Viele Webseiten nutzen gerne Google Fonts – Schriftarten von Google. Sie sehen gut aus, sind kostenlos und einfach einzubinden, denn die Schriftarten können auf der eigenen Website genutzt werden, ohne auf einem eigenen Service zwingend hochgeladen werden zu müssen. Doch seit Anfang dieses Jahres sind sie eine deutliche Gefahr für Webseiten Betreiber. Am 20. Januar 2022 entschied ein Gericht in München, dass ein Webseitenbetreiber 100 Euro für Datenschutzverletzung bezahlen muss. Bei der direkten Einbindung über den Google CDN wird die IP-Adresse des Benutzers ungefragt an die Amerikanischen Server geleitet. Dies verletzt die allgemeinen Datenschutz-Verordnungen, die sogenannten GDPR.
So ein mancher wird sich noch an den Sturm erinnern der kurz vor dem Ende der Deadline für GDPR konforme Cookies losbrach. Die EU legt großen Wert auf die Datensicherheit und Privatsphäre von EU-Bürgern. Bequeme Lösungen werden damit oft etwas unbequemer.
Es gibt noch nicht viele Kläger welche Webseitenbetreiber für die Nutzung von Google Fonts anklagen, aber hat man Google Fonts über den Google CDN eingebunden, so hält man eine rechtlich verwundbare Stelle der eigenen Webpräsenz offen.
Technischer Hintergrund
Wenn ein Google Font über Google’s Einbettung Methode eingebunden wird, dann fordert der Nutzer den Font beim Aufrufen der Webseite von Google an. Google speichert dann die IP-Adresse und sendet den Font. Und hier ist der springende Punkt: die dauerhafte Speicherung der IP-Adresse verstößt gegen GDPR, da die IP-Adresse Privatsache ist und der Besucher höchstwahrscheinlich der besuchenden Webseite nicht erlaubt hat diese an Dritte, in diesem Fall Google, weiterzugeben.
Und nun? Keine Google Fonts mehr?
Man muss jedoch nicht auf die tollen Google Fonts verzichten. Denn die Fonts an sich sind nicht problematisch, nur die CDN Implementation. Die Fonts müssen also heruntergeladen werden und lokal oder auf einem EU-Server gehostet werden. Anschließend bindet man sie von da in die Webseite an. Der Nutzer kann folglich nicht ungefragt über amerikanische Server geleitet werden.
Ferner können auch die benutzen Fonts auf den eigenen Server geladen und dann die Verweise ausgetauscht werden. Anstatt die Fonts über den Google CDN zu laden, verweist man auf die lokal gehosteten Dateien. Wem dies zu technisch ist, sollte sich professionelle Unterstützung suchen, denn für die meisten Laien ist dies nicht so einfach umzusetzen. Wichtig ist es allerdings schnell zu handeln um nicht abgemahnt zu werden.
Alternative Lösung: Zustimmung erfragen
Obgleich ein selbst hosten die beste Lösung darstellt, kann man es auch anders angehen. Denn Nutzer können ihre Erlaubnis zur Verarbeitung geben. Wichtig ist, dass die Google Fonts nicht geladen werden bevor der Nutzer nicht das Einverständnis gegeben hat. Dies kann zum Beispiel über eine Consent Tool geschehen.
Diese Methode birgt nur das Problem, dass der Nutzer zunächst keine Google Fonts hat und wenn die Einverständniserklärung abgelehnt wird auch keine haben wird. Dies lässt die Webseite nicht wie designed aussehen, was zu weiteren Problemen in der Darstellung führen kann.
In Kürze
Eingebettete Google Fonts sind zu einem Problem geworden, doch die Lösung muss nur angegangen werden. Niemand muss auf seine entzückenden Google Fonts verzichten, wenn diese selbst gehostet werden.
Beispiel aus einem Fall vom 30.08.2022
