Mit dem Urteil [https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320] des Landgerichts München ist es nun besiegelt: Google Fonts dynamisch über die zugehörige API einzubinden, entspricht nicht der DSGVO. Das Urteil vom 20. Januar 2022 betrifft nicht nur die beliebten Schriften, sondern gibt eine klare Richtung im Umgang mit Fremdinhalten vor.
Wie Webseitenbetreiber reagieren können, um diese Inhalte weiterhin – und vor allem DSGVO-konform – zu verwenden, lesen Sie hier.
Google Fonts API – praktisch...
Wer eine eigene Webseite hat kommt kaum an ihnen vorbei. Die Schriften der Google Fonts API glänzen mit guter Performance im Browser und stehen obendrein kostenlos zur Verfügung. Auch ihre Handhabung über die API ist ein Kinderspiel, denn ein Link ist alles, was man braucht, um die gewünschte Schrift auf die eigene Website zu bringen. Das Einbinden über die API bringt Vorteile in Sachen Geschwindigkeit und Ladezeit mit sich, weil sie im Browser-Cache gespeichert werden und dadurch nur einmal (pro Schriftart) geladen werden müssen.
...aber ohne Einwilligung nicht DSGVO-konform
Der Haken an der Sache: Ruft ein Nutzer eine Website auf, die Google Fonts dynamisch – also über die API – verwendet, wird eine Verbindung zwischen dem Endgerät des Nutzers und den Servern von Google hergestellt. Google speichert zwar keine Cookies, dafür aber die IP-Adresse des Nutzers.
Genau diesen Informationsaustausch ohne die vorhergehende Einwilligung des Nutzers erklärte das LG München für rechtswidrig. Die Begründung: Der Nutzer könne aufgrund der IP-Adresse eindeutig zurückverfolgt werden. Das stelle eine Verletzung seines allgemeinen Persönlichkeitsrechts dar. Hinzu kommt, dass Google als US-amerikanisches Unternehmen nicht den in Europa geltenden Datenschutzrichtlinien unterliegt, weswegen das ausdrückliche Einverständnis des Nutzers vor dem Verbindungsaufbau erforderlich sei.
Auf der sicheren Seite: Google Fonts DSGVO-konform verwenden
Das Urteil bedeutet natürlich nicht, dass sich Webseitenbetreiber in DSGVO-Ländern wie Deutschland ab jetzt Arial oder Times New Roman begnügen müssen. Um Google Fonts weiterhin und vor allem DSGVO-konform zu nutzen, gibt es zwei Möglichkeiten: Erstens, die Einwilligung des Nutzers anfordern. Oder zweitens, die Schriftarten statisch – also lokal – einbinden.
Dynamisch
Wer nicht auf die Performance-Vorteile der dynamischen Einbindung über die API verzichten möchte, muss die explizite Einwilligung des Nutzers haben. Diese Abfrage kann beispielsweise im Cookie-Banner ergänzt werden. Zu beachten ist dabei, dass die Schriften erst dann geladen werden dürfen, wenn der Nutzer auch zugestimmt hat.
Statisch
Auf der absolut sicheren Seite ist, wer die Schriften herunterlädt und lokal einbindet. Auf diese Weise kommt keine Verbindung zwischen Nutzer und Google mehr zustande. Dementsprechend muss auch keine Einwilligung eingeholt werden. Google Fonts stellt die Schriften als TTF (TrueType Font) zum Download bereit. Um die bestmögliche Performance zu erhalten empfiehlt es sich, dieses Format in WOFF2 (Web Open Font Format) zu konvertieren. Die Komprimierung sorgt für deutlich schnellere Ladezeiten gegenüber anderen Formaten und ist mit den gängigen Browsern kompatibel.
Das richtige Format für alle Browser
Ein Schrift-Format, das unabhängig vom Betriebssystem und in allen Browsern korrekt dargestellt wird, gibt es leider nicht. Nur wenn die Schriften als TTF, WOFF oder WOFF2, SVG und EOT (Embedded Open Type) eingebunden werden ist gewährleistet, dass sie in allen Browsern richtig abgebildet werden.
Google Fonts in den passenden Formaten liefert das freie Online-Tool google-webfonts-helper [https://google-webfonts-helper.herokuapp.com/fonts]. Hier können sich Nutzer Schriftpakete zusammenstellen und diese mit nur einem Klick in allen notwendigen Formaten herunterladen.