Diese Entscheidung hatte und hat Konsequenzen für Webseitenbetreiber, die durch die Nutzung dieser externer Inhalte potenziell unbewusst persönliche Daten ihrer Nutzer an Dritte weiterleiten.
Was sind Google Fonts und warum werden sie so gern genutzt?
Google Fonts ist ein kostenloser Service von Google, der eine große Auswahl an Schriftarten für Webentwickler und Designer bietet. Die Schriftarten werden üblicherweise über einen externen Link direkt von den Servern von Google geladen, was für Betreiber einfach umzusetzen ist und die Ladezeiten der Website reduziert. Allerdings birgt diese Methode ein erhebliches Datenschutzrisiko, da dabei IP-Adressen der Webseitenbesucher an Google übermittelt werden, ohne dass die Nutzer davon wissen oder zustimmen.
Das Problem dabei - Die Datenweitergabe ohne Zustimmung
Die DSGVO schreibt vor, dass personenbezogene Daten nur dann an Dritte übermittelt werden dürfen, wenn eine klare Rechtsgrundlage besteht oder die Nutzer ausdrücklich eingewilligt haben. Eine IP-Adresse wird dabei als personenbezogenes Datum betrachtet, da sie Rückschlüsse auf den Standort und die Identität des Nutzers zulassen kann. In der bisherigen Praxis wurden Nutzer jedoch nicht darüber informiert, dass durch das Laden von Google Fonts ihre IP-Adresse an Google in den USA übertragen wird – ein Land, das nach EU-Recht kein ausreichendes Datenschutzniveau garantiert.
Webseitenbetreiber, die Google Fonts ohne Einwilligung und Information der Nutzer direkt von Google-Servern laden, verstoßen somit gegen die DSGVO. Verschiedene Datenschutzbehörden und Gerichte in Deutschland haben mittlerweile entschieden, dass die Einbindung solcher Drittinhalte nicht ohne Zustimmung der Nutzer erfolgen darf. Betreiber riskieren Bußgelder und Abmahnungen.
Mögliche Lösungen für Webseitenbetreiber
Vor dem Hintergrund dieser datenschutzrechtlichen Probleme sind Webseitenbetreiber gefordert, Alternativen zu finden, die mit der DSGVO konform sind:
Lokale Einbindung von Schriften: Statt Google Fonts direkt von den Google-Servern zu laden, können Webseitenbetreiber die Schriftarten lokal auf ihren eigenen Servern speichern und laden. So wird keine IP-Adresse an Google übermittelt.
Einwilligung einholen: Wenn externe Inhalte zwingend erforderlich sind, sollten Betreiber eine transparente Einwilligung von den Nutzern einholen, bevor deren Daten an Drittanbieter übermittelt werden. Hierfür bieten sich Cookie-Banner oder Datenschutzhinweise an, die auf die genauen Inhalte und den Empfänger der Datenübermittlung hinweisen.
Technische Maßnahmen: Bestimmte Dienste und Plugins ermöglichen die Einbindung fremder Inhalte nur dann, wenn die Nutzer explizit zustimmen. Solche Lösungen können helfen, Datenschutzkonformität herzustellen und die Rechte der Nutzer zu wahren.
Fazit
Die Entscheidung der Gerichte gegen die Einbindung von Google Fonts zeigt, dass Webseitenbetreiber ihre Inhalte verstärkt auf Datenschutzkonformität überprüfen müssen. Die Einbindung von Google Fonts birgt erhebliche Risiken und verstößt ohne Einwilligung der Nutzer gegen die DSGVO. Wer als Betreiber auf der sicheren Seite bleiben will, sollte auf lokale Alternativen setzen.
