Google Fonts & Skripte: Datentransfer in die USA nach dem „EU-US privacy shield“ Urteil
von Ralf J. Schlaefer (Kommentare: 0)
Standardschrift des Browsers oder doch lieber eine individuelle Schrift?
Um eine Homepage zu gestalten, benötigt man neben gutem Inhalt mit ansprechenden Bildern und ggfs. Videos, auch ein ansprechendes Layout, das die Homepage auf allen Endgeräten immer optimal darstellt. Dazu gehören auch die passenden Schriften (= Fonts). Wer der eigenen Homepage eine attraktive Optik durch eine individuelle Schrift verpassen will, kommt meist nicht drum herum, Schriften von externen Diensten zu nutzen.
Als Hintergrund sollte hier vielleicht erwähnt werden, dass Fonts durchaus nicht immer jedem zur Verfügung stehen. Fonts werden professionell entworfen, und unterliegen generell dem Urheberrecht. Die Schriftarten, mit denen große Konzerne z. B. grafisch arbeiten, dürfen Sie nicht in jedem Fall auch einfach benutzen. Dieses Schriftbild gehört diesen Konzernen; jede Nutzung wird lizensiert.
Für Webseiten haben sich sogenannte Web Fonts etabliert, ohne die kaum noch eine attraktive Homepage auskommt. Diese Schriften ermöglichen die ansprechende typografische Gestaltung einer Homepage, die vorher überwiegend dem Printbereich vorbehalten war.
Eine Vielzahl von Agenturen, aber auch die meisten Design-Templates (komplette Layoutvorlagen) für Content-Management-Systeme (CMS) wie Typo3, WordPress, Joomla, usw., greifen gerne auf die diese Schriften von Drittanbietern, wie Google Fonts zurück. Die fast 1000 Schriften von Google Fonts sind derzeit kostenlos und können für jedes Projekt lizenzfrei genutzt werden.
Bild: Ausschnitt aus einem Auswahl Menü bei Google Fonts, Quelle: https://fonts.google.com/
Mal ganz ehrlich, ich bekomme von Google etwas geschenkt?
Google stellt also die Schriftarten, die Google gehören, zur Nutzung im Internet zur Verfügung. Trotzdem sollten Sie dies nicht als „Geschenk“ betrachten, denn Google erhält durchaus einen Gegenwert: Sie „zahlen“ die kostenfreie Nutzung mit den Informationen Ihrer Homepage-Besucher.
Und wie geschieht das?
Google Fonts werden – weil es einfach ist – meist in der Online-Variante eingesetzt. Das heißt, die Schriften werden, sobald ein Nutzer Ihre Homepage besucht, von Servern aus den USA und seit dem 10. August 2020 auch von Servern aus Irland geladen.
Bei einem Besuch auf Ihrer Webseite wird die Schriftart vom Browser des Besuchers Ihrer Homepage angefordert. Dadurch erhält Google nicht nur die IP-Adresse des Besuchers, sondern auch die URL der aufgerufenen Seite und liefert damit verwertbare Informationen über die Interessen des Seitenbesuchers. Dies können Dinge sein wie politische Überzeugungen, nach welchem Produkt Sie gerade suchen, ob Sie auf Gesundheitsportalen unterwegs sind, u. s. w. – also Daten, die zu Analysezwecke genutzt werden können und in Summe ein Bild des Nutzers ergeben.
In der AGB zur Google Fonts API beschreibt Google u. a. wie die erfassten Daten analysiert werden. Besonders interessant sind die Statistiken in Echtzeit, die unter der URL https://fonts.google.com/analytics veröffentlicht werden und wie das Ergebnis bei einem (noch laufenden!) aussieht - Screenshot:
Das Google mit den Diensten wie Google Fonts, Google Analytics usw. anscheinend nach Irland umzieht hat natürlich einen Grund. Am 16.07.2020 hat der Gerichtshof der Europäischen Union (EuGH) den Angemessenheitsbeschluss der EU Kommission bezüglich des Datentransfer in die USA für ungültig erklärt, mit der Begründung, dass in den USA kein Datenschutzniveau garantiert wird, dass dem in der EU gleichwertig ist. In unserem Blog Beitrag vom 3. August hatten wir erklärt, dass das Gericht hier die Problematik hauptsächlich bei den in den USA geltenden Gesetzen über den Zugriff von Behörden auf Daten sieht. Das Google reagiert ist lobenswert. Es geht aber nur zum Teil um die Problematik, die die Gesetzgebung in den USA darstellt.
Es kann nämlich angenommen werden, dass beim Einsatz von Google Fonts in der Online-Version, personenbezogene Daten im Sinne der DSGVO verarbeitet, diese in die USA weiterleitet oder US-Dienste auf diese Daten Zugriff haben, auch wenn die Server von Google seit neuestem in Europa stehen. Bis jetzt macht Google auch offiziell keinerlei Zusagen bezüglich der Möglichkeit, die Daten nur in der EU verarbeiten zu lassen.
Was bedeutet dies für die Homepage? Sie brauchen eine Rechtsgrundlage!
Wir haben also festgestellt, dass das Einbinden von Google Fonts die Verarbeitung von personenbezogenen Daten nach sich zieht. Nach der DSGVO ist die Konsequenz aus dieser Situation, dass Sie eine Rechtsgrundlage dafür brauchen.
Bis zum 16.07.2020 kam nur das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO oder die Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO in Frage. Durch den Fall des „EU-US privacy shield“ ist die Datenübermittlung nur noch mit Einwilligung möglich, denn der Transfer in ein unsicheres Drittland – als was die USA jetzt gewertet werden muss – ist nicht auf Grundlage des berechtigten Interesses möglich.
Die Beschreibung gilt zumindest für die Einbindung der Schriften als Web Fonts, also als Information, die von externen Servern nachgeladen wird.
Geht’s nicht lokal?
Die Lösung ist eigentlich ganz einfach. Installieren Sie Google Fonts lokal auf Ihrem Server. Damit kappen Sie die Datenübertragung und den Zugriff von US-Behörden auf diese Informationen und können Google Fonts auf der Rechtsgrundlage des berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO einsetzen. Im Internet finden Sie eine Vielzahl von Anleitungen, wie Sie dies realisieren können.
Wollen oder können Sie die Google Fonts nicht lokal installieren, bleibt Ihnen nur die Möglichkeit ein Consent Management Tool (CMT), wie es bei Cookies zu Einsatz kommt, einzusetzen. Für das CMT selbst nutzen Sie eine Standardschriftart wie z. B. Tahoma, Arial oder Trebuchet MS, auf die der Browser bereits lokal Zugriff hat, für das Laden der Homepage, bevor Sie sich die Einwilligung zum Laden der Google Fonts einholen.
Nachdem der Besucher seine Einwilligung durch das Aktivieren des Buttons „Google Fonts“ zugestimmt hat, wird die Homepage mit den Google Fonts neu geladen:
Fazit
Die Einbindung von Google Fonts mittels Einwilligung ist nicht attraktiv und verlangt eine saubere Programmierung. Da der Aufwand, die Google Fonts lokal einzubinden wesentlich kleiner ist, ist dies die kostengünstigere Alternative.
Die dacuro GmbH erstellt, neben den üblichen Tätigkeiten als Datenschutzbeauftragte, detaillierte Analysen von Internetseiten und APPs und berät Verantwortliche und Web-Agenturen auf was diese bei ihrer Tätigkeit hinsichtlich des Datenschutzes achten müssen.
Alles, was Sie im öffentlich zugänglichen Internet tun, kann von jedem überprüft werden. Dies schließt Verstöße gegen die DSGVO nicht aus. Webcrawler, auch Spider oder Searchbot genannt, können Internetseiten automatisch durchsuchen und Webseiten auf Datenschutzverstöße analysieren.
Wir unterstützen unsere Kunden bereits bei der Planung von Software- und Web-Projekten und sorgen in diesem Bereich für Datenschutz gemäß der aktuellsten Rechtslage. Zudem bieten wir auch, speziell für Webdienstleister, Seminare zur datenschutzkonformen Webseitenerstellung an. Sollten Sie Fragen haben, kommen Sie gerne auf uns zu.
TAGS
Updates Anmeldung zum Newsletter
Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.
Dieser Inhalt wird aufgrund Ihrer fehlenden Zustimmung nicht angezeigt.
Einen Kommentar schreiben