Google Fonts sind kostenlose Schriftarten des US-Konzern Google, welche zur freien Verfügung stehen. Dabei ist nicht jedem Webseitenbetreiber bekannt, dass Google Fonts auch durch eingebettete Google-Dienste (zB Google Maps, reCAPTCHA) automatisch mitgeladen werden. Bei einer dynamischen Einbindung werden die Schriftarten von Servern des US-Konzerns in den Browser des Besuchers geladen und dabei personenbezogene Daten, wie zB die IP-Adresse der Benutzer, in die USA übermittelt. Dies verstößt gegen das allgemeine Persönlichkeitsrecht und die DS-GVO.

Bereits in Schrems II hat der EuGH entschieden, dass das US-Recht den Schutz personenbezogener Daten von Bürgern aus der EU derzeit nicht angemessen gewährleistet. Demnach gelten die USA im datenschutzrechtlichen Sinne als „unsicherer Drittstaat“, der nicht ohne Weiteres Zugang zu personenbezogenen Datenströmen aus Europa erhalten darf.

Webseitenbetreibern sei deshalb geraten zu prüfen, ob sie Google Fonts einsetzen und falls ja, wie der Dienst in ihre Webseite eingebunden wird. Nach der Empfehlung des TLfDI sollte derjenige, der dynamische Google Fonts nutzt, diese Schriftarten lokal speichern und von dort in die eigene Webseite einbinden.

Zur Einbindung von Google Fonts raten wir die folgenden technischen Schritte umzusetzen:

  • Prüfung, ob Google Fonts tatsächlich auf der Webseite eingebunden ist.
  • Prüfung, ob Google Fonts überhaupt benötigt wird oder einfach standardmäßig eingebunden wurde.
  • Prüfung, ob die Schriftarten von einem Google-Server (nach)geladen werden, oder ob die Schriftarten lokal eingebunden sind. Eine lokale Einbindung ist empfehlenswert.
  • Prüfung, ob auf Grund der Einbindung von Google Fonts auf der Webseite überhaupt eine Verbindung zu einem Google-Server aufgebaut wird. Die Ergebnisse sollten dokumentiert werden.

Die Ausführungen gelten für andere Schriftarten, z.B. Adobe Fonts und Anwendungen, z.B. Google Analytics, gleichermaßen. Melden Sie sich, wenn Sie Unterstützung benötigen.