteile haben, die Fonts selbst zu hosten. Die Ladezeiten können länger sein. Im ungünstigen Falle werden die Texte zuerst mit dem Fallback-Font angezeigt und „springen“ dann erst um, wenn der Google Font geladen ist. Dazu wird der eigene Server belastet.

Je nach Schriftart und deren Verbreitung einer Google Font kann es aber gut sein, dass diese schon im Browser-Cache des Besuchers liegt, müsste also bei Einbindung über den Google-Server nicht noch einmal geladen werden. Bei eigenem Hosting aber eben schon.

Dank der äußerst leistungsstarken Server von Google ist die Ladezeit der Schriften extrem niedrig.

Fazit

Es ist sicherlich Ratsam in den eigenen Datenschutzerklärung auf die Google Fonts hinzuweisen, weil Google Daten der Nutzer in aggregierter Form erhebt, um die Statistiken zur Nutzung der Schriften zu erstellen. Eine Einwilligung für Google Fonts zu verlangen scheint aber sehr weit hergeholt. Und auch das Webtracking mit Google Analytics mit Google Fonts zu vergleichen hinkt schon etwas.

Die Google Fonts einzusetzen ist datenschutzrechtlich nicht mehr so unbedenklich wie vor der DSGVO. Laut dem Internetkonzern Google werden zwar keine personenbezogenen Daten erhoben, aber wer bzgl. der DSGVO rechtlich auf sicherer(er) Seite sein will, sollte die Schriften lokal einbinden oder kann websichere Schriften nutzen (Arial, Verdana, Helvetica).

Google Fonts lokal einbinden

Anstatt die Schriften vom Google Server zu laden, kannst Du diese auch lokal auf dem eigenen Server ablegen und einbinden.

1. Verbindung zur Google API kappen

2. Schriften herunterladen

Um die Schriften von Google Fonts herunterladen zu können, kannst Du den kostenlosen Dienst von Herokuapp nutzen.

Gib den Namen der gewünschten Schriftart in der Suche ein, und wähle die Schriftschnitte aus, die Du in Deinem Shop verwenden möchtest.

Die Schriftfamilien müssen mit den definierten Schriften der Theme-Konfiguration übereinstimmen.

3. Schriften auf den Server laden

Entpacke das ZIP-Archiv mit den Schriften und lade die Fonts per FTP-Client in den Schriften-Ordner Deiner Theme-Ableitung. Du findest den Ordner unter /themes/Frontend/DeinChildTheme/frontend/_public/src/fonts

Falls Du keine Ableitung des Themes in Form eines Child-Themes besitzt, erstelle Dir eine Ableitung nach dieser Anleitung.

4. CSS einfügen

Nun fehlt nur noch der erzeugt CSS-Code aus Schritt 3 des Dienstes. Erstelle Dir zunächst eine Datei mit dem Namen all.less, falls diese in Deinem Child-Theme noch nicht vorhanden ist. Die Datei gehört in den Ordner /themes/Frontend/DeinChildTheme/frontend/_public/src/less. Hinterlege in dieser Datei den CSS Code aus Schritt 3 - Copy CSS.

5. Theme Konfiguration anpassen & kompilieren

Vergiss nicht im Theme unter Typografie & Farben > Schriftbild die ausgewählten Schriftschnitte anzugleichen.