Google Fonts und Datenschutz:
Ist die Nutzung DSGVO-konform?
Mit der Nutzung US-amerikanischer Dienste von Microsoft und Google gibt es immer wieder datenschutzrechtliche Probleme. Das gilt auch für die nur scheinbar harmlose Verwendung der Schriftarten von Google Fonts.
Zwischen der EU und den USA besteht aktuell kein Datenschutzabkommen. Das macht die Nutzung US-amerikanischer Dienste für Unternehmen zu einem Risiko, denn die Datenübermittlung in die USA ohne Einwilligung der Nutzer ist nicht DSGVO-konform. Doch gerade Google speichert gerne Daten auf den eigenen Servern, über die deutsche Unternehmen dann kaum mehr Kontrolle haben. Das ist nicht nur bei Cloud-Lösungen wie Google Drive der Fall. Auch bei der Nutzung von Google Fonts besteht die Gefahr einer nach den Regeln der DSGVO nicht zulässigen Datenübermittlung.
Ist Google Fonts DSGVO-konform?
Google Fonts sind von Google lizenzfrei zur Verfügung gestellte Schriftarten. Sie können von Website-Betreibern kostenfrei für Ihre Online-Präsenz genutzt werden. Ruft ein Nutzer die Website auf, wird die gewählte Schriftart über die Google Fonts API direkt von den Google Servern abgerufen. Dabei erfolgt eine Übermittlung der IP-Adresse des Nutzers an die US-amerikanischen Server – und das ohne dessen Einwilligung. Diese Art der Verwendung von Google Fonts ist daher von Landgericht München am 20.01.2022 als nicht DSGVO-konform und damit illegal eingestuft worden.
Dabei handelt es sich keineswegs um einen Anfängerfehler von Betreibern kleiner Websites. Auch große Unternehmen haben mit der Nutzung von Google Fonts auf ihrer Website diesen Fehler begangen, der seit der Entscheidung des Landgerichts München als Datenschutzverstoß einzustufen ist.
So können Unternehmen Google Fonts DSGVO-konform nutzen.
Wer für seine Website dennoch nicht auf Google Fonts verzichten möchte, kann auf eine Alternative zurückgreifen. Um DSGVO-konform zu handeln, müssen Website-Betreiber auf eine datenschutzrechtlich unbedenkliche Einbindung der Schriftarten achten. Die gewählte Schriftart wird einfach heruntergeladen und direkt auf dem Server gehostet, auf dem die Website betrieben wird. Damit werden die IP-Adressen der Website-Besucher nicht in die USA übermittelt, was die Datensicherheit erhöht. Diese Methode ist nicht aufwendiger als das Abrufen der Schriftart von US-amerikanischen Servern aus, bietet aber unvergleichlich mehr Sicherheit und entspricht den Standards der DSGVO. Setzt ein Website-Betreiber auf Google Fonts, sollte er also bewusst darauf achten, die Schriftarten direkt herunterzuladen und auf diesem Wege einzubinden.
Ist ein Unternehmen sich nicht sicher, ob es Google Fonts datenschutzkonform anwendet oder ob bereits ein Datenschutzverstoß begangen wurde, lohnt sich die Beratung durch einen externen Informationssicherheitsbeauftragten. Dieser hilft auch dabei, künftigen Datenschutzverstößen bei der Verwendung von Google Fonts und anderen Google-Diensten vorzubeugen. So profitieren Unternehmen von den praktischen Dienstleistungen des US-amerikanischen Tech-Riesen und stehen datenschutzrechtlich immer noch auf der sicheren Seite.
Die Immerce GmbH ist die Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für ihre Kunden Suchmaschinenoptimierung. Seit 2018 ist mit der Einführung der DSGVO der Geschäftsbereich betreuen wir unsere Kunden zusätzlich in den Bereichen Datenschutz & IT-Sicherheit.
Kontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
08323-209 99 43
muens@immerce.de
https://www.immerce-consulting.de