Unter dem Aktenzeichen 3 O 17493/20 [1] hat das Landgericht München 3. Zivilkammer am 20.01.2022 in einem Urteil entschieden, dass der Einsatz von Google Fonts auf Webseiten nur mehr durch ausdrückliche Einwilligung der Besucher:innen erfolgen darf.
"... der Einsatz von Schriftartendiensten wie Google-Fonts nicht auf Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden kann, da der Einsatz der Schriftarten auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google-Servern hergestellt werden muss..."
-- LG München
Der technische Unterbau
Durch das Google-Fonts-API werden in der Regel keine Cookies gesetzt; jedoch übermittelt der Browser der Besucher:innen bei jeder Anforderung einer Schriftart (= englisch Font) an einen Font-Server u.a. deren IP Adresse. Diese (dynamische) IP-Adresse wird von Google erfasst und für Analysezwecke verwendet. Dieser Prozess ist auch in den AGBs zur Nutzung der Google Fonts API[2] festgehalten: "...the Google Fonts API is designed to limit the collection, storage, and use of end-user data to only what is needed to serve fonts efficiently. [...] Google Fonts logs records of the CSS and the font file requests, and access to this data is kept secure[3]".
Aus technischer Sicht können Fonts aber auch ohne großen Aufwand direkt durch die entsprechende Webseite selbst ausgeliefert werden. Notwendig dazu sind eine Zeile Code, die im zentralen CSS der Webseite platziert wird und die entsprechend hinterlegte Font-Datei (in der Regel eine *.woff[4] oder *.woff2[4] Datei).
LG München
Im Urteil stellt das LG Münschen fest, dass "dynamische IP-Adressen für den Betreiber einer Webseite ein personenbezogenes Datum darstellen , denn er verfügt abstrakt über die rechtlichen Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (im Anschluss an BGH VI ZR 135/13)".
Es kommt noch fetter: konnte man vor dem Urteil des Landgerichts den Einsatz von Google Fonts lt. DSGVO Art.6 Abs.1 S.1 lit.f auf ein berechtigtes Interesse stützen, gehört dies der Vergangheit an: "Der Einsatz von Schriftartendiensten wie Google Fonts kann nicht auf DSGVO Art.6 Abs.1 S.1 lit.f gestützt werden, da der Einsatz der Schriftarten auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss.".
Was zu tun ist
Nach dem Urteil des Landgerichts München ist die einzig rechtssichere Möglichkeit der Einbindung von Google-Fonts über die Google-Server die Einwilligung der Webseitenbesucher:innen (Anm. d. R.: dies betrifft auch die Einbindung von Font-Diensten jeglicher anderer Anbieter). Ein Eintrag in den internen Datenschutzbestimmungen bzw. ein Vermerk in der Datenschutzrichtlinie der Webseite kann in dieser Hinsicht keine Abhilfe leisten: für eine DSGVO-konforme Einwilligung ist es notwendig, dass Nutzer:innen zuerst informiert und nach einer Einwilligung/Ablehung gefragt werden, noch bevor ein Request an das Google-Fonts-API stattfindet; also noch bevor die Verbindung zu den Google-Servern hergestellt und die Fonts ausgeliefert werden.
Wie bei der Einwilligung zu Cookies müsste also ein Banner, vergleichbar einem Cookie-Banner, oder besser gesagt, ein Consent-Manger installiert werden: solange seitens der Besucher:innen keine Einwilligung vorliegt, werden keine Daten aus Quellen Dritter geladen.
Speziell bei Fonts kann dies eine entscheidende Auswirkung bei der Darstellung des Layouts der Webseite zur Folge haben: baut das Layout auf den nicht ausgelieferten Font(s) auf, wird, je nach Browser, eine unterschiedliche Ersatz-Schrift verwendet.
Aus technischer Sicht ist das Einbinden von Fonts aus Quellen Dritter ohnehin nicht begründbar: alle gängigen, modernen Browser unterstützen zur Darstellung von Schriften das WOFF bzw. WOFF2[5] Datei-Format. Letzteres zeichnet zusätzlich durch Kompression aus und begünstigt kürzere Ladezeiten. Durch das Laden von der selben Quelle (Webseite + Schriften) fallen auch zusätzlicher Overhead, bedingt durch DNS Requests (des Protokolls TCP/IP[6]) an weitere Quellen, weg.
Auch bei der Verwendung von *.svg, *.iot oder *.ttf Datei-Typen zur Darstellung von Fonts, gibt es selten Probleme. Zudem werden zur lokalen Auslieferung von Schriften, neben den Font-Dateien selbstverständlich, nur weinige Zeilen CSS-Code und grundsätzliches Basiswissen in der Webseiten-Entwicklung benötigt.
Quellennachweis:
[1] https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2022-N-612
[2] https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users
[3] https://policies.google.com/privacy#infosecurity
[4] https://developer.mozilla.org/en-US/docs/Web/Guide/WOFF
[5] https://www.w3.org/TR/WOFF2/
[6] https://en.wikipedia.org/wiki/Internet_protocol_suite
Changelog:
20.07.2022 - einige Textpassen überarbeitet
06.03.2022 - Initial version