Google Fonts und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Google Fonts online über die Google-Server ein, verarbeitet er Webserver-Protokolldaten, insbesondere die IP-Adresse, zum Zweck der Auslieferung von Web-Schriftarten – regelmäßig auf Basis einer Drittanbieter-Inhalte-Einwilligung. Diese Seite erklärt den Google-Fonts-Datenschutz, fasst die Folgen des LG-München-I-Urteils vom 20.01.2022 zusammen und zeigt, welche Pflichtangaben Webseitenbetreiber in ihre Datenschutzerklärung aufnehmen sollten.

A. Zweck und Funktionsweise von Google Fonts

Google Fonts ist ein kostenloser Web-Font-Dienst von Google. Webseitenbetreiber können daraus rund 1.500 Schriftfamilien per <link>-Tag oder @import-Direktive in ihre Webseite einbinden. Beim Aufruf der Seite stellt der Browser des Webseitenbesuchers eine direkte Verbindung zu Google-Servern (typischerweise fonts.googleapis.com und fonts.gstatic.com) her und lädt die benötigten Schriftdateien nach.

Der vorliegende Beitrag fokussiert sich auf diese Integrations-Funktion, also die dynamische Einbindung über die Google-Server. Google bietet daneben Schriftdateien zum Download an, die lokal auf dem eigenen Server selbst gehostet werden können – bei diesem Self-Hosting werden keine Daten an Google übermittelt. Die Web-Font-Auslieferung über die Google-Server steht im Vordergrund dieses Beitrags, weil sie aus Datenschutzsicht den entscheidenden Unterschied ausmacht.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Google Fonts

Die DSGVO verpflichtet Webseitenbetreiber, transparent über die Datenverarbeitung zu informieren. Neben allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde sind beim Einsatz konkreter Tools wie Google Fonts insbesondere folgende Pflichtangaben zu machen:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei Verarbeitung auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zur Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – soweit Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der verarbeiteten Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden in den nachfolgenden Abschnitten für Google Fonts aufgeschlüsselt.

In der Praxis ist es nicht zwingend, jedes einzelne Tool – auch nicht Google Fonts – mit einem eigenen Textbaustein in der Datenschutzerklärung zu führen. Der weit verbreitete „Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert: Er produziert lange, schablonenhafte Texte, die sich inhaltlich wiederholen und das Dokument schwer pflegbar machen. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen übergreifend (Serverbetrieb, Drittanbieter-Inhalte, Tracking, Newsletter etc.) beschreibt und konkrete Dienstleister in einer Empfängerliste im Anhang nennt. Der matterius-Generator setzt diese Methodik um.

C. Anbieter von Google Fonts

Vertragspartner für Webseitenbetreiber im EWR ist nach den öffentlich zugänglichen Angaben von Google die

Google Ireland Limited Gordon House, Barrow Street Dublin 4, Irland

Muttergesellschaft ist die Google LLC mit Sitz in Mountain View, Kalifornien, USA. Im Rahmen der konzerninternen Verarbeitung sind Datenflüsse in die USA möglich. Google LLC ist nach den Angaben in der DPF-Liste (https://www.dataprivacyframework.gov/s/participant-search) unter dem EU-US Data Privacy Framework (DPF) zertifiziert; den aktuellen Status sollte der Webseitenbetreiber selbst tagesaktuell prüfen. Soweit kein DPF-Schutz greift, kommen Standardvertragsklauseln (SCC) als Garantie in Betracht.

Die Datenschutzhinweise von Google sind unter https://policies.google.com/privacy abrufbar; spezifische Hinweise zu Google Fonts finden sich in der Dokumentation unter https://developers.google.com/fonts/faq/privacy.

D. Datenverarbeitung beim Einsatz von Google Fonts – Ablauf in Schritten

1. Erhebung: Beim Aufruf einer Seite mit Google-Fonts-Einbindung baut der Browser eine direkte Verbindung zu den Google-Servern auf. Google erhält die IP-Adresse, den User-Agent, den Referrer (aufrufende Webseite) sowie technische Metadaten der Anfrage.
2. Speicherung: Google gibt in der Google-Fonts-FAQ an, dass für Google Fonts keine Cookies gesetzt werden und die Anfragen so gestaltet seien, dass sie keine personenbezogenen Daten an die Werbedienste von Google weiterleiten. Anfragen werden in Webserver-Protokollen gespeichert; Server-Standorte können auch außerhalb der EU/EWR liegen.
3. Nutzung: Google nutzt die Daten zur Auslieferung der Schriftdateien, zur Sicherstellung des Betriebs, zum Schutz vor Missbrauch und nach eigenen Angaben für aggregierte Nutzungsstatistiken je Schriftfamilie.
4. Weitergabe: Eine kommerzielle Weitergabe an unabhängige Dritte erfolgt nach den Google-Angaben für Google Fonts regelmäßig nicht; konzerninterne Empfänger und technische Subprozessoren (z.B. Cloud-Infrastruktur) sind möglich.
5. Löschung: Speicherfristen für Server-Logs ergeben sich aus den allgemeinen Google-Datenschutzhinweisen. Der Webseitenbetreiber selbst kann auf diese Daten nicht zugreifen; er steuert die Verarbeitung über die Auswahl der Einbindungsart (online vs. selbst gehostet).

E. Erhobene Daten beim Google-Fonts-Einsatz

Beim Aufruf einer Webseite mit eingebundenen Google Fonts werden insbesondere folgende Daten an Google-Server übermittelt: IP-Adresse, Datum und Uhrzeit der Anfrage, URL des angefragten Schriftstils, Referrer-URL, User-Agent (Browsername, Browserversion, Betriebssystem, Gerätetyp) sowie ergänzende technische Metadaten.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Drittanbieter-Webserver bei jeder Anfrage erhält, insbesondere IP-Adresse, Datum, Uhrzeit, URL des angefragten Inhalts, Referrer, Informationen zu Browser, Betriebssystem und Gerät sowie ergänzende technische Metadaten wie Statuscode und übertragene Datenmenge.
• Endgeräte-Daten: Angaben zum Endgerät des Nutzers, z.B. Gerätetyp und Betriebssystem.
• Browserinformationen: Informationen über den verwendeten Browser, z.B. Browsername und Browserversion.
• Grobe Standortdaten: Anhand der IP-Adresse ableitbarer grober Standort des Nutzers auf Stadt- oder Gemeindeebene.
• Technische Telemetriedaten: Bestimmte technische Daten zum Ablauf der Anfrage, z.B. Statuscode und übertragene Datenmenge.

F. Nutzungszwecke beim Google-Fonts-Einsatz

Der Webseitenbetreiber nutzt Google Fonts in erster Linie, um die Webseite mit der gewünschten Typografie auszuliefern und damit ein konsistentes Erscheinungsbild und eine gute Lesbarkeit sicherzustellen. Daneben dient die Einbindung der effizienten Auslieferung über die Google-Infrastruktur und der Reduktion eigener Hosting- und Pflegeaufwände.

Die Nutzungszwecke lassen sich in folgende standardisierte Klassen einordnen:

• Funktionsbereitstellung: Erbringung der Funktionalität der Webseite, insbesondere Darstellung von Texten in der vorgesehenen Schriftart, einschließlich Fehlererkennung, Fehlervermeidung und Darstellung interaktiver Inhalte.
• Sicherheit und Missbrauchsschutz: Sicherstellung des Betriebs der Auslieferungsinfrastruktur, Erkennen und Beenden von Angriffen sowie Bot- und Missbrauchsabwehr durch Google.
• Allgemeine Produktverbesserung: Nicht nutzerindividuelle Anpassung der Auslieferung, z.B. Optimierung auf Basis häufig nachgefragter Schriftstile.

G. Rechtsgrundlagen für den Einsatz von Google Fonts

Google Fonts fällt nach der einschlägigen Tool-Kategorie in den Bereich Drittanbieter-Inhalte (Web-Font-Auslieferung über Drittserver).

Als Rechtsgrundlagen kommen in Betracht:

• Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG: Bei Online-Einbindung über die Google-Server wird mit jedem Seitenaufruf die IP-Adresse an einen Drittanbieter übermittelt. Vor dem Hintergrund des Urteils des LG München I (Az. 3 O 17493/20 vom 20.01.2022) – das die ungefragte IP-Übermittlung an Google ohne Einwilligung als Eingriff in das allgemeine Persönlichkeitsrecht bewertet und Schadensersatz zugesprochen hat – wird eine vorherige Drittanbieter-Inhalte-Einwilligung über das Consent-Banner regelmäßig als sachgerechte Grundlage angesehen.
• Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO: Bei lokaler Selbsthost-Einbindung werden keine Daten an Google übertragen; die Verarbeitung kann sich hier auf berechtigte Interessen an Funktionsbereitstellung, Effizienz und Sicherheit stützen. Bei Online-Einbindung ohne Einwilligung ist die Berufung auf berechtigtes Interesse nach der genannten Rechtsprechung mit erheblichem Risiko verbunden.

Die Rechtsgrundlage ist fallabhängig und vom Webseitenbetreiber im Einzelfall zu prüfen, insbesondere abhängig von der konkreten Einbindungsart.

H. Besonderheiten und Hinweise zu Google Fonts

• LG München I, Az. 3 O 17493/20, Urteil vom 20.01.2022: Das Gericht hat die unaufgeforderte Weitergabe der IP-Adresse an Google beim dynamischen Einbinden von Google Fonts ohne Einwilligung als Verstoß gegen das allgemeine Persönlichkeitsrecht und ein DSGVO-Verstoß bewertet und einen Schadensersatzanspruch von 100 € zuerkannt. Die Entscheidung hat eine Welle von Abmahnungen ausgelöst und ist in der Praxis maßgeblich für die Ausgestaltung der Einbindung.
• Lokale Selbsthost-Alternative: Google stellt die Schriftdateien zum Download bereit. Beim Self-Hosting werden die Schriftdateien vom eigenen Server ausgeliefert und es findet keine Übermittlung an Google statt. Diese Variante ist datenschutzrechtlich regelmäßig die risikoärmste Option.
• Drittlandtransfer / DPF: Google LLC (USA) ist nach öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework gelistet. Der DPF-Status ist tagesaktuell zu prüfen unter https://www.dataprivacyframework.gov/s/participant-search. Soweit kein DPF-Schutz greift, kommen Standardvertragsklauseln (SCC) als Garantie in Betracht.
• AVV/DPA: Für die kostenlose Google-Fonts-Webdienstleistung ohne Google-Konto stellt Google nach öffentlich zugänglichen Angaben keinen klassischen Auftragsverarbeitungsvertrag bereit; Google tritt für diesen Dienst regelmäßig als eigenständiger Verantwortlicher für die durch die Auslieferung entstehenden Server-Logs auf. Die Einordnung ist im Einzelfall zu prüfen.
• Cookies: Google Fonts setzt nach Angaben des Anbieters keine Cookies.
• Einstellungen für den Webseitenbetreiber: Entweder Online-Einbindung über das Consent-Banner einwilligungsbasiert steuern (Drittanbieter-Inhalte-Einwilligung) oder dauerhaft auf Self-Hosting umstellen.

Diese Darstellung beruht auf den öffentlich zugänglichen Angaben von Google, der zitierten Rechtsprechung und allgemein zugänglichen Quellen; sie ersetzt keine Einzelfallprüfung.

I. FAQ zum Google-Fonts-Datenschutz

J. Fazit zum Google-Fonts-Datenschutz und nächster Schritt

Google Fonts erleichtert den Einsatz hochwertiger Schriftarten erheblich. Aus Datenschutzsicht ist jedoch entscheidend, dass bei der Online-Einbindung über die Google-Server bei jedem Seitenaufruf die IP-Adresse des Webseitenbesuchers an Google übermittelt wird. Das LG München I hat eine ungefragte IP-Übermittlung als rechtswidrig eingestuft (Az. 3 O 17493/20). Webseitenbetreiber sollten daher entweder Self-Hosting nutzen oder die Online-Einbindung über eine Drittanbieter-Inhalte-Einwilligung im Consent-Banner steuern – und in der Datenschutzerklärung Zwecke, Datenarten, Empfänger, Drittlandtransfer und Rechtsgrundlage transparent darstellen.

Für die Datenschutzerklärung selbst ist es meist wenig sinnvoll, Google Fonts mit einem eigenen Textbaustein zu führen. Das macht die Datenschutzerklärung lang, unübersichtlich, schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der Drittanbieter-Inhalte übergreifend beschreibt und konkrete Dienstleister wie Google nur im Anhang "Empfänger" auflistet. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator