Vorsicht bei der Nutzung von Webfonts

Zurzeit erreichen die Sächsische Datenschutzbeauftragte verstärkt Eingaben und Nachfragen zu auf Websites eingebundenen Schriftarten.

Solche Webfonts werden gern genutzt, um die Darstellung des Internetauftritts im Sinne des jeweiligen Anbieters zu verbessern. Wenn diese Schriftarten jedoch dynamisch eingebunden sind, also bei jedem Aufruf der Website eine Verbindung zum Server der Schriftarten hergestellt wird, ergibt sich eine datenschutzrechtliche Verantwortung des Website-Betreibers. Bei einer dynamischen Einbindung werden IP-Adressen und Gerätedaten an den Server, der die Schriftarten bereitstellt, übermittelt. Diese Übermittlung personenbezogener Daten bedarf einer Rechtsgrundlage.

Für nicht-öffentliche Stellen, wie Unternehmen oder Vereine, kommen sowohl Artikel 6 Absatz 1 Buchstabe a) DSGVO (Einwilligung) oder Artikel 6 Absatz 1 Buchstabe. f) DSGVO (berechtigtes Interesse) in Betracht. Öffentlichen Stellen können sich nicht auf ein berechtigtes Interesse stützen. Daher kommt fast ausschließlich eine Einwilligung infrage. Sowohl die Einwilligung als auch das berechtigte Interesse erfordern eine vollständige Informiertheit des Nutzenden über die Datenverarbeitung.

In der Praxis liegt nur in den wenigsten Fällen eine gültige Einwilligung vor. Wer sich auf ein berechtigtes Interesse stützt, hat dabei eine Risikoabwägung zwischen dem Interesse des Verantwortlichen und den Grundrechten betroffener Personen vorzunehmen. 

Hintergrund der aktuellen Anfragen an die Sächsische Datenschutzbeauftragte ist ein Urteil des Landgerichts München vom 20. Januar 2022, wonach die Nutzung von Google-Fonts auf der eigenen Homepage, einen Verstoß gegen die Datenschutz-Grundverordnung darstellen kann. Diese Ansicht wird von den Aufsichtsbehörden seit Langem vertreten. Aktuell ist das Urteil jedoch Auslöser einer Abmahnwelle gegen Website-Betreiber, welche mit erheblichen Geldforderungen konfrontiert werden.

Im Fall der Schriftarten von Google kommt noch erschwerend hinzu, dass es sich bei Google um ein Unternehmen aus den USA handelt. Der Europäische Gerichtshof (EuGH) hat den Beschluss der Europäischen Kommission zum Privacy Shield für ungültig erklärt (Rechtssache C 311/18 – »Schrems II«). Eine Übermittlung von personenbezogenen Daten in die USA darf daher nur vorbehaltlich geeigneter Garantien, wie z. B. Standarddatenschutzklauseln, oder bei Vorliegen eines Ausnahmetatbestandes gemäß Artikel 49 DSGVO erfolgen. Es reicht allerdings nicht aus, geeignete Garantien lediglich vorzusehen. Der Verantwortliche bzw. sein Auftragsverarbeiter müssen darüber hinaus in jedem Einzelfall prüfen, ob das Recht des Drittlandes den dadurch garantierten Schutz beeinträchtigt und ob ggf. Maßnahmen zur Einhaltung dieses Schutzniveaus getroffen werden müssen. Die dynamische Einbindung von Google-Schriftarten ist daher aktuell nicht gerechtfertigt.

Die Sächsische Datenschutzbeauftragte rät deshalb, auf eine dynamische Einbindung von Schriftarten im eigenen Angebot zu verzichten. Es sei denn, es gibt eine klare Reglung zur Auftragsverarbeitung und eine Datenübermittlung außerhalb der EU ist ausgeschlossen.

In der Praxis kommt es gelegentlich vor, dass Website-Betreiber gar nicht wissen, dass die verwendeten Schriftarten dynamisch eingebunden sind. Mitunter haben Tools, wie Website-Baukästen oder Content-Management-Systeme, diese Funktionalität bereits implementiert. Verantwortlich bleibt dennoch der Website-Betreiber. Eine Möglichkeit zu überprüfen, ob das eigene Webangebot Daten an Dritte weitergibt, sind Online-Scanner wie Privacy-Score oder Webkoll.

Eine einfache Lösung, Schriftarten in datenschutzrechtlicher Hinsicht rechtssicher und risikofrei in eine Webseite einzubinden, ist das Selbsthosting. Wird eine Webseite aufgerufen, wird der Browser für die Schriftdatei auf die Schriftbibliothek des Webseitenbetreibers verwiesen; eine Verbindung zu einem Drittanbieter wird nicht aufgebaut. Soweit ein Webseitenbetreiber längere Ladezeiten befürchtet, sollte er auch bedenken, dass die gewünschte Schriftart bei einer externen Einbindung bis zur Erteilung der Einwilligung nicht geladen werden darf. Die Webseite kann bis zu diesem Zeitpunkt nur mit der dem Browser zur Verfügung stehenden Schriftart dargestellt werden.