Der Begriff „Webfonts“ meint auf Internetseiten verwendete Schriftarten. Diese werden mit dem Ziel eingesetzt, die Darstellung von Texten zu verbessern bzw. den Internetauftritt als solchen ansehnlicher zu gestalten. Die Einbindung von Webfonts kann dabei entweder lokal oder aber dynamisch erfolgen.
Bei der lokalen Einbindung werden die Schriftarten beim Abruf der Seite durch den Nutzer vom eigenen Speicher/Webspace geladen. Im Falle der dynamischen Einbindung wird hingegen eine Verbindung zu einem entsprechenden Server hergestellt, über welchen der Abruf dann erfolgt. Dementsprechend ergeben sich bei der dynamischen Einbindung datenschutzrechtliche Konsequenzen, da mit der Übermittlung von IP-Adressen sowie Gerätedaten des Nutzers an den Server eine Verarbeitung personenbezogener Daten erfolgt. Stützt sich die Verarbeitung dieser Daten nicht auf eine einschlägige datenschutzrechtliche Grundlage wie etwa eine Einwilligung des Nutzers oder einen Rechtfertigungsgrund, kann ein Datenschutzverstoß die Folge sein.
Erst im Januar 2022 hatte das Landgericht (LG) München einen Websitebetreiber, welcher den dynamischen Webfonts „Google Fonts“ verwendet hatte, wegen der fehlenden datenschutzrechtlichen Grundlage bei der Verarbeitung personenbezogener Nutzerdaten zur Zahlung von Schadensersatz verurteilt. Das Urteil war auch Auslöser für eine breit angelegte Abmahnwelle. Die Sächsische Datenschutzbeauftragte (Datenschutzaufsichtsbehörde des Freistaates Sachsen) gibt Hinweise zur (un)sicheren Verwendung von Webfonts.
Rechtsgrundlagen zur Verwendung von Webfonts
Auf der Website der Sächsischen Datenschutzbeauftragten heißt es hierzu:
„Für nicht-öffentliche Stellen, wie Unternehmen oder Vereine, kommen sowohl Artikel 6 Absatz 1 Buchstabe a) DSGVO (Einwilligung) oder Artikel 6 Absatz 1 Buchstabe. f) DSGVO (berechtigtes Interesse) in Betracht. Öffentliche Stellen können sich nicht auf ein berechtigtes Interesse stützen. Daher kommt fast ausschließlich eine Einwilligung infrage. Sowohl die Einwilligung als auch das berechtigte Interesse erfordern eine vollständige Informiertheit des Nutzenden über die Datenverarbeitung. In der Praxis liegt nur in den wenigsten Fällen eine gültige Einwilligung vor. Wer sich auf ein berechtigtes Interesse stützt, hat dabei eine Risikoabwägung zwischen dem Interesse des Verantwortlichen und den Grundrechten betroffener Personen vorzunehmen.“
Einbindung von Google Fonts aktuell nicht gerechtfertigt
Die Datenschutzbeauftragte weiter:
„Im Fall der Schriftarten von Google kommt noch erschwerend hinzu, dass es sich bei Google um ein Unternehmen aus den USA handelt. Der Europäische Gerichtshof (EuGH) hat den Beschluss der Europäischen Kommission zum Privacy Shield für ungültig erklärt (Rechtssache C 311/18 – »Schrems II«). Eine Übermittlung von personenbezogenen Daten in die USA darf daher nur vorbehaltlich geeigneter Garantien, wie z. B. Standarddatenschutzklauseln, oder bei Vorliegen eines Ausnahmetatbestandes gemäß Artikel 49 DSGVO erfolgen. Es reicht allerdings nicht aus, geeignete Garantien lediglich vorzusehen. Der Verantwortliche bzw. sein Auftragsverarbeiter müssen darüber hinaus in jedem Einzelfall prüfen, ob das Recht des Drittlandes den dadurch garantierten Schutz beeinträchtigt und ob ggf. Maßnahmen zur Einhaltung dieses Schutzniveaus getroffen werden müssen. Die dynamische Einbindung von Google-Schriftarten ist daher aktuell nicht gerechtfertigt.“
Achtung Websitebetreiber: Unwissenheit schützt vor Strafe nicht
Der Website-Betreiber bleibt in der Verantwortung und muss im Zweifel prüfen, welche Fonts eingebunden sind:
„In der Praxis kommt es gelegentlich vor, dass Website-Betreiber gar nicht wissen, dass die verwendeten Schriftarten dynamisch eingebunden sind. Mitunter haben Tools, wie Website-Baukästen oder Content-Management-Systeme, diese Funktionalität bereits implementiert. Verantwortlich bleibt dennoch der Website-Betreiber. Eine Möglichkeit zu überprüfen, ob das eigene Webangebot Daten an Dritte weitergibt, sind Online-Scanner wie Privacy-Score oder Webkoll.“
Selbsthosting als sicherer Weg
Sofern es keine klare Regelung zur Auftragsverarbeitung gibt und eine Datenübermittlung in Länder außerhalb der EU nicht ausgeschlossen werden kann, sollte auf die dynamische Einbindung von Schriftarten im eigenen Angebot verzichtet werden. Zur sicheren Verwendung von Schriftarten gibt die Datenschutzbeauftragte daher folgenden Hinweis:
„Eine einfache Lösung, Schriftarten in datenschutzrechtlicher Hinsicht rechtssicher und risikofrei in eine Webseite einzubinden, ist das Selbsthosting. Wird eine Webseite aufgerufen, wird der Browser für die Schriftdatei auf die Schriftbibliothek des Webseitenbetreibers verwiesen; eine Verbindung zu einem Drittanbieter wird nicht aufgebaut. Soweit ein Webseitenbetreiber längere Ladezeiten befürchtet, sollte er auch bedenken, dass die gewünschte Schriftart bei einer externen Einbindung bis zur Erteilung der Einwilligung nicht geladen werden darf. Die Webseite kann bis zu diesem Zeitpunkt nur mit der dem Browser zur Verfügung stehenden Schriftart dargestellt werden.“