Adobe Fonts und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Adobe Fonts ein, verarbeitet er regelmäßig Webserver-Protokolldaten, insbesondere die IP-Adresse, zum Zweck der Auslieferung von Web-Schriftarten auf Basis einer Einwilligung oder eines berechtigten Interesses an Funktionsbereitstellung und Effizienz. Diese Seite erklärt, welche Daten beim Adobe-Fonts-Datenschutz typischerweise anfallen, wie die Einbindung technisch funktioniert und welche Pflichtangaben Webseitenbetreiber hierzu in ihre Datenschutzerklärung aufnehmen sollten.

A. Zweck und Funktionsweise von Adobe Fonts

Adobe Fonts (vormals Typekit) ist ein cloudbasierter Schriftarten-Dienst der Adobe-Gruppe. Webseitenbetreiber können über ein Adobe-Konto eine kuratierte Auswahl von Schriftfamilien lizenzieren und auf ihrer Webseite einsetzen. Technisch erfolgt die Einbindung typischerweise über ein JavaScript-Snippet oder einen CSS-Verweis (<link>) auf die Adobe-Auslieferungsdomain (z.B. use.typekit.net). Beim Aufruf einer Seite lädt der Browser des Webseitenbesuchers die Schriftdateien direkt von Adobe-Servern nach.

Der vorliegende Beitrag fokussiert sich auf diese Integrations-Funktion (Web-Font-Auslieferung über Adobe-Server). Adobe bietet darüber hinaus einen Desktop-Sync für Adobe-Creative-Cloud-Anwendungen sowie weitere Dienste; diese Funktionen liegen außerhalb des Web-Einsatzes durch den Webseitenbetreiber und werden hier nicht behandelt.

Alternativ lassen sich viele Adobe-Schriftarten lokal selbst hosten, sofern die Lizenzbedingungen des jeweiligen Schriftherstellers das erlauben. Beim lokalen Self-Hosting werden keine Daten an Adobe übermittelt; die Schriftdateien werden vom eigenen Server des Webseitenbetreibers ausgeliefert.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Adobe Fonts

Die DSGVO verpflichtet den Webseitenbetreiber, seine Webseitenbesucher transparent über die Datenverarbeitung zu informieren. Neben allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur zuständigen Aufsichtsbehörde sind beim Einsatz konkreter Tools wie Adobe Fonts insbesondere folgende Pflichtangaben zu machen:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei Verarbeitung auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – soweit Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der verarbeiteten Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden in den nachfolgenden Abschnitten für Adobe Fonts aufgeschlüsselt.

In der Praxis ist es nicht zwingend, jedes einzelne Tool – also auch Adobe Fonts – mit einem eigenen Textbaustein in der Datenschutzerklärung zu führen. Diese Praxis hat sich zwar weithin eingebürgert, sie führt aber zu langen, schablonenhaften Texten, die sich inhaltlich wiederholen und die Datenschutzerklärung schwer pflegbar machen. Ein themenorientierter Ansatz, der Verarbeitungen übergreifend (Serverbetrieb, Drittanbieter-Inhalte, Tracking, Newsletter etc.) beschreibt und eine Empfängerliste im Anhang führt, ist regelmäßig sachgerechter und entspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO besser. Genau dieser Methodik folgt der matterius-Generator.

C. Anbieter von Adobe Fonts

Vertragspartner für Webseitenbetreiber mit Sitz im EWR ist nach den öffentlich zugänglichen Angaben von Adobe regelmäßig die

Adobe Systems Software Ireland Limited 4–6 Riverwalk, Citywest Business Campus Dublin 24, Irland

Muttergesellschaft ist die Adobe Inc. mit Sitz in San Jose, Kalifornien, USA. Im Rahmen der konzerninternen Verarbeitung sind Datenflüsse in die USA möglich. Adobe Inc. ist nach den Angaben in der DPF-Liste (https://www.dataprivacyframework.gov/s/participant-search) unter dem EU-US Data Privacy Framework (DPF) zertifiziert; den aktuellen Status sollte der Webseitenbetreiber vor Einsatz selbst prüfen. Soweit kein DPF-Schutz greift, kommt eine Datenübermittlung typischerweise auf Grundlage von Standardvertragsklauseln (SCC) in Betracht.

Die Datenschutzhinweise von Adobe sind unter https://www.adobe.com/de/privacy/policy.html abrufbar; spezifische Hinweise zu Adobe Fonts finden sich im Trust Center und in der Dokumentation unter https://helpx.adobe.com/de/fonts.html.

D. Datenverarbeitung beim Einsatz von Adobe Fonts – Ablauf in Schritten

1. Erhebung: Beim Aufruf einer Webseite, die Adobe Fonts einbindet, baut der Browser des Webseitenbesuchers eine direkte HTTP(S)-Verbindung zu den Adobe-Servern auf. Adobe erhält dabei die IP-Adresse des Internetanschlusses, den User-Agent (Browser, Betriebssystem, Gerät), den Referrer (die aufrufende Webseite) sowie technische Metadaten der Anfrage.
2. Speicherung: Adobe speichert die Anfragen nach eigenen Angaben in Webserver-Protokollen. Die Auslieferung erfolgt über ein global verteiltes Content-Delivery-Netzwerk; Server-Standorte können auch außerhalb der EU/EWR liegen.
3. Nutzung: Adobe nutzt die Daten zur Auslieferung der Schriftdateien, zur Sicherstellung des Betriebs, zum Schutz vor Missbrauch und nach eigenen Angaben zu statistischen Zwecken (z.B. Nutzungs- und Zugriffszahlen je Schriftfamilie).
4. Weitergabe: Adobe kann konzerninterne Empfänger und technische Subprozessoren (z.B. Cloud-Infrastrukturanbieter) einbinden. Eine kommerzielle Weitergabe an unabhängige Dritte erfolgt nach den Adobe-Angaben für den Fonts-Dienst regelmäßig nicht.
5. Löschung: Adobe gibt in seinen allgemeinen Datenschutzhinweisen Speicherfristen für Protokolldaten an. Der Webseitenbetreiber selbst hat keinen direkten Zugriff auf diese Daten; Steuerungsmöglichkeiten bestehen über die Auswahl der eingebundenen Schriftarten und über die Entscheidung, Adobe Fonts einzubinden oder lokal zu hosten.

E. Erhobene Daten beim Adobe-Fonts-Einsatz

Beim Aufruf einer Webseite mit eingebundenen Adobe Fonts werden insbesondere folgende Daten an die Adobe-Server übermittelt: IP-Adresse des Internetanschlusses, Datum und Uhrzeit der Anfrage, URL des angefragten Schriftstils, Referrer-URL, User-Agent (Browsername, Browserversion, Betriebssystem, Gerätetyp) sowie ergänzende technische Metadaten.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Webserver des Drittanbieters bei jeder Anfrage vom Endgerät des Nutzers erhält, insbesondere IP-Adresse, Datum, Uhrzeit, URL des angefragten Inhalts, Referrer, Informationen zu Browser, Betriebssystem und Gerät sowie ergänzende technische Metadaten wie Statuscode und übertragene Datenmenge.
• Endgeräte-Daten: Angaben zum Endgerät des Nutzers, z.B. Gerätetyp und Betriebssystem.
• Browserinformationen: Informationen über den verwendeten Browser, z.B. Browsername und Browserversion.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelbarer grober Standort des Nutzers auf Stadt- oder Gemeindeebene.
• Technische Telemetriedaten: Bestimmte technische Daten zum Ablauf der Anfrage, z.B. Statuscode der Antwort und übertragene Datenmenge.

F. Nutzungszwecke beim Adobe-Fonts-Einsatz

Der Webseitenbetreiber nutzt Adobe Fonts in erster Linie, um die Webseite mit der gewünschten Typografie auszuliefern und damit ein konsistentes Erscheinungsbild und eine bessere Lesbarkeit sicherzustellen. Daneben dient die Einbindung der effizienten Auslieferung über das Adobe-CDN sowie der Wahrung von Lizenzkonformität.

Die Nutzungszwecke lassen sich in folgende standardisierte Klassen einordnen:

• Funktionsbereitstellung: Erbringung der Funktionalität der Webseite, hier insbesondere die Darstellung von Texten in der vorgesehenen Schriftart, einschließlich Fehlererkennung, Fehlervermeidung und Darstellung interaktiver Inhalte.
• Sicherheit und Missbrauchsschutz: Sicherstellung der Datensicherheit beim Schriftabruf, z.B. Erkennen und Beenden von Angriffen auf die Auslieferungsinfrastruktur sowie Bot- und Missbrauchsabwehr durch Adobe.
• Allgemeine Produktverbesserung: Nicht nutzerindividuelle Anpassung der Schriftauslieferung, z.B. Optimierung auf Basis häufig nachgefragter Schriftstile.

G. Rechtsgrundlagen für den Einsatz von Adobe Fonts

Adobe Fonts fällt nach der einschlägigen Tool-Kategorie in den Bereich Drittanbieter-Inhalte (Web-Font-Auslieferung über Drittserver).

Als Rechtsgrundlagen kommen in Betracht:

• Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG: Wird Adobe Fonts online über die Adobe-Server eingebunden, werden bei jeder Seitenanfrage Webserver-Protokolldaten – insbesondere die IP-Adresse – an Drittserver übermittelt. Hierfür wird regelmäßig eine Drittanbieter-Inhalte-Einwilligung über das Consent-Banner als sachgerechte Grundlage angesehen, parallel zur Einordnung bei Google Fonts (vgl. unten).
• Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO: Bei lokaler Selbsthost-Einbindung werden keine Daten an Adobe übertragen; in diesem Fall stützt sich die Verarbeitung auf das berechtigte Interesse an Funktionsbereitstellung, Effizienz und Sicherheit. Bei Online-Einbindung ohne Einwilligung ist eine Berufung auf berechtigtes Interesse umstritten und mit Risiko verbunden, da die Rechtsprechung zur strukturell vergleichbaren Google-Fonts-Konstellation (LG München I, Az. 3 O 17493/20, Urteil vom 20.01.2022) eine ungefragte IP-Übermittlung an Drittserver als Eingriff in das allgemeine Persönlichkeitsrecht bewertet hat.

Die Rechtsgrundlage ist fallabhängig und vom Webseitenbetreiber im Einzelfall zu prüfen, insbesondere abhängig von der konkreten Einbindungsart (online vs. selbst gehostet).

H. Besonderheiten und Hinweise zu Adobe Fonts

• Lokale Selbsthost-Alternative: Soweit die jeweilige Schriftartlizenz das erlaubt, lassen sich Adobe-Fonts-Schriftdateien lokal auf dem eigenen Server ausliefern. In diesem Fall entfällt die Übermittlung an Adobe-Server bei jedem Seitenaufruf.
• Drittlandtransfer / DPF: Adobe Inc. (USA) ist nach öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework gelistet. Webseitenbetreiber sollten den DPF-Status der konkreten Adobe-Gesellschaft tagesaktuell prüfen unter https://www.dataprivacyframework.gov/s/participant-search. Soweit kein DPF-Schutz greift, kommen Standardvertragsklauseln (SCC) als Garantie in Betracht.
• AVV/DPA: Für Adobe-Cloud-Dienste – einschließlich Adobe Fonts in Verbindung mit einem Adobe-Konto – stellt Adobe einen Auftragsverarbeitungsvertrag (Data Processing Agreement) bereit. Ob Adobe für die Web-Font-Auslieferung als Auftragsverarbeiter oder als eigenständiger Verantwortlicher auftritt, ist im Einzelfall anhand der vertraglichen Lage zu prüfen.
• Subprozessoren: Adobe nutzt nach eigenen Angaben Cloud-Infrastruktur und konzerninterne Stellen; eine aktuelle Subprozessoren-Liste stellt Adobe in seinem Trust Center bereit.
• Einstellungen für den Webseitenbetreiber: Adobe Fonts erst nach erteilter Einwilligung laden lassen (Consent-Gating); alternativ Self-Hosting prüfen. Auf den Einsatz dynamischer Subset-Funktionen (mit zusätzlicher Datenübermittlung zur Schriftoptimierung) sollte gezielt geachtet werden.

Diese Darstellung beruht auf den öffentlich zugänglichen Angaben von Adobe und allgemein zugänglichen Quellen; sie ersetzt keine Einzelfallprüfung.

I. FAQ zum Adobe-Fonts-Datenschutz

J. Fazit zum Adobe-Fonts-Datenschutz und nächster Schritt

Adobe Fonts ermöglicht den lizenzkonformen Einsatz hochwertiger Schriftfamilien auf Webseiten. Aus Datenschutzsicht relevant ist vor allem, dass bei der Online-Einbindung bei jedem Seitenaufruf Webserver-Protokolldaten – insbesondere die IP-Adresse – an Adobe-Server in den USA und/oder im Konzernverbund übermittelt werden. Webseitenbetreiber sollten daher die Einbindung über das Consent-Banner steuern oder ein lokales Self-Hosting prüfen, den DPF-Status von Adobe aktuell verifizieren und in der Datenschutzerklärung Zwecke, Datenarten, Empfänger, Drittlandtransfer und Rechtsgrundlage transparent darstellen.

Für die Datenschutzerklärung selbst ist es meist wenig sinnvoll, für jedes einzelne Tool – einschließlich Adobe Fonts – einen eigenen Textbaustein aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Verarbeitungen wie Drittanbieter-Inhalte übergreifend beschreibt und die konkreten Dienstleister – darunter Adobe – nur im Anhang "Empfänger" auflistet. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator