In den letzten Wochen erhielten immer mehr Webseitenbetreiber anwaltliche Abmahnschreiben wegen der Nutzung von Google Fonts. Mit beinahe 1500 verfügbaren Font Familien, verwenden mehr als 70% aller Webseitenbetreiber Google Fonts um ihre Textinhalte zu präsentieren.
Die vom Suchmaschinenriesen zur freien Verwendung bereitgestellten Schriftarten sind nicht nur lizenzfrei und für die kommerzielle Nutzung freigegeben – APIs ermöglichen die unkomplizierte Implementierung mittels CSS und Android. Genau dieses praktische Feature konfrontiert Betreiber nun mit einem Problem: Bei der dynamischen Einbindung von Schriftarten findet ein Datentransfer in die USA statt. Konkret, betrifft die Datenweitergabe die IP-Adresse des Users an Google LLC. Diese ist laut Mahnschreiben unzulässig und verstößt gegen die aktuelle DSGVO.
Ist auch Ihr Unternehmen von der Abmahnungswelle betroffen? Wie reagieren Webseitenbetreiber im Falle einer Schadenersatzforderung am besten und welche Maßnahmen können Sie treffen um Ihre Schriftart weiterhin auf Webseiten nutzen zu können? Jetzt weiterlesen!
Datenweitergabe via Google API
Bereits im Januar 2022 fällt das Landgericht München das Urteil: Der Einsatz von Google Fonts ohne Einwilligung ist rechtswidrig. Die mit dem Urteil einhergehende Abmahnungswelle ist nun nach Österreich übergeschwappt. Seit Juli erhalten auch Österreichische Unternehmen Mahnschreiben aufgrund eines Datenschutzverstoßes. Gefordert werden vom Betreiber 100 Euro Schadensersatz, sowie ein Kostenersatz um Anwaltskosten zu decken.
Mittels Massenaussendung erhalten Seitenbetreiber landesweit solche Mahnschreiben.
Die WKO hat sich dieser Thematik bereits angenommen und ein offizielles Statement veröffentlicht. Tatsächlich, werden über die Google Fonts API IP-Adressen an den US-Konzern weitergegeben. Diese können gegebenenfalls natürlichen Personen zugeordnet werden und sind im datenschutzrechtlichen Sinn, als „personenbezogene Daten“ zu behandeln. Aus technischer Sicht, findet allerdings keine Datenspeicherung dieser IP-Adressen auf Google LLC Servern statt. Die Daten scheinen nur in Form von Logfiles auf und können (wenn überhaupt) nur vom Betreiber selber eingesehen werden. Weil die Nutzung von Google Fonts nicht authentifiziert ist und Nutzerinformation weder auf Cookies abspeichert, noch sonst irgendwo protokolliert werden, ist aktuell noch ungewiss ob die dynamische Einbindung der beliebten Schriftarten für den Datenschutz Ihrer Nutzer bedenklich ist. Das Logging der IP-Adressen dient lediglich der Erhebung von Nutzerzahlen: Wie oft Ihre gewählte Schriftart ist, können Sie jederzeit im Google Fonts eigenen Analytics nachsehen!
Meine Webseite verwendet Google Fonts! Muss ich mir jetzt eine Alternative Suchen?
Fixer Bestandteil professionellen Webdesigns, ist die Auswahl des richtigen Fonts von großer Bedeutung für jeden Markenauftritt. Schriftarten verleihen Unternehmen Persönlichkeit und tragen parallel zum Logodesign Ihre Markenbotschaft nach Draußen.
Die Google Fonts API liefert Auskunft über die Anzahl der Abrufe jeder Schriftart. Wie beliebt ist Ihr Font?
Ob Sie sich für eine klassische Serifenschrift wie Times New Roman, eine auf Bildschirmen leicht leserliche serifenlose Schriftart (so wie auf www.IXSOL.at), oder für eine verspielte Schreibschrift, um Ihre Marke nahbarer zu präsentieren entschieden haben – Im Google Fonts Schriftenverzeichnis werden Sie bestimmt fündig. Umso verständlicher ist der Wunsch, die Ihrer Unternehmensidentität zugewiesene Schriftart weiterhin verwenden zu wollen.
Um im Falle einer Abmahnung datenschutzrechtlich auf der sicheren Seite zu sein, empfehlen wir die Schrifteinbindung technisch so anzupassen, dass der Datentransfer in Drittländer unterbunden wird. Wie das geht, erfahren Sie im nächsten Abschnitt!
Präventivmaßnahme: Google Font Lokal einbinden
In erster Linie gilt es zu ermitteln, ob Ihre Webseite/Ihr Webshop Schriftarten über die Google Fonts API nachlädt. Dieses praktische Prüftool liefert innerhalb weniger Minuten Auskunft über nachgeladene Schriftarten. Wurde die verwendete Schriftart dynamisch in Ihre Webseite eingebunden, verstoßen Sie möglicherweise gegen die DSGVO und sollten daher zeitnah handeln!
Werden auf Ihrer Webseite Schriftarten über die Google Fonts API nachgeladen, besteht Handlungsbedarf!
Obwohl das Prüfverfahren in dieser Sache derzeit noch nicht abgeschlossen ist, empfiehlt die Datenschutzbehörde die Einbindung zu kontrollieren und im Falle einer Verbindung zum Google Server die entsprechenden technischen Maßnahmen zu treffen. Um Ihre Schriftart zukünftig unabhängig von Servern eines Drittanbieters auszuliefern, hosten sie diese am besten auf Ihrem eigenen Server.
Um Google Fonts lokal zu hosten, müssen Sie erstmals das CSS Ihrer präferierten Schriftart, inklusive dazugehöriger @font-face Regeln bereitstellen. Spielend einfach gelingt das mit dem Lizenzfreien Google Web Fonts Helper. Achten Sie bei der Erstellung des CSS Codes nicht nur darauf, alle erforderlichen Stile mit einzubeziehen, sondern auch die entsprechenden Formate für die Ausspielung in älteren Browsern zu berücksichtigen! Haben Sie Ihre fertige CSS-Datei runtergeladen, können Sie diese auf Ihren Server legen. Richtig konfiguriert, werden Schriftarten nun nicht mehr über die Google API nachgeladen.
Gibt es Nachteile bei der lokalen Einbindung von Google Fonts?
Seitenbetreiber sollten stets den korrekten Umgang mit Userdaten priorisieren. Allerdings möchten wir Ihnen die Nachteile von lokalem Hosting nicht vorenthalten.
Da die CSS-Datei einmalig auf den lokalen Webserver gelegt wird, werden Schriftarten nicht automatisch auf die neuste Version aktualisiert. Die lokale Einbindung führt außerdem zu einer minimalen Zusatzbelastung des eigenen Webservers. Dies kann sich negativ auf die Ladezeit auswirken und im Punkteabzug bei der Core Web Vitals Leistungsbewertung führen. Mithilfe eines CDNs (Content Delivery Networks) lassen sich die Anzahl der DNS-Lookups reduzieren und die Gesamtgeschwindigkeit erhöhen.
Für die lokale Einbindung ist technisches Know-How erforderlich. Alternativ, kann die Einbindung (sofern für Ihr System erhältlich) mittels Plug-In erfolgen. Bei Umsetzung durch einen externen Dienstleister, können für den Aufwand Mehrkosten entstehen.
Die Krux mit der Drittanbietersoftware
Die Weitergabe von Nutzerdaten an Dritte, beschäftigt Webseitenbetreiber in vergangen Jahren immer häufiger. Die Rechtslage zur Speicherung personenbezogener Daten auf Cookies wurde bereits klar definiert: Besucher müssen nun Ihre ausdrückliche Zustimmung erteilen, bevor gesammelte Daten gespeichert und weiterverarbeitet werden dürfen. Bei einem Verstoß drohen Unternehmen teure Bußgelder.
Content Management Systeme und Pagebuilder erfreuen sich immer größerer Beliebtheit. Während diese es ermöglichen, Webseiten und Webshops ohne umfangreiches technisches Wissen zu warten, gilt es bei der Nutzung von Webseitenbaukästen ein besonderes Augenmerk auf datenschutzrelevante Funktionen zu legen.
Bei der Verwendung von Drittanbietersoftware lohnt sich manchmal ein Blick ins Kleingedruckte.
Diese Vorsicht ist auch bei der Nutzung von Plug-Ins geboten! Sitzt der Softwarehersteller nicht in der EU, und unterliegt somit nicht der DSGVO, wird dieser vermutlich wenig Fokus auf technische Möglichkeiten zur lokalen Einbindung von Schriftarten legen. Der beliebte Spamschutz reCAPTCHA ist nur ein Beispiel eines solchen Features. Das Programm verhindert Handlungen von sogenannten Bots auf Webseiten indem menschliche Nutzer identifiziert und differenziert werden können. Allerdings, bedient sich die Gratisanwendung auch einer Schriftart, welche über die Google API geladen wird.
Ich habe ein Mahnschreiben erhalten! Was nun?
Der Schutz von Userdaten ist ein ernst zu nehmendes Thema und sollte auf keinen Fall auf die leichte Schulter genommen werden. Bezüglich des Spezialfalles Google Fonts, gibt es noch keine klare Stellungnahme. Die Wirtschaftskammer stellt Musterschreiben zur Auskunftserteilung, sowie vorgefertigte Textbausteine auf ihrer Webseite zur Verfügung.
In jedem Fall, sollten Sie sich an Ihren Datenschutzbeauftragten wenden und zeitnah technische Maßnahmen zur Unterbindung des Datentransfers in die USA in die Wege leiten. Haben Sie ein Mahnschreiben erhalten und nach Überprüfung festgestellt, dass auf Ihrer Webseite keine personenbezogenen Daten verarbeitet werden, rät die WKO mit einer Negativauskunft zu reagieren. Entscheiden Sie gemeinsam mit Ihrem Rechtsanwalt, ob Sie den Schadensersatzanspruch und damit einhergehende Vertretungskosten anerkennen wollen.
Bis das Amtswegige Prüfverfahren abschlossen ist, empfehlen wir zumindest die Fristen zur Auskunftserteilung im Auge zu behalten und Ihre Google Schriftart lokal einzubinden. Nutzen Sie die Gelegenheit, Ihre Webseite auf weitere DSGVO-relevante Lücken zu überprüfen um im Falle einer Klage auf Schadensersatz bestens vorbereitet zu sein!
KOMMEN WIR INS GESPRÄCH!
Sie haben aktuell Google Fonts in Verwendung und benötigen Hilfe bei der lokalen Einbindung Ihrer Schriftart? Wir unterstützen Sie tatkräftig dabei Ihre Webseite DSGVO-konform aufzubereiten und beraten Sie kompetent in allen Sachen Datenschutz.
Datenschutz liegt uns am Herzen. Wir ermitteln gemeinsam mit Ihnen die optimale Lösung für den korrekten Umgang mit Userdaten.
Sie wollen Ihr Unternehmen im Netz präsentieren und Ihre Inhalte an die richtige Zielgruppe bringen? Unser Team aus erfahrenen Programmierern, Digital Marketern und kreativen Designern begleitet Sie von der Auswahl der Schriftart bis hin zur Fertigstellung Ihres Webprojekts und ermittelt gemeinsam mit Ihnen die optimale Strategie zur Reichweitensteigerung.
Hier geht es zum kostenlosen IXSOL WEB-Check!
Keine passende Dienstleistung in unserem Portfolio gefunden? Rufen Sie uns an oder hinterlassen Sie uns ganz unverbindlich eine Nachricht, um eine auf Ihre Bedürfnisse zugeschnittene Lösung zu erhalten.
