Ärger wegen Google Fonts? So gelingt der datenschutzkonforme Einsatz der beliebten Schriftarten auf Ihrer Website
Muss ich dieses Schreiben ernst nehmen?
Sind Google Fonts dynamisch auf Ihrer Website eingebunden, so findet die Übermittlung der IP-Adresse des Websitebesuchers an die Server von Google statt. Das Problem: Die IP-Adresse des Websitebesuchers stellt ein personenbezogenes Datum dar. Somit werden personenbezogene Daten ohne Einwilligung der betroffenen Person in einen „unsicheren“ Drittstaat (USA) übermittelt. Wer die Datenschutzgrundverordnung (DSGVO) kennt, der weiß, dass eine Übermittlung personenbezogener Daten in ein Drittland nur unter bestimmten Voraussetzungen möglich ist.
Wie kann ich den Einsatz von Google Fonts datenschutzkonform umsetzen?
Ist die Einwilligung das Allheilmittel?
Eine Möglichkeit, stellt die aktive Einwilligung des Websitebesuchers dar. Eine aktive Einwilligungsmöglichkeit lässt sich über den Consent-Banner (gemein auch als Cookie-Banner bekannt) verwirklichen. Dieser Ansatz löst ihr Problem nur bedingt und birgt Gefahren:
Was passiert, wenn der User nicht in den dynamischen Ladevorgang und folglich der Übertragung seiner personenbezogenen Daten in ein Drittland einwilligt?
Lehnt der Websitebesucher ab, wird Ihre Website nicht einheitlich dargestellt und in der Regel standardmäßig eine sog. Fallback-Schriftart geladen.
Ein weiterer Aspekt, der erfahrungsgemäß viel zu oft unterschätzt wird, stellt die richtige Konfiguration des Consent-Banners dar. Im Rahmen eines Großprojekt für einen DAX-Konzern haben wir mehrere tausend Websites auf Datenschutzkonformität untersucht und mussten feststellen, dass auf 80% der untersuchten Websites der Consent-Banner falsch oder gar nicht konfiguriert wurde.
Wenn Sie sich also dafür entscheiden, für das dynamische Laden von Google Fonts eine aktive Einwilligung des Websitebesuchers einzuholen, stellen Sie sicher, dass die Fonts erst geladen werden, wenn der Websitebesucher den entsprechenden Button des Consent-Banners ausgewählt hat und so seine Einwilligung erteilt.
Eine weitere Möglichkeit, die wir Ihnen definitiv empfehlen, stellt die lokale Einbindung der entsprechenden Google Fonts dar. Durch die sog. lokale Einbindung der Fonts findet kein Austausch personenbezogener Daten mit Google-Servern statt und es wird folglich keine Einwilligung des Websitebesuchers benötigt und Ihre Website wird einheitlich dargestellt. Diese Variante ist mit allen gängigen Content Management Systemen wie z. B. Wordpress, Contao, Joomla!, Drupal, Shopify, Magento etc. möglich.
Was muss ich jetzt tun?
Als erstes sollten Sie prüfen, ob und wie Google Fonts auf Ihrer Website eingebunden sind. Dann kann die korrekte Einbindung wie bereits oben geschildert stattfinden.
Bitte vergessen Sie nicht Ihre Datenschutzerklärung entsprechend anzupassen.
Sie haben ein ähnliches Schreiben erhalten?
Eine anwaltliche Beratung kann Ihnen hier weiterhelfen. Sie sollten den geforderten Betrag auf keinen Fall zahlen oder eine Unterlassungserklärung abgeben.
Wie kann ich mich zukünftig gegen ähnliche Forderungen schützen?
Generell sind Google Fonts nicht der einzig mögliche Angriffspunkt. Die meisten Websites bedienen sich einer Vielzahl extern geladener bzw. eingebundener Technologien wie z. B. YouTube-Videos, verschiedene Karten-Dienste (Google Maps, OpenStreetMap), Analysetools wie Google Analytics etc.
Auch hier sind Sie als Websitebetreiber für einen datenschutzkonformen Einsatz der entsprechenden Technologien verantwortlich. Prüfen Sie deshalb welche Technologien auf welche Weise auf Ihrer Website verwendet werden. Die verwendeten Technologien sollten auch in der Datenschutzerklärung berücksichtigt werden.
Wie kann ich die auf meiner Website verwendeten Technologien identifizieren und feststellen, ob die Implementierung datenschutzkonform ist?
Die Identifizierung und die Beurteilung der implementierten Technologien auf Datenschutzkonformität ist nicht trivial. Wir empfehlen Ihnen deshalb eine professionelle Überprüfung Ihrer Website auf Datenschutzverstöße.
Wir von meggendorfer + haben hierfür unseren eigenen DSGVO-Scanner entwickelt, mit dem wir die auf Ihrer Website verwendeten Technologien identifizieren und die Datenschutzkonformität beurteilen. Wir können dadurch bespielsweise überprüfen, ob der von Ihnen verwendete Consent-Banner richtig konfiguriert ist und seine Aufgaben entsprechend erfüllt. Durch unser einschlägiges IT-Know-How unterstützen wir Sie zudem bei der technischen Umsetzung durch unsere pragmatischen Handlungsempfehlungen.
Sie haben Fragen zum datenschutzkonformen Betrieb Ihrer Website? Wir von meggendorfer + stehen Ihnen mit unserem Know-How im Bereich Datenschutz für Websites sehr gerne zur Verfügung.
Über die Autorin
Mein Name ist Christiane Meggendorfer. Ich bin Datenschutzbeauftragte und habe mich auf den Bereich Web-Datenschutz spezialisiert. Durch meinen informationstechnologischen Hintergrund, kann ich unsere Kunden umfassend beraten und bei der Umsetzung unterstützen.
oder rufen Sie uns an
08781 / 74 898 69