Seit dem 25. Mai 2018 gilt die DSGVO und mit ihr auch die erheblich verschärften Bußgeldregelungen in der Europäischen Union. Erwartungsgemäß kamen hier auch einige Anwälte hinzu, die all diejenigen abmahnen, die ihrer Ansicht nach gegen das geltende Datenschutzrecht verstoßen. Mal wird abgemahnt, weil eine Newsletter-Anmeldung nicht per Double-Opt-In, sondern mit einfacher Anmeldung erfolgte (wie es geht, siehe hier) oder aber, weil das Nutzerverhalten der Webseitenbesucher verfolgt wird, ohne dass diese zuvor zugestimmt haben. Auch wenn die Position der deutschen Aufsichtsbehörden zum Tracking (z. B. mit Google Analytics oder Piwik) auf erheblichen Gegenwind gestoßen ist, so zieht das trotz allem die Abmahnanwälte an. Aber nicht nur in diesen Fällen, sondern auch in Fällen, an die man nicht unbedingt denkt, wird abgemahnt. Betroffen davon war jetzt ein Seitenbetreiber, der zur Gestaltung seiner Seite auf Google Fonts zurückgegriffen hat. Mit Google Fonts kann man aus einer großen Auswahl von Schriften auswählen und diese recht bequem in die eigene Seite einbinden. In diesem Fall war der Konkurrent (oder der Anwalt des Konkurrenten) der Ansicht, dass sich der Webseitenbetreiber wettbewerbswidrig verhalte, weil die Schriftarten nicht auf dem Server des Seitenbetreibers bereitgehalten werden, sondern von einem Server von Google nachgeladen werden. Technisch sieht das so aus, dass der Browser des Besuchers beim Aufruf der Seite die Schriftarten automatisch von Google nachlädt, ohne dass der Besucher hiervon etwas mitbekommt. Das sei nach Ansicht der Abmahner ein datenschutzrechtlicher Verstoß, weil so Google die IP-Adressen von Webseitenbesuchern erhält und die URL der Seite, von der der Nutzer kam. Hierzu äußert sich der Abmahner wie folgt:
„[…] Die Datenweitergabe [der IP-Adresse und der letzten besuchten Seite] erfolgt ohne Einverständnis. Der Weitergabe personenbezogener Daten […] kann der Besucher nicht zustimmen, bevor die Daten weitergeleitet werden. Auch ist es nicht möglich, die Datenschutzerklärung zu lesen, bevor die Daten weitergegeben werden. Dies stellt eine Verletzung gem. Art. 12 ff. DSGVO dar.“
Zwar ist es richtig, dass der Nutzer vor dem Aufruf der Seite keine Möglichkeit hat, die Datenschutzerklärung einzusehen. Aber er muss die Datenschutzerklärung auch gar nicht vor der Erhebung, sondern bei Erhebung der Daten einsehen können (vgl. Art. 13 DSGVO). Und darüber, dass Google Fonts eingesetzt wird, kann sich der Betroffene schließlich in der Datenschutzerklärung informieren, in der regelmäßig kurz auf Google Fonts eingegangen wird.
Außerdem fragt man sich, ob denn ein Webseitenbesucher tatsächlich einwilligen muss, damit der Seitenbetreiber Google Fonts einsetzen darf. Zwar haben die Aufsichtsbehörden sich auf den Standpunkt gestellt, dass beim Tracking mit Google Analytics zuvor eine Einwilligung eingeholt werden muss, aber das Webtracking mit Google Analytics mit Google Fonts zu vergleichen hinkt schon etwas. Bei Google Analytics wird der Besucher der Seite mit einem Cookie „markiert“. Google ist in der Lage nachzuvollziehen, welche IP-Adresse hinter welchem Besucher (also dem Cookie) steckt und teilt dies dem Seitenbetreiber (je nach Konfiguration) auch mit. Die komplette IP wird allerdings zumindest in Deutschland oft nicht mitgeteilt (Stichwort anonymizeIP).
Anders sieht es aber bei Google Fonts aus. Hier wird gerade kein Cookie gesetzt und es ist nicht möglich, einen Besucher über ein Cookie zu Tracken. Google beschränkt sich nach eigener Angabe tatsächlich nur darauf, Schriftarten bereitzustellen und wertet die Daten der Besucher nach eigenen Angaben nur aggregiert aus. D. h., die Summe aller Daten wird benutzt um etwa um Statistiken zu erstellen (z. B. welche Schriftart wie oft benutzt wird.) Dass kein Cookie erstellt und übermittelt wird, kann man in seinem Browser nachprüfen. Bei Firefox geht das über Web-Konsole (Web-Speicher) über Extras, nachdem man Alt gedrückt hat oder mit Strg + Umschalt + K (Strg + Umschalt + I bei Chrome).
Nun könnte man noch auf die Idee kommen, dass Google die Daten vom Webtracking mit Google Analytics um die Daten der Schriftarten-Bezieher anreichern könnte. Aber auch das geht nicht ohne zusätzliche Anstrengungen. Während die Schriftarten von den Servern fonts.googleapis.com und fonts.gstatic.com stammen, wird Google Analytics über www.google-analytics.com eingebunden. Schließlich wird das Google Analytics Cookie auch gar nicht an Google geschickt, sondern an den jeweiligen Seitenbetreiber. Das Tracking-Cookie von Google Analytics kann also nicht an Googles Font-Server verschickt werden.
Fazit
Es ist sicherlich ratsam, in der Datenschutzerklärung auf Google Fonts hinzuweisen, weil Google die Daten der Nutzer in aggregierter Form erhebt, um Statistiken zu erstellen und das auch bekannt ist. Eine Einwilligung für Google Fonts zu verlangen scheint aber sehr weit hergeholt. Wenn schon die Position der Aufsichtsbehörden bezüglich Tracking aus guten Gründen angegriffen wird, so gilt das erst recht für Google Fonts, womit gerade kein Tracking betrieben wird. Würde man die Idee der Einwilligung weiterspinnen, müsste man für jeden externen Inhalt (z.B. Bildern auf externen Servern) eine Einwilligung des Webseitenbesuchers einholen – und ein solches Internet kann sich doch niemand ernsthaft wünschen? Es bleibt also festzuhalten, dass mit sehr guten Gründen davon ausgegangen werden kann, dass eine Einbindung von Google Fonts auch ohne Einwilligung möglich ist. Rechtsgrundlage hierfür ist dann Art. 6 Abs. 1 lit. f DSGVO.
Wenn man dieser Frage von vornherein aus dem Weg gehen möchte, kann man sich schließlich noch mit dem Google Webfonts Helper helfen und die Fonts auf seinem eigenen Server ohne Kontakt zu Google einbinden.
17. Oktober 2022 @ 20:46
Leider ist es in einigen Fällen mit dem Einbinden der Google Fonts auf dem Lokalen Server nicht getan.
Wer bei Formularseiten Google reCaptcha einsetzt macht sich nämlich wieder angreifbar durch die Abmahngeier, selbst wenn er reCaptcha ordentlich in der Datenschutzerklärung einbindet. reCaptcha hat nämlich dummerweise die leidige Nebenwirkung im Hintergrund „Roboto“ von der Google Fonts URL nachzuladen. Das lässt sich super tracken und kneift jeden, der sich in Sicherheit wägte in den Po.
Dagegen steht allerdings dass Google sich offen dazu ausspricht: „IP-Adressen werden nicht protokolliert“(https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users ).
25. Oktober 2022 @ 23:42
Ein Problem sind eingebettete Youtube-Videos. Der IFRAME zieht ebenfalls Google-Fonts schon beim Laden und gibt damit die IP-Adresse preis. Es gibt keinen Grund, warum das nicht auch abgemahnt werden kann. Es sei denn, man beruft sich darauf, dass man berechtigtes Interesse hat, das Video einzubetten und es keine andere Möglichkeit gibt.
Was tun? Videos nur vom eigenen Server laden? Nur einen Link einbauen der das Video öffnet? Oder gibt es noch bessere, elegantere Möglichkeiten??
19. Juli 2021 @ 7:55
Mittlerweile sind wir in 2021….Google Fonts nutzt nach wie vor die IP Adresse der Nutzer um die Schriften zur Verfügung zu stellen (überträgt also vollständige IP Adressen in die USA)….Pricvacy Shield ist tot, die Standardvertragsklauseln sind für die Übertragung in die USA nicht anwendbar weil Google das schliecht nach deren Gesetzen nicht umsetzen kann. Und nu?
25. Januar 2022 @ 23:28
Es gibt nun endlich ein erstes Urteil zu diesem Sachverhalt:
Das Landgericht München hat – als erstes Gericht in Deutschland – entschieden: Die Verwendung/Einbindung von Google Fonts auf einer Webseite ohne vorherige Einholung der Zustimmung des von der Weitergabe der IP-Adresse an Google betroffenen Internetseitennutzers ist unzulässig.
Neben einem Unterlassungsanspruch gegen den Webseiten-Betreiber steht dem Betroffenen für die unzulässige Weitergabe eine Entschädigung zu. Urteil vom 20.01.2022, AZ: 3 O 17493/20
28. August 2018 @ 11:22
Der Artikel ist mir ein wenig zu kurz gegriffen.
Die Abgrenzung zwischen Google Fonts und Anyltics stellt für uns der ADV-Vertrag dar. Während Google bei Fonts sagen kann was es will, hat man bei Analytics einen Vertrag abgeschlossen, der das Weiterverarbeiten zu Werbezwecken durch Google untersagt.
Zur Reichweitenmessung hat man ein berechtigtes Interesse als Webseitenbetreiber, auch über einen Google Dienst. Das Aufsetzten eines eigenen Services zur Reichweitenmessung stellt einen weitaus höheren Aufwand dar, als die einfache Einbindung von Google Fonts (Aufwand je nach Agentur 30 Minuten – 1 Stunde, Kosten überschaubar 25 – 100€).
Im letzten Absatz ist leider ein kleiner Fehler versteckt, vielleicht war es anders gemeint:
„Nun könnte man noch auf die Idee kommen, dass Google die Daten vom Webtracking mit Google Analytics um die Daten der Schriftarten-Bezieher anreichern könnte. Aber auch das geht nicht ohne zusätzliche Anstrengungen. Während die Schriftarten von den Servern fonts.googleapis.com und fonts.gstatic.com stammen, wird Google Analytics über http://www.google-analytics.com eingebunden. Schließlich wird das Google Analytics Cookie auch gar nicht an Google geschickt, sondern an den jeweiligen Seitenbetreiber. Das Tracking-Cookie von Google Analytics kann also nicht an Googles Font-Server verschickt werden.“
Selbstverständlich werden alle Cookies von Google Analytics an die Google Server gesendet. Ansonsten wären u.a. Statistiken wie Unique Visitor nicht möglich. Google ist zwar rechtlich nicht in der Lage die Daten selbst zu Marketingzwecken zu verarbeiten und mit den Fonts Daten zu matchen (aufgrund des Analytics ADV-Vertrags), dass die Daten nicht an Google gesendet werden ist jedoch nur aus rechtlicher Sicht richtig (Auftragsdatenverarbeiter).
29. August 2018 @ 9:24
Zum ersten Teil: Anders als bei Google Analytics wird bei Fonts aber gerade kein Tracking betrieben. Unabhängig davon, dass eine lokale Einbindung recht einfach möglich ist, steht das m. M. n. nicht einer Interessenabwägung zugunsten des Webseitenbetreibers entgegen, weil der einzige Eingriff in die Rechte der betroffenen Person hier darin liegt, dass der Zugriff auf die Fonts aggregiert ausgewertet wird.
Zu Teil 2: Die Google Analytics Cookies werden an die jeweilige Domain des Seitenbetreibers geschickt. Sie werden auf .NameDerDomain.de ausgestellt und können demnach auch nur an diese jeweilige Domain (inkl. Subdomains) vom Browser verschickt werden. Was Sie wahrscheinlich meinen ist, dass das Cookie, das zum Seitenbetreiber geschickt wird, hinterher in Google Analytics eingebunden wird, um eine Auswertung durch Google zu ermöglichen. Es wird aber nicht direkt vom Browser an Google geschickt, was technisch ein Unterschied ist.
16. August 2018 @ 17:14
„Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“
Heißt das dann, dass Behörden Google-Fonts (oder irgendwelche anderen externen Seiteninhalte) nicht benutzen dürfen?
20. August 2018 @ 11:35
Diese interessante Frage könnte man auf mehrere Arten und Weisen beantworten:
Entweder geht man den Weg, dass hier eine Übermittlung nicht vorliegt, sodass keine Rechtsgrundlage für eine Verarbeitung notwendig ist, was aber sicherlich zu erheblichen Abgrenzungsschwierigkeiten führen wird (z. B. wo fängt eine Übermittlung an, wo hört sie auf).
Oder aber man nimmt an, dass eine Webseite nicht als „für die Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung“ zu klassifizieren ist. Schließlich gibt es auch bei Behörden Tätigkeiten, die nicht primär der „Erfüllung ihrer öffentlichen Aufgaben“ dienen, was man bei Bereitstellung einer Webseite zu Informationszwecken wohl auch vertreten könnte.
Oder man versagt Behörden die Einbindung externer Inhalte (weil jeder externe Inhalt eine Übertragung der IP, Browser-Infos etc. bedeutet), was ich aber für praxisfern und zudem schädlich für die Entwicklung der Internetauftritte halte.
16. August 2018 @ 15:22
Es ist ohne Umstände möglich, die Google Fonts auf dem eigenen Server zu hosten und direkt von dort zu laden.
So gesehen ist die Datenübermittlung nach außerhalb der EU aus meiner Sicht nur schwer als „berechtigtes“ Interesse zu begründen.
15. August 2018 @ 23:11
Hm, die Einbindung der Google Fonts über das berechtigte Interesse, ok. Aber woraus ergibt sich die Rechtsgrundlage der Übermittlung außerhalb der EU?
16. August 2018 @ 11:24
Danke für den Beitrag!
Zuerst würde ich fragen, ob man hier überhaupt von einer Übermittlung im Sinne der DSGVO sprechen sollte. Wenn man das tut, steht man vor dem Problem, dass dies das Ende aller extern eingebundenen Quellen bedeutet, weil hier immer eine Übermittlung an Drittstaaten im Sinne des Datenschutzrechtes vorliegen kann, sobald ein Server außerhalb der EU steht. Z. B. wäre der Fall vorstellbar, dass eine .de-Domain über nicht-EU-Server läuft und das dem Webseitenbetreiber nicht einmal klar sein könnte.
Gegen eine Übermittlung spricht auf jeden Fall, dass die Übermittlung der IP hier nur den Zweck verfolgt, Schriftarten abzurufen. Ein Cookie wird gerade nicht gesetzt und es werden (bis auf die notwendigen) keine weiteren Informationen über den Nutzer übermittelt. Vielmehr liegt hier nur ein „Abholen“ der Fonts und deshalb weniger eine Übermittlung vor.
Und wenn man hier doch eine Übermittlung annehmen möchte, ist Google LLC Privacy Shield zertifiziert, was zumindest (noch) eine Basis für die Übermittlung in die USA ist.
Von dieser Löung würde ich aber aufgrund einer völligen Praxisuntauglichkeit Abstand nehmen, weil man nicht ernsthaft erwarten kann, dass bei extern eingebunden Quellen der Webseitenbetreiber nun auch noch prüft, ob denn eine Privacy Shield Zertifizierung vorliegt.
16. August 2018 @ 17:11
„Gegen eine Übermittlung spricht auf jeden Fall, dass die Übermittlung der IP hier nur den Zweck verfolgt, …“
Der Satz ist doch ein Widerspruch in sich, oder? Sie schreiben ja selbst, dass „die Übermittelung“ diesen und jenen Zweck verfolgt. Ich habe auch noch nirgendwo gelesen, dass der Begriff Übermittlung vom Zweck abhängt?
Ansonsten stimme ich Ihnen aber zu: „… steht man vor dem Problem, dass dies das Ende aller extern eingebundenen Quellen bedeutet, …“
Bei dem Wortlaut entsprechender Auslegung der DSGVO steht man vor allerlei Problemen.
17. August 2018 @ 8:07
Es sollte Übertragung heißen, das ist sonst natürlich ein Widerspruch.
15. August 2018 @ 18:12
(z. B. mit Google Analytics oder Piwik)
Piwik, jetzt Matomo
https://de.wikipedia.org/wiki/Matomo