Pressespiegel

Datenschutz: Google Fonts

Die Verwendung von Google Fonts ist aus datenschutzrechtlicher Sicht für österreichische Websitebetreiber nicht zu empfehlen. Stattdessen sollten Schriften lokal vom eigenen Webserver geladen werden.

Wir erklären warum:

Technischer Hintergrund Schriften

Zur Anzeige von Text auf Websites werden Schriften (fonts) benötigt. Diese Schriften können entweder bereits am Computer des Users vorinstalliert sein oder beim Laden der Website auf den Computer des Users übertragen werden.

Welche Schrift zur Anwendung gelangt, wird im CSS (Cascading Style Sheet) der Website festgelegt:

Technischer Hintergrund Google Fonts

So wie es für Bilder unterschiedliche Bildformate gibt, z.B. jpg, png, svg, gibt es auch für Schriften unterschiedliche Schriftformate, z.B. otf, ttf, svg, eot, woff, woff2. Welche Schrifttypen unterstützt werden, hängt stark vom Browseranbieter und der Browserversion ab.

Als Websitebetreiber kann man dieses Problem leicht umschiffen, indem in der CSS-Datei einfach Links zu allen Formaten angeboten werden. Zuerst die performanten, neuen Schrifttypen, dann die älteren Schrifttypen. Der Browser lädt dann automatisch das erste unterstützte Format.

Google Fonts funktioniert anders. Nutzt eine Website Google Fonts, dann werden nicht die bei Google gespeicherten Schriften direkt verlinkt, sondern eine bei Google gespeicherte CSS Datei. Google erkennt beim Aufruf der CSS-Datei den Browsertyp und passt den Inhalt der CSS-Datei dynamisch an, sodass die CSS-Datei nur Links zu dem für die eingesetzte Browser-Version jeweils optimalen Schrifttyp enthält.

Schlussendlich setzt Google unterschiedliche Browser-Caching-Richtlinien für die winzigen CSS-Dateien (1 Tag) und die großen Schriftdateien (1 Jahr) ein und erreicht so durch einfachste technische Maßnahmen die gleichzeitige Minimierung der Ladezeit und des Datenvolumens sowie des Zeitraum zur Ausrollung von eventuellen Updates der Schriftdateien auf einen Zeitraum von einem Tag.

Google erfährt sohin im Rahmen der Anforderung der Schriften nicht nur (technisch zum Aufbau der Internetverbindung zu den Servern von Google notwendigerweise) die IP-Adresse des Users, sondern liest auch (grundsätzlich sinnvoll) Browserdaten aus.

Datenschutzerklärung von Google Fonts

Der Dienst Google Fonts verfügt über keine eigene Google Font spezifische Datenschutzerklärung. Die Website fonts.google.com verweist in der Fußzeile auf die Allgemeinen Geschäftsbedingungen von Google Terms und die allgemeine Google Datenschutzerklärung. Keines dieser Dokumente enthält spezifische Informationen zur Verarbeitung personenbezogener Daten auf fonts.google.com. Stattdessen findet man sehr allgemeine und vage Informationen zur Verarbeitung von personenbezogenen Daten von Google. Diese ist nicht präzise gemäß Art. 12 Abs. 1 DSGVO, weil unklar bleibt, welche Punkte der allgemeinen Google Datenschutzerklärung auf Google Fonts zutreffen und welche nicht.

Sucht man (via Google) nach spezifischen Informationen zum Datenschutz bei Google Fonts, dann findet man nur eine Antwort in den FAQ zu Google Fonts auf der Plattform Google Developers.

Dort findet sich folgende Information (zuletzt abgerufen am 10.09.2019):

„What does using the Google Fonts API mean for the privacy of my users?

The Google Fonts API is designed to limit the collection, storage, and use of end-user data to what is needed to serve fonts efficiently.

Use of Google Fonts is unauthenticated. No cookies are sent by website visitors to the Google Fonts API. Requests to the Google Fonts API are made to resource-specific domains, such as fonts.googleapis.com or fonts.gstatic.com, so that your requests for fonts are separate from and do not contain any credentials you send to google.com while using other Google services that are authenticated, such as Gmail.

In order to serve fonts quickly and efficiently with the fewest requests, responses are cached by the browser to minimize round-trips to our servers.

Requests for CSS assets are cached for 1 day. This allows us to update a stylesheet to point to a new version of a font file when it’s updated, and ensures that all websites using fonts hosted by the Google Fonts API will be using the most updated version of each font within 24 hours of each release.

The font files themselves are cached for one year, which cumulatively has the effect of making the entire web faster: When millions of websites all link to the same fonts, they are cached after visiting the first website and appear instantly on all other subsequently visited sites. We do sometimes update font files to reduce their file size, increase coverage of languages, and improve the quality of their design. The result is that website visitors send very few requests to Google: We only see 1 CSS request per font family, per day, per browser.

Google Fonts logs records of the CSS and the font file requests, and access to this data is kept secure. Aggregate usage numbers track how popular font families are, and are published on our analytics page. We use data from Google’s web crawler to detect which websites use Google fonts. This data is published and accessible in the Google Fonts BigQuery database. To learn more about the information Google collects and how it is used and secured, see Google’s Privacy Policy.”

Streng genommen sind die Informationen in den FAQ auf Google Developer datenschutzrechtlich nicht zu berücksichtigen. Die Datenschutzerklärung hat gemäß Art. 12 Abs. 1 DSGVO leicht zugänglich zu sein. Das ist bei Informationen, die nicht direkt verlinkt, sondern auf einer anderen Subdomains mitten in den FAQ versteckt und nur über eine Websuche auffindbar sind, sicherlich nicht der Fall.

Die Datenschutzerklärung von Google Fonts ist sohin datenschutzwidrig, da

Datenverarbeitung durch Google Fonts

Google verarbeitet im Rahmen von Google Fonts zweifellos personenbezogene Daten, sonst würde es weder den Link auf die allgemeine Google Datenschutzerklärung noch Erläuterung auf Google Developer benötigen.

Nach den Informationen auf Google Developer loggt Google die Anfragen nach den CSS-Dateien und den Schrift-Dateien mit. Das beinhaltet wohl zumindest die IP-Adresse, aber möglicherweise auch Daten über den Browser der User, welche Google zur Anpassung der CSS-Dateien ausliest.

Welche personenbezogenen Daten Google im Rahmen des Dienstes Google Fonts nun genau ausliest und verarbeitet, erfährt man in der Datenschutzerklärung überhaupt nicht und in den ohnehin unbeachtlichen Developer FAQ auch nur vage bzw. nicht abschließend, da die FAQ schlussendlich auch wieder auf die allgemeine Datenschutzerklärung verweisen und somit den exakten Umfang der Verarbeitung wieder offen lassen.

Rechenschaftspflicht des Websitebetreibers

Gemäß Art. 5 Abs. 2 DSGVO hat der Websitebetreiber die Einhaltung der DSGVO nachzuweisen. Setzt ein Websitebetreiber daher auf einen externen Dienst, muss der Websitebetreiber auch die Datenschutzkonformität dieses Dienstes nachweisen können. Mit den bei Google Fonts vorhandenen (bzw. besser nicht vorhandenen) Angaben kann der Verantwortliche dieser Verpflichtung unmöglich nachkommen.

Gemäß Art. 26 DSGVO hat der Websitebetreiber, wenn er gemeinsam mit einem anderen Verantwortlichen die Zwecke und die Mittel der Verarbeitung festlegt, einen Vertrag über die gemeinsame Verantwortung abzuschließen. Durch den Einbau von Google Fonts durch den Websitebetreiber in dessen Website erfolgt die Festlegung von Zweck und Mittel der Datenverarbeitung zumindest für die Erhebung und die Übermittlung der Daten gemeinsam (siehe Urteil des EuGH C-40/17). Daher wäre ein Vertrag über die gemeinsame Verantwortung abzuschließen und im Rahmen der Datenschutzerklärungen von Google Fonts und der Website zumindest in seinen wesentlichen Elementen offenzulegen.

Informationspflichten des Websitebetreibers

Gemäß Art 13 DSGVO hat der Websitebetreiber dem User Informationen über die Datenverarbeitung zur Verfügung zu stellen. Auch dazu ist der Websitebetreiber nicht in der Lage, weil ihm Google die dazu notwendigen Informationen nicht zur Verfügung stellt.

Einwilligung des Users notwendig?

Gemäß § 96 Abs. 3 TKG hat der Websitebetreiber vor der Verarbeitung personenbezogener Daten die Einwilligung des Users einzuholen, außer die Datenverarbeitung ist unbedingt zur Erbringung eines Dienstes notwendig, den der Benutzer ausdrücklich gewünscht hat.

Schriften sind zum Betrieb einer Website zweifellos unbedingt notwendig. Das Laden der Schriften über einem Drittanbieter ist hingegen zweifellos technisch nicht notwendig, ja teilweise nicht einmal vorteilhaft.

Google Fonts punktet vor allem durch Hochleistungsserver mit minimaler Response Zeit und maximaler Download-Geschwindigkeit. Das Laden der relativ großen Schriftdateien via Google macht sohin immer dann Sinn, wenn die Website auf einem langsamen Server liegt. Das war bis vor kurzem Standard, weil Server mit einer Google-ähnlichen Performance sehr teuer waren. Mittlerweile gibt es jedoch günstige Cloud-Hosting-Pakete mit identischer Performance. Das Laden der Schriftdateien via Google macht damit deutlich weniger Sinn. Im Gegenteil kann der zusätzlich notwendige Verbindungsaufbau die Ladezeit sogar erhöhen. Bleibt maximal der rein monetäre Aspekt, sich das durch die Schriftdateien benötigte Datenvolumen zu ersparen.

Strenge Meinungen sagen daher, dass zwar das Laden von Schriften zur Darstellung zeitgemäßer Websites technisch unbedingt notwendig ist, aber das Beiziehen von Drittanbietern wie Google Fonts bestenfalls vorteilhaft, aber definitiv nicht technisch notwendig ist.

So betrachtet, wäre daher beim Einsatz von Google Fonts § 96 Abs. 3 TKG mangels technischer Notwendigkeit vorab die Einwilligung der User einzuholen. Die Website würde dann vor der Erteilung der Einwilligung des Users in einer Standardschrift erscheinen, was zu massiven Layoutproblemen führen kann. Erst nach der Erteilung der Einwilligung würde die vorgesehene Schrift laden. Das würde niemand machen. Damit wäre Google Fonts unbrauchbar.

Es stellt sich die Frage, ob der Gesetzgeber mit der DSGVO bzw. der Richtlinie 2002/58/EG, welche Grundlage für § 96 Abs. 3 TKG darstellt, tatsächlich eines der Grundprinzipien des Internets, nämlich die Unterteilung in dezentrale Dienste, in Frage stellen wollte. Wohl nicht.

Die Einbeziehung von Drittanbietern ist gemäß DSGVO auch nicht grundsätzlich untersagt, sondern im Gegenteil über die Bestimmungen zum Auftragsverarbeiter und zur gemeinsamen Verantwortung geregelt.

Die Einbeziehung eines Drittanbieters im Rahmen einer Verarbeitung personenbezogener Daten, die zur Erbringung des vom User gewünschten Dienstes technisch unbedingt notwendig ist, ist daher entgegen oben darstellten strengen Ansicht nach unserer Ansicht nur dann problematisch, wenn die rechtliche Basis hierfür fehlt. Das ist bei Google Fonts der Fall.

Eine Einwilligung des Users zur Verwendung von Google Fonts ist daher nicht notwendig. Die datenschutzkonforme Verwendung von Google Fonts scheitert aber an der Nichteinhaltung anderer datenschutzrechtlicher Vorschriften durch Google.

Fazit

Grundsätzlich wäre eine Nutzung von Google Fonts ohne vorhergehende Einwilligung des Benutzers denkbar.

Aufgrund der Nichterfüllung der Informationspflichten durch Google Fonts und der dadurch nicht möglichen Beurteilung der datenschutzkonformen Datenverarbeitung sowie des fehlenden Vertrags zur gemeinsamen Verantwortung ist jedoch derzeit von einer Nutzung von Google Fonts abzuraten.

Erfreulicherweise stehen alle Schriften von Google Fonts unter Open Source Lizenzen, welche sowohl eine private als auch eine kommerzielle Nutzung und damit das Laden vom eigenen Webserver kostenlos erlauben.

Kostenloses anwaltliches Erstgespräch

Kostenloses anwaltliches Erstgespräch:
 +43 662 623323  office@marketingrecht.eu