Seit dem 25. Mai 2018 gilt die DSGVO und mit ihr auch die erheblich verschärften Bußgeldregelungen in der Europäischen Union. Erwartungsgemäß kamen hier auch einige Anwälte hinzu, die all diejenigen abmahnen, die ihrer Ansicht nach gegen das geltende Datenschutzrecht verstoßen. Mal wird abgemahnt, weil eine Newsletter-Anmeldung nicht per Double-Opt-In, sondern mit einfacher Anmeldung erfolgte (wie es geht, siehe hier) oder aber, weil das Nutzerverhalten der Webseitenbesucher verfolgt wird, ohne dass diese zuvor zugestimmt haben. Auch wenn die Position der deutschen Aufsichtsbehörden zum Tracking (z. B. mit Google Analytics oder Piwik) auf erheblichen Gegenwind gestoßen ist, so zieht das trotz allem die Abmahnanwälte an. Aber nicht nur in diesen Fällen, sondern auch in Fällen, an die man nicht unbedingt denkt, wird abgemahnt. Betroffen davon war jetzt ein Seitenbetreiber, der zur Gestaltung seiner Seite auf Google Fonts zurückgegriffen hat. Mit Google Fonts kann man aus einer großen Auswahl von Schriften auswählen und diese recht bequem in die eigene Seite einbinden. In diesem Fall war der Konkurrent (oder der Anwalt des Konkurrenten) der Ansicht, dass sich der Webseitenbetreiber wettbewerbswidrig verhalte, weil die Schriftarten nicht auf dem Server des Seitenbetreibers bereitgehalten werden, sondern von einem Server von Google nachgeladen werden. Technisch sieht das so aus, dass der Browser des Besuchers beim Aufruf der Seite die Schriftarten automatisch von Google nachlädt, ohne dass der Besucher hiervon etwas mitbekommt. Das sei nach Ansicht der Abmahner ein datenschutzrechtlicher Verstoß, weil so Google die IP-Adressen von Webseitenbesuchern erhält und die URL der Seite, von der der Nutzer kam. Hierzu äußert sich der Abmahner wie folgt:

„[…] Die Datenweitergabe [der IP-Adresse und der letzten besuchten Seite] erfolgt ohne Einverständnis. Der Weitergabe personenbezogener Daten […] kann der Besucher nicht zustimmen, bevor die Daten weitergeleitet werden. Auch ist es nicht möglich, die Datenschutzerklärung zu lesen, bevor die Daten weitergegeben werden. Dies stellt eine Verletzung gem. Art. 12 ff. DSGVO dar.“

Zwar ist es richtig, dass der Nutzer vor dem Aufruf der Seite keine Möglichkeit hat, die Datenschutzerklärung einzusehen. Aber er muss die Datenschutzerklärung auch gar nicht vor der Erhebung, sondern bei Erhebung der Daten einsehen können (vgl. Art. 13 DSGVO). Und darüber, dass Google Fonts eingesetzt wird, kann sich der Betroffene schließlich in der Datenschutzerklärung informieren, in der regelmäßig kurz auf Google Fonts eingegangen wird.

Außerdem fragt man sich, ob denn ein Webseitenbesucher tatsächlich einwilligen muss, damit der Seitenbetreiber Google Fonts einsetzen darf. Zwar haben die Aufsichtsbehörden sich auf den Standpunkt gestellt, dass beim Tracking mit Google Analytics zuvor eine Einwilligung eingeholt werden muss, aber das Webtracking mit Google Analytics mit Google Fonts zu vergleichen hinkt schon etwas. Bei Google Analytics wird der Besucher der Seite mit einem Cookie „markiert“. Google ist in der Lage nachzuvollziehen, welche IP-Adresse hinter welchem Besucher (also dem Cookie) steckt und teilt dies dem Seitenbetreiber (je nach Konfiguration) auch mit. Die komplette IP wird allerdings zumindest in Deutschland oft nicht mitgeteilt (Stichwort anonymizeIP).

Anders sieht es aber bei Google Fonts aus. Hier wird gerade kein Cookie gesetzt und es ist nicht möglich, einen Besucher über ein Cookie zu Tracken. Google beschränkt sich nach eigener Angabe tatsächlich nur darauf, Schriftarten bereitzustellen und wertet die Daten der Besucher nach eigenen Angaben nur aggregiert aus. D. h., die Summe aller Daten wird benutzt um etwa um Statistiken zu erstellen (z. B. welche Schriftart wie oft benutzt wird.) Dass kein Cookie erstellt und übermittelt wird, kann man in seinem Browser nachprüfen. Bei Firefox geht das über Web-Konsole (Web-Speicher) über Extras, nachdem man Alt gedrückt hat oder mit Strg + Umschalt + K (Strg + Umschalt + I bei Chrome).

Nun könnte man noch auf die Idee kommen, dass Google die Daten vom Webtracking mit Google Analytics um die Daten der Schriftarten-Bezieher anreichern könnte. Aber auch das geht nicht ohne zusätzliche Anstrengungen. Während die Schriftarten von den Servern fonts.googleapis.com und fonts.gstatic.com stammen, wird Google Analytics über www.google-analytics.com eingebunden. Schließlich wird das Google Analytics Cookie auch gar nicht an Google geschickt, sondern an den jeweiligen Seitenbetreiber. Das Tracking-Cookie von Google Analytics kann also nicht an Googles Font-Server verschickt werden.

Fazit

Es ist sicherlich ratsam, in der Datenschutzerklärung auf Google Fonts hinzuweisen, weil Google die Daten der Nutzer in aggregierter Form erhebt, um Statistiken zu erstellen und das auch bekannt ist. Eine Einwilligung für Google Fonts zu verlangen scheint aber sehr weit hergeholt. Wenn schon die Position der Aufsichtsbehörden bezüglich Tracking aus guten Gründen angegriffen wird, so gilt das erst recht für Google Fonts, womit gerade kein Tracking betrieben wird. Würde man die Idee der Einwilligung weiterspinnen, müsste man für jeden externen Inhalt (z.B. Bildern auf externen Servern) eine Einwilligung des Webseitenbesuchers einholen – und ein solches Internet kann sich doch niemand ernsthaft wünschen? Es bleibt also festzuhalten, dass mit sehr guten Gründen davon ausgegangen werden kann, dass eine Einbindung von Google Fonts auch ohne Einwilligung möglich ist. Rechtsgrundlage hierfür ist dann Art. 6 Abs. 1 lit. f DSGVO.

Wenn man dieser Frage von vornherein aus dem Weg gehen möchte, kann man sich schließlich noch mit dem Google Webfonts Helper helfen und die Fonts auf seinem eigenen Server ohne Kontakt zu Google einbinden.