Google hat da eigentlich eine schöne FAQ-Sammlung zu seiner Webfont-Sammlung Google Fonts. Aber leider gibt es diese Fragen und Antworten bis dato nur auf Englisch. Das ist nicht gerade dazu angetan, die vielen FUD-Artikel (“Fear, Uncertainty and Doubt”) aus der Welt zu schaffen, die insbesondere zur Einführung der DSGVO / GDPR von allerlei Verunsicherten und German Ängstlichen hierzulande ins Netz gestellt wurden und die bis heute die Suchergebnisse zum Thema dominieren.
Ich habe jetzt einfach mal den entscheidenden Passus durch DeepL geschickt und nachbearbeitet für alle, die des Englischen nicht ausreichend mächtig sind. Bitte sehr:
Was bedeutet die Verwendung der Google-Fonts-API für die Privatsphäre meiner Nutzer?
Die Google-Fonts-API wurde entwickelt, um die Erfassung, Speicherung und Nutzung von Nutzerdaten auf das zu beschränken, was für die effiziente Bereitstellung von Schriften erforderlich ist.
Die Verwendung von Google Fonts erfolgt unauthentifiziert. Besucher Ihrer Website senden keine Cookies an die Google-Fonts-API. Anfragen an die Google-Fonts-API werden an ressourcenspezifische Domains wie fonts.googleapis.com oder fonts.gstatic.com gerichtet. Somit bleiben Ihre Anfragen für Schriftarten getrennt von den Anfragen an google.com und enthalten keinerlei Zugangsdaten für andere Google-Dienste, bei denen Sie angemeldet sind (z. B. Gmail).
Um Schriften schnell und effizient mit möglichst wenigen Anfragen bereitzustellen, werden die Antworten vom Browser zwischengespeichert, um die Anzahl der Zugriffe auf unsere Server zu minimieren.
Anfragen nach CSS-Ressourcen werden einen Tag lang zwischengespeichert. Dadurch können wir ein Stylesheet so aktualisieren, dass es bei der Aktualisierung auf eine neue Version einer Schriftartdatei verweist. Außerdem wird sichergestellt, dass alle Websites, die von der Google-Schriftarten-API gehostete Schriftarten verwenden, binnen 24 Stunden nach jeder Veröffentlichung die jeweils aktuellste Version einer Schriftart erhalten.
Die Font Files selbst werden ein Jahr lang zwischengespeichert, was insgesamt das Web schneller macht: Wenn Millionen von Websites alle auf die gleichen Schriftarten verweisen, werden diese nach dem Besuch der ersten Website zwischengespeichert und erscheinen auf allen anderen später besuchten Websites sofort. Manchmal aktualisieren wir Schriftartendateien, um etwa die Dateigröße zu verringern, mehr Sprachen abzudecken oder die Qualität des Designs zu verbessern. Im Ergebnis senden Website-Besucher nur sehr wenige Anfragen an Google: Wir sehen nur eine CSS-Anfrage pro Schriftfamilie, Tag und Browser.
Google Fonts protokolliert die CSS- und Schriftdateianfragen und bewahrt diese Zugriffsdaten sicher auf. Aggregierte Nutzungszahlen erfassen, wie beliebt die Schriftfamilien sind, und werden auf unserer Analytics-Seite veröffentlicht. Wir verwenden Daten aus dem Web-Crawler von Google, um festzustellen, welche Websites Google-Schriften verwenden. Diese Daten werden auch in der BigQuery-Datenbank für Google Fonts veröffentlicht und zugänglich gemacht. Weitere Informationen zu den von Google gesammelten Informationen sowie zur Verwendung und Sicherung dieser Daten finden Sie in der Google-Datenschutzerklärung.
Es ist auf jeden Fall ratsam, in der eigenen Datenschutzerklärung einen Passus zu Google Fonts einzufügen, wenn man diese in der von Google gehosteten Variante einsetzt. Eine gelungene Formulierung dafür bietet meines Erachtens der Datenschutz-Generator von Dr. jur. Thomas Schwenke an (ich selbst bin mittlerweile auf Impressum Plus von Epiphyt umgestiegen).
LG München sorgt für neue Verunsicherung
Update: Neue Aktualität bekommt dieser (ursprünglich Ende Januar 2020 veröffentlichte) Beitrag durch ein Urteil des Landgerichts München. Die Richter kommen darin zu dem Schluss, dass eine Einbindung von Google Fonts – und ganz generell von Webdiensten mit Sitz in den USA – ohne vorgeschaltete Einwilligung datenschutzwidrig sei und Websitebetreiber Unterlassung und Schadenersatz schulden.
Ein ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 f) DSGVO sahen die Richter nicht gegeben, weil man die von Google bereitgestellten Schriften grundsätzlich auch statisch (= selbst gehostet) einbinden kann. Hierüber ließe sich aus meiner Sicht trefflich streiten, Stichworte u. a. Geschwindigkeit CDN vs. lokal, Effizienz und zentrale Aktualisierung, ich bin aber wohlgemerkt kein Jurist.
Rechtsanwalt Niklas Plutte schreibt dazu:
Sollte sich die Sichtweise des Landgerichts München durchsetzen, stellt sie einen Freibrief für Abmahnungen und Schadensersatzforderungen dar. Das deutschsprachige Internet ist voll von Websites, die US-Webdienste ohne Consent Banner einsetzen. Um sich zum klageberechtigten Betroffenen zu machen, reicht ein einziger Klick.
Google hätte hier längst mehr Klarheit schaffen können und müssen – die Fonts-FAQ sind weiterhin nur in englischer Sprache verfügbar, und auf dieses populäre GitHub-Ticket gab es nie eine wirklich zufriedenstellende Antwort aus Mountain View. Vermutlich will der Konzern die Sache aussitzen in der Hoffnung, dass sich EU und USA zeitnah auf einen Nachfolger von Safe Harbor und Privacy Shield einigen und die Problematik dadurch wieder entschärft wird …
Google Fonts ist raffiniert
Das Web ist voll von vermeintlich einfachen Anleitungen, wie man von Google bereitgestellte Schriften selbst hosten kann. Tools wie der Google Webfonts Helper machen es vermeintlich einfach, die benötigten Dateien samt CSS herunterzuladen (wobei nicht alle Schriftlizenzen ein Hosting außerhalb von Google Fonts erlauben!).
Sie lassen aber außer Acht, dass Google Fonts weit mehr tut, als einfach nur Webfonts per CDN auszuliefern:
Google Fonts is not just a repository of hundreds of free fonts – it is also a clever delivery mechanism utilising many of the latest web performance techniques to try to deliver the most appropriate fonts, with the minimal effort to the website owner
schreibt Barry Pollard in einer sehr ausführlichen Betrachtung zum Für und Wider von Google Fonts, die allerdings die oben erwähnten rechtlichen Aspekte nicht berücksichtigt. Trotzdem eine lohnende Lektüre für alle, die besser verstehen wollen, wie Google Fonts funktioniert. Ich bin sicher, dass die Richter am LG München diese Zusammenhänge nicht mal ansatzweise kennen, geschweige denn nachvollziehen können.
Update: Google hat sich Mitte November 2022 in einem Blogbeitrag zur Fonts-Thematik geäußert. Irgendwelche neue Rechtssicherheit bringt der wohl auch nicht. Immerhin schreibt Google
Google does not use any information collected by Google Fonts for other purposes and Google in particular does not use it for creating profiles of end users or for advertising. Moreover, the fact that Google’s servers necessarily receive IP addresses to transmit fonts is not unique to Google and is consistent with how the Internet works.
Ebenfalls lesenswert zum Thema ist ein neuer Artikel bei „heise online“, in dem Justiziar Joerg Heidrich die aktuellen Abmahnwellen kritisch unter die Lupe nimmt.