Einsatz von Google Fonts auf Webseiten. Zulässig oder nicht?
von Thomas Bierlein | Feb 18, 2022 | Allgemein, Datenschutzrecht, IT-RechtFür den Betrieb einer Website ist es sehr hilfreich, wenn verschiedene Schriften zur Verfügung stehen, um eine gute und gewünschte Darstellung der Inhalte zu gewährleisten. Google bietet eine Vielzahl von Schriften (Fonts) zur Verwendung in digitalen Produkten und im Internet an.
Speziell für die Verwendung im Internet werden diverse Web Fonts angeboten.
Hierbei gibt es die Wahl zwischen zwei Möglichkeiten.
I. Die Web Fonts werden per HTML-Code eingebunden, damit diese bei Bedarf von Google Servern geladen werden (externe Schriften).
II. Oder man lädt die Web Fonts auf seinen eigenen Server und bindet diese lokal in die Website ein (lokale Schriften).
Die Verwendung von US-Diensten wie Google Analytics ist – insbesondere seitdem der EuGH das EU-US Privacy Shield im Juli 2020 für ungültig erklärt hat („Schrems II“-Entscheidung bzw. Urteil in der Rechtssache C-311/18) – rechtlich kritisch bis unmöglich. Ob bzw. wann dies auch bei der Verwendung von Google Web Fonts nach der aktuellen Rechtslage der Fall ist, soll im Folgenden geklärt werden.
ad I. Zulässigkeit externe Schriften
Wenn eine Website externe Schriften verwendet, dann passiert in einfachen Worten folgendes:
Die Schriften werden immer von Google Servern in den USA geladen, sobald beim Besuch der Website eine Internetseite aufgerufen wird. Hiermit wird auch die IP-Adresse der Besucherin oder des Besuchers der Website in die USA übermittelt.
Die IP-Adresse ist ein personenbezogenes Datum nach der DSGVO und als solches geschützt.
Dies führt zu mindestens zwei Problemen.
Für die Übertragung der IP-Adresse in die USA benötigt man eine Ermächtigungsgrundlage nach Art. 6 DSGVO. Hier kommt nur die Einwilligung in Betracht, die gem. Art. 7 DSGVO erteilt werden muss. Dies gelingt in der Regel nicht, da eine aufgeklärte und transparente Einwilligung erforderlich ist.
Darüberhinaus ist die Übermittlung der Daten in die USA (Drittland gem. Art. 44 ff DSGVO) nur zulässig, wenn ein angemessenes Schutzniveau im Drittland garantiert werden kann. Im Fall der USA hat der EuGH („Schrems II“-Entscheidung bzw. Urteil in der Rechtssache C-311/18) jedoch geurteilt, dass in den USA grundsätzlich kein angemessenes Datenschutzniveau besteht.
Sofern keine weiteren Schutzmaßnahmen vom Betreiber der Website getroffen werden, ist die Übermittlung in das Drittland rechtswidrig.
Dies dürfte bei den meisten Webseiten, die externe Schriften verwenden, der Fall sein.
Nach Ansicht der Aufsichtsbehörden ist ein solcher internationaler Datentransfer zurzeit nur in besonders begründeten Ausnahmefällen zulässig (s. hierzu z.B. Orientierungshilfe LfDI Baden-Württemberg).
Im Ergebnis ist es nicht ratsam, Google Web Fonts auf seiner Website als externe Schriften einzubinden.
ad II. Zulässigkeit lokale Schriften
Bei der Einbindung von lokalen Schriften erfolgt keine Übermittlung in ein Drittland gem. Art. 44 ff DSGVO. Es ist auch keine Einwilligung erforderlich. Somit ist dies aus rechtlicher Sicht der eindeutig bessere, um nicht zu sagen einzige Weg.
Zusammenfassung:
Die schlechte Nachricht zuerst: Die vermeintlich einfache Lösung, die Verwendung externer Schriften, ist nicht zulässig. Auch wenn die meisten Webseiten im Internet externe Schriften verwenden, ändert dies nichts an der fehlenden Zulässigkeit.
Es gibt auch schon Gerichtsurteile, die dies speziell für Google Web Fonts festgestellt haben, s. LG München: 3 O 17493/20 vom 20.01.2022. Dem Besucher der streitgegenständlichen Website wurde auf Grund der Rechtswidrigkeit dieser Datenverarbeitung (Übermittlung ins Drittland) sogar ein Schmerzensgeld i.H.v. 100,00 € zugesprochen.
Im Ergebnis ist es deshalb unbedingt ratsam, die externe Schriften nicht zu verwenden. Denn neben Maßnahmen einer Aufsichtsbehörden drohen ggf. auch Schadensersatzforderungen der Nutzer der Website.
Die gute Nachricht: Die Verwendung von lokalen Schriften ist zulässig.
Unternehmen und Werbeagenturen, die Google Web Fonts als externe Schriften verwenden, sollten folgendes tun:
- Prüfen, ob die Website Server von Google aufruft. Dies kann man mit internen sowie externen Tools, wie z.B. mit Webbkoll feststellen. Sollten Drittanfragen von Hosts wie „fonts.googleapis.com“ oder „fonts.gstatic.com“ auftauchen, dann ist dies der Fall.
- Feststellen, welche Schriften aktuell verwendet und in Zukunft benötigt werden.
- Die benötigten Schriften sollte man lokal einbinden. Dies sollte für einen Administrator oder eine gute Werbeagentur kein Problem darstellen. Ansonsten gibt es im Netz hierzu Anleitungen, s. z.B. https://google-webfonts-helper.herokuapp.com/fonts
Abschließend noch ein paar Worte zur Frage der Lizenzen bei der Verwendung von Web Fonts:
Laut eigener Aussage von Google sind alle Schriften (Fonts) „free to use“ und unter Open-Source-Lizenzen veröffentlicht, so dass sie in jedem nicht-kommerziellen oder kommerziellen Projekt verwendet werden können. Die Lizenz der jeweilige Schrift findet sich auf der zugehörigen Website, z.B. für die Schrift „Roboto“ hier: https://fonts.google.com/specimen/Roboto#license
Die meisten Schriften stehen unter der Apache License, Version 2.0 oder der SIL Open Font License. Dies führt in der Regel dazu, dass die Schrift frei verwendet werden können – ob gedruckt oder digital, kommerziell oder anderweitig.
Dies gilt grundsätzlich auch für die lokale Speicherung der Schrift auf dem eigenen Server. Um ganz sicher zu gehen, sollte man sich aber die Lizenz-Bedingungen der gewünschten Schrift anschauen und prüfen, ob die lokale Einbindung zulässig ist.
Sollten Sie Fragen zu diesen Themen haben, können Sie gerne Kontakt mit uns aufnehmen.