Datenschutz

Webfonts konform zur DSGVO einsetzen

Zahlreiche Websites betten Webfonts auf ihren Seiten ein. Viele nutzen dabei Google Fonts, aber es gibt auch andere Anbieter. Und warum auch nicht? Webfonts sind beliebt und bieten eine schöne Möglichkeit die eigene Webseite noch individueller zu gestalten.

Was Webseitenbetreiber oft vergessen, ist, dass die Einbindung von Webfonts (oft) den Bestimmungen der DSGVO unterliegt und daher eine rechtliche Grundlage benötigt. Konkret ist in vielen Fällen die Zustimmung der Nutzer erforderlich.

Vorweg: Dies ist keine Rechtsberatung

Ich bin kein Jurist. Ich schreibe hier lediglich meine Erfahrungen und meine Einschätzung nieder. Eine Rechtsberatung darf und will ich nicht leisten. Wer dies benötigt sollte unbedingt einen Anwalt mit dem Schwerpunkt Datenschutz im Netz befragen.

Danke für Dein Verständnis.

Was ist eine Webfont?

Eine Webfont, oder auch Webtypographie ist eine Schriftart, die in modernen (eigentlich wirklich allen) Browsern eine individuellere Schriftgestaltung für Webseiten ermöglicht. Dabei können die Schriften lokal oder von einem anderen Server eingebunden sein.

Für Designer sind Webfonts eine sehr schöne Möglichkeit einer Webseite und/oder einer Marke ein individuelleres Aussehen und individuellere Nuancen

Technische Einbindung

Je nachdem, welche Bedingungen der Anbieter der Webfont in seinen Nutzungsbedingungen festlegt, können die notwendigen Dateien auf den eigenen Servern bereitgestellt werden oder man muss sie vom Server des Anbieters einbinden.

Dies hat Vor- und Nachteile.

Webfonts selbst hosten

Hostet man die Schriftart selbst entstehen beispielsweise keine Daten beim Anbieter der Schrift. Dieser weiß nicht, wie oft die Seite besucht wird, auf der die Schrift eingebunden wird. Auch kann er nicht nachverfolgen auf welchen Seiten ein Nutzer sich "herumtreibt". Denn wenn der gleiche Nutzer auf mehreren Seiten unterwegs ist, die eine Webfont des selben Anbieters einbinden, so erfährt der Anbeiter etwas über das Surfverhalten des Nutzers.

Es werden also keine personenbezogenen Daten an einen Dritten gesendet.

Sollten die Server des Anbieters einmal ausfallen ist dies egal und die lokal eingebundene Schriftart (also vom eigenen Server) wird dennoch dargestellt.

Hostet man die Schriftart selbst, so kann es passieren, dass der Browser die Seite erst mit einer Standardschrift darstellt, weil die Ladezeit der Webfont zu hoch ist. Das führt dann dazu, dass das Schriftbild springt, während die Seite schon sichtbar ist. Viele Nutzer empfinden dies als sehr störend.

Man sollte also darauf achten, dass die Webfont sehr schnell geladen wird vom eigenen Server.

Webfonts vom Anbieter laden

Viele Anbieter ermöglichen es gar nicht, dass man die Schrift lokal auf dem eigenen Server bereitstellt und verlangen, dass man die Schriftarten direkt vom Server des Anbieters einbindet. Dies hat oft lizenzrechtliche Gründe, weil Webfonts oft nur für eine bestimmte Anzahl an Aufrufen lizensiert werden können. Dies kann der Anbieter nur prüfen, wenn er selbst die Schriftart ausliefert.

Damit die Schriftart aber im Browser des Nutzers geladen werden kann, muss immer mindestens die IP-Adresse des Nutzers an den Anbieter übermittelt werden. Dies passiert automatisch beim Abruf und lässt sich auch nicht unterbinden.

Es findet also immer eine Übertragung personenbezogener Daten an einen Dritten statt.

Dafür sind die Server meist sehr schnell in der Auslieferung und die Probleme mit wechselndem Schriftbild sind tendenziell unbekannt.

Allerdings muss man hier die DSGVO beachten und dem Nutzer einerseits transparent erklären, welche Daten für die Darstellung der Webfont übermittelt werden, an wen dies geschieht und auf welcher Rechtsgrundlage diese Übermittlung stattfindet. Auch muss ich als Seitenbetreiber dem Nutzer die Möglichkeit geben der Übermittlung zu widersprechen - also die Darstellung der Webfont (und damit die Datenübermittlung) für diesen Nutzer unterdrücken.

Google Webfonts

Am Beispiel von Google Fonts lässt sich das schön einmal durchspielen. Das gilt aber im Grunde eben für alle Anbieter, von denen man die Schriftart direkt einbindet. Bei Google Fonts kommt dazu, dass die Datenübertragung ins nichteuropäische Ausland - hier die USA - erfolgt. Das erschwert die ganze Sache noch.

Google bietet allerdings auch beide Optionen an. Man kann die Dateien für die Schriftart herunterladen und auf dem eigenen Server zur Verfügung stellen. Also lokal, ohne Probleme mit der DSGVO, einbinden.
Man kann aber auch die Einbindung vom Google Server wählen. Dies ist natürlich deutlich bequemer und schneller umsetzbar.

In der Entwicklung der Webseite kommen bei einer lokalen Einbindung bestimmt 2 - 4 Stunden zusätzlicher Aufwand dazu. Nur als grobe Hausnummer, wenn Ihr Euch damit beschäftigt. Denn man will ja am Ende auch sicherstellen, dass alles getestet ist und auf den wichtigsten Geräten und in den wichtigsten Browsern gleich gut aussieht.

Google Fonts ist der wahrscheinlich populärste Dienst hinsichtlich der Bereitstellung und Einbindung von Webfonts. Alle Schriftarten dort sind kostenfrei nutzbar - auch für kommerzielle Zwecke. Aus meiner Sicht hat Google mit diesem Dienst das Thema schöne Schriftarten im Netz erst so richtig mit Leben gefüllt.

Aktuell gibt es bei Google Fonts (Anfang Juli 2021) 1.052 Schriftfamilien. Das ist schon ziemlich viel. Man kann Schriftarten filtern und durch die Vorschau auch gut beurteilen, ob die Schriftart zum eigenen Webauftritt passt.

Google Fonts und die DSGVO

Seit dem Inkrafttreten der DSGVO herrscht immer noch Unsicherheit, ob die Einbindung von fremden Servern einen Verstoß darstellen kann. Juristisch ist das umstritten - und am Ende kommt es hier auf die Risikofreude der Webseitenbetreiber an.

Einige meiner Kunden haben bereits gefragt, ob beispielsweise die Einbindung einer Google Font von den Google Servern einen DSGVO-Verstoß darstellt. Dies ist bislang abschließend (also höchstrichterlich durch BGH oder EuGH) noch nicht geklärt.

Bei Google sprechen einige Dinge (meiner Meinung nach deutlich) gegen eine DSGVO-konforme Einbindung:

Übermittlung personenbezogener Daten in die USA

Wie gesagt wird die IP Adresse in die USA übermittelt. Die IP Adresse gilt als personenbezogenes Datum und damit sind wir hier klar im Geltungsbereich der DSGVO. Für diese Übertragung benötigt man als Seitenbetreiber eine Rechtsgrundlage. Das kann die Einwilligung der Nutzer oder berechtigtes Interesse (siehe unten) sein.

Einwilligung technisch möglich, aber schwierig

Man kann natürlich, wen der Nutzer auf die Seite kommt erfragen, ob der Nutzer die Einwilligung in die Übermittlung der Daten erteilt und nur nach erfolgter Einwilligung die Schriftart laden und ausspielen. Dies ist mit einem gewissen technischen Aufwand verbunden, der sehr von der gewählten sogenannten Consent Lösung abhängt. Also von dem System, das die uns allen vertrauten Banner ausspielt, bei denen wir klicken können, ob wir der Datenerfassung zustimmen, oder diese Ablehnen. Ich habe hierzu bereits im Beitrag "Cookies & Consent" geschrieben.

Wenn der Nutzer seine Einwilligung erteilt, kann man die Schrift wie gesagt nachladen und es ändert sich einmal das Schriftbild. Für künftige Besuche merkt sich die Consent Lösung die Auswahl und die Schrift würde direkt geladen werden. Ebenso würde die Schriftart nicht mehr geladen, wenn der Nutzer seine Zustimmung nicht (mehr) erteilt oder zurückzieht.

Auch hier muss man einige Zeit für die Entwickler der Webseite einplanen, wenn man die entsprechende Lösung einbauen lassen will.

Viele Anbieter solcher Lösungen (die gibt es von Open Source bis richtig teuer) gehen davon aus, dass die Einbindung von Webfonts (über fremde Server) nicht ohne Zustimmung erfolgen darf.
Wie gesagt sprechen andere Stimmen im Datenschutzumfeld sich allerdings auch dafür aus, dass die Einbindung konform zur DSGVO erfolgen kann.

Auch dafür gibt es gute Gründe:

Keine Cookies

Google setzt keine Cookies wenn Schriftarten geladen werden. Damit bedarf es auch keiner Zustimmung zum Setzen von Cookies für die Schriftart.

Kein Nutzerprofil

Laut eigenen Aussagen wertet Google die Daten zur Nutzung von Schriftarten nur aggregiert statistisch aus. Hier könnte man nun die Frage stellen, ob man Google glauben kann. Und ob es reicht, dass Google dies ansagt.

Der Betreiber einer Webseite muss sich darauf verlasen und kann dies nicht prüfen. Also den Nutzer auch nur bedingt vollumfänglich informieren. So zumindest einige sehr strenge Datenschutzexperten.

Andererseits sind dies die offiziellen FAQs zur Nutzung von Google Fonts und dem Datenschutz und Google kann hier kaum riskieren sich die Blöße zu geben den eigenen Aussagen nicht zu folgen.

Allerdings gibt es auch Aspekte, die gegen eine Einbindung sprechen könnten. Manche deutlicher, andere noch recht ambivalent:

Berechtigtes Interesse

Nach Art 6 Abs. 1 lit. f DSGVO könnte sich der Betreiber der Webseite darauf berufen, dass ein "berechtigtes Interesse" vorliegt. Dies ist aber - wie oben schon geschrieben - richterlich noch nicht geklärt. Andererseits kann die designkonforme Darstellung des eigenen Internetauftrittes so gewertet werden.

Hier bleibt es spannend und abzuwarten, wie sich die Waage von Justizia bewegen wird.

Expertenmeinung

Neben Datenschützern, die sich deutlich gegen die Einbindung von Google Fonts aussprechen (oder analog entsprechend anderer Anbieter), spricht sich der durch seinen Datenschutzgenerator bekannte und anerkannte Jurist Dr. Schwenke schon 2019 dafür aus (ACHTUNG: Link geht zu Facebook), dass "ein externer Bezug der Schriftarten von Google zulässig [ist], wenn dessen Erforderlichkeit begründet und in der Datenschutzerklärung aufgenommen wird".

Google Fonts müssen also in der Datenschutzerklärung entsprechend genannt sein (also nicht die jeweilige Schriftart, sondern, dass Google Fonts genutzt wird). Und die Nutzung muss gut begründet werden - vor allem auch dahingehend, warum man keine alternativen Lösungen eingesetzt hat.

Meine ganz persönliche Einschätzung

Aktuell macht es den Eindruck, dass bestimmte Datenschutzbehörden in Deutschland dazu übergehen den unbedarften Einsatz derartiger Technologien und Anbieter mahnend zu unterbinden. Aktuell wurde in Bayern gerade beispielsweise einem Unternehmen der Einsatz des Newsletteranbieters Mailchimp untersagt, da dieses Unternehmen nicht begründen konnte, warum man nicht eine datenschutzfreundlichere Alternative eingesetzt hatte.

Es ist meiner Ansicht nach nur eine Frage der Zeit, bis dies auch bei Webfonts passieren wird.

Alternative Möglichkeiten

Bei Google Fonts ist es möglich die Dateien herunterzuladen und so datenschutzkonform einzusetzen. Hier solltest Du allerdings darauf achten, dass die Schriftart performant ausgeliefert wird.
Bei Adobe Fonts kann man die Schriftart nur vom Adobe Server einbinden. Oder beim ursprünglichen Produzenten der Schriftart eine entsprechende Lizenz erwerben.

Auch andere Schriftgießereien bieten entsprechende Lizenzen für Webfonts an. Ich nutze hier beispielsweise Basier Square der Schriftgießerei atipo. Hier kann man beispielsweise schon für kleines Geld tolle Schriftarten lizensieren.

Fazit

Webfonts sind eine tolle Option den eigenen Webauftritt individuell zu gestalten.

Mit der Option diese Schriftarten recht einfach von den eigenen Servern ausspielen zu lassen ist auch der Datenschutzaspekt einfach zu beachten. Ich persönlich rate inzwischen immer dazu den sichereren, datenschutzkonformen Weg zu gehen und die Schriftart auf dem eigenen Server bereitzustellen und von dort aus auszuliefern.

Falls es gar nicht anders geht sollte unbedingt die Einwilligung des Nutzers eingeholt werden - mit einer entsprechenden Consent Lösung.