Google Fonts und der Datenschutz

Goog­le hat da eigent­lich eine schö­ne FAQ-Samm­lung zu sei­ner Web­font-Samm­lung Goog­le Fonts. Aber lei­der gibt es die­se Fra­gen und Ant­wor­ten bis dato nur auf Eng­lisch. Das ist nicht gera­de dazu ange­tan, die vie­len FUD-Arti­kel (“Fear, Uncer­tain­ty and Doubt”) aus der Welt zu schaf­fen, die ins­be­son­de­re zur Ein­füh­rung der DSGVO / GDPR von aller­lei Ver­un­si­cher­ten und Ger­man Ängst­li­chen hier­zu­lan­de ins Netz gestellt wur­den und die bis heu­te die Such­ergeb­nis­se zum The­ma dominieren.

Ich habe jetzt ein­fach mal den ent­schei­den­den Pas­sus durch DeepL geschickt und nach­be­ar­bei­tet für alle, die des Eng­li­schen nicht aus­rei­chend mäch­tig sind. Bit­te sehr:

Was bedeu­tet die Ver­wen­dung der Goog­le-Fonts-API für die Pri­vat­sphä­re mei­ner Nutzer?

Die Goog­le-Fonts-API wur­de ent­wi­ckelt, um die Erfas­sung, Spei­che­rung und Nut­zung von Nut­zer­da­ten auf das zu beschrän­ken, was für die effi­zi­en­te Bereit­stel­lung von Schrif­ten erfor­der­lich ist.

Die Ver­wen­dung von Goog­le Fonts erfolgt unau­then­ti­fi­ziert. Besu­cher Ihrer Web­site sen­den kei­ne Coo­kies an die Goog­le-Fonts-API. Anfra­gen an die Goog­le-Fonts-API wer­den an res­sour­cen­spe­zi­fi­sche Domains wie fonts​.goo​g​le​a​pis​.com oder fonts​.gsta​tic​.com gerich­tet. Somit blei­ben Ihre Anfra­gen für Schrift­ar­ten getrennt von den Anfra­gen an goog​le​.com und ent­hal­ten kei­ner­lei Zugangs­da­ten für ande­re Goog­le-Diens­te, bei denen Sie ange­mel­det sind (z. B. Gmail).

Um Schrif­ten schnell und effi­zi­ent mit mög­lichst weni­gen Anfra­gen bereit­zu­stel­len, wer­den die Ant­wor­ten vom Brow­ser zwi­schen­ge­spei­chert, um die Anzahl der Zugrif­fe auf unse­re Ser­ver zu minimieren.

Anfra­gen nach CSS-Res­sour­cen wer­den einen Tag lang zwi­schen­ge­spei­chert. Dadurch kön­nen wir ein Style­sheet so aktua­li­sie­ren, dass es bei der Aktua­li­sie­rung auf eine neue Ver­si­on einer Schrift­art­da­tei ver­weist. Außer­dem wird sicher­ge­stellt, dass alle Web­sites, die von der Goog­le-Schrift­ar­ten-API gehos­te­te Schrift­ar­ten ver­wen­den, bin­nen 24 Stun­den nach jeder Ver­öf­fent­li­chung die jeweils aktu­ells­te Ver­si­on einer Schrift­art erhalten.

Die Font Files selbst wer­den ein Jahr lang zwi­schen­ge­spei­chert, was ins­ge­samt das Web schnel­ler macht: Wenn Mil­lio­nen von Web­sites alle auf die glei­chen Schrift­ar­ten ver­wei­sen, wer­den die­se nach dem Besuch der ers­ten Web­site zwi­schen­ge­spei­chert und erschei­nen auf allen ande­ren spä­ter besuch­ten Web­sites sofort. Manch­mal aktua­li­sie­ren wir Schrift­ar­ten­da­tei­en, um etwa die Datei­grö­ße zu ver­rin­gern, mehr Spra­chen abzu­de­cken oder die Qua­li­tät des Designs zu ver­bes­sern. Im Ergeb­nis sen­den Web­site-Besu­cher nur sehr weni­ge Anfra­gen an Goog­le: Wir sehen nur eine CSS-Anfra­ge pro Schrift­fa­mi­lie, Tag und Browser.

Goog­le Fonts pro­to­kol­liert die CSS- und Schrift­da­tei­an­fra­gen und bewahrt die­se Zugriffs­da­ten sicher auf. Agg­re­gier­te Nut­zungs­zah­len erfas­sen, wie beliebt die Schrift­fa­mi­li­en sind, und wer­den auf unse­rer Ana­ly­tics-Sei­te ver­öf­fent­licht. Wir ver­wen­den Daten aus dem Web-Craw­ler von Goog­le, um fest­zu­stel­len, wel­che Web­sites Goog­le-Schrif­ten ver­wen­den. Die­se Daten wer­den auch in der Big­Query-Daten­bank für Goog­le Fonts ver­öf­fent­licht und zugäng­lich gemacht. Wei­te­re Infor­ma­tio­nen zu den von Goog­le gesam­mel­ten Infor­ma­tio­nen sowie zur Ver­wen­dung und Siche­rung die­ser Daten fin­den Sie in der Goog­le-Daten­schutz­er­klä­rung.

Es ist auf jeden Fall rat­sam, in der eige­nen Daten­schutz­er­klä­rung einen Pas­sus zu Goog­le Fonts ein­zu­fü­gen, wenn man die­se in der von Goog­le gehos­te­ten Vari­an­te ein­setzt. Eine gelun­ge­ne For­mu­lie­rung dafür bie­tet mei­nes Erach­tens der Daten­schutz-Gene­ra­tor von Dr. jur. Tho­mas Schwen­ke an (ich selbst bin mitt­ler­wei­le auf Impres­sum Plus von Epi­phyt umge­stie­gen).

LG München sorgt für neue Verunsicherung

Update: Neue Aktua­li­tät bekommt die­ser (ursprüng­lich Ende Janu­ar 2020 ver­öf­fent­lich­te) Bei­trag durch ein Urteil des Land­ge­richts Mün­chen. Die Rich­ter kom­men dar­in zu dem Schluss, dass eine Ein­bin­dung von Goog­le Fonts – und ganz gene­rell von Web­diens­ten mit Sitz in den USA – ohne vor­ge­schal­te­te Ein­wil­li­gung daten­schutz­wid­rig sei und Web­site­be­trei­ber Unter­las­sung und Scha­den­er­satz schulden.

Ein ein berech­tig­tes Inter­es­se im Sin­ne von Art. 6 Abs. 1 f) DSGVO sahen die Rich­ter nicht gege­ben, weil man die von Goog­le bereit­ge­stell­ten Schrif­ten grund­sätz­lich auch sta­tisch (= selbst gehos­tet) ein­bin­den kann. Hier­über lie­ße sich aus mei­ner Sicht treff­lich strei­ten, Stich­wor­te u. a. Geschwin­dig­keit CDN vs. lokal, Effi­zi­enz und zen­tra­le Aktua­li­sie­rung, ich bin aber wohl­ge­merkt kein Jurist.

Rechts­an­walt Niklas Plut­te schreibt dazu:

Soll­te sich die Sicht­wei­se des Land­ge­richts Mün­chen durch­set­zen, stellt sie einen Frei­brief für Abmah­nun­gen und Scha­dens­er­satz­for­de­run­gen dar. Das deutsch­spra­chi­ge Inter­net ist voll von Web­sites, die US-Web­diens­te ohne Con­sent Ban­ner ein­set­zen. Um sich zum kla­ge­be­rech­tig­ten Betrof­fe­nen zu machen, reicht ein ein­zi­ger Klick.

Goog­le hät­te hier längst mehr Klar­heit schaf­fen kön­nen und müs­sen – die Fonts-FAQ sind wei­ter­hin nur in eng­li­scher Spra­che ver­füg­bar, und auf die­ses popu­lä­re Git­Hub-Ticket gab es nie eine wirk­lich zufrie­den­stel­len­de Ant­wort aus Moun­tain View. Ver­mut­lich will der Kon­zern die Sache aus­sit­zen in der Hoff­nung, dass sich EU und USA zeit­nah auf einen Nach­fol­ger von Safe Har­bor und Pri­va­cy Shield eini­gen und die Pro­ble­ma­tik dadurch wie­der ent­schärft wird …

Google Fonts ist raffiniert

Das Web ist voll von ver­meint­lich ein­fa­chen Anlei­tun­gen, wie man von Goog­le bereit­ge­stell­te Schrif­ten selbst hos­ten kann. Tools wie der Goog­le Web­fonts Hel­per machen es ver­meint­lich ein­fach, die benö­tig­ten Datei­en samt CSS her­un­ter­zu­la­den (wobei nicht alle Schrift­li­zen­zen ein Hos­ting außer­halb von Goog­le Fonts erlauben!).

Sie las­sen aber außer Acht, dass Goog­le Fonts weit mehr tut, als ein­fach nur Web­fonts per CDN auszuliefern:

Goog­le Fonts is not just a repo­si­to­ry of hundreds of free fonts – it is also a cle­ver deli­very mecha­nism uti­li­sing many of the latest web per­for­mance tech­ni­ques to try to deli­ver the most appro­pria­te fonts, with the mini­mal effort to the web­site owner

schreibt Bar­ry Pol­lard in einer sehr aus­führ­li­chen Betrach­tung zum Für und Wider von Goog­le Fonts, die aller­dings die oben erwähn­ten recht­li­chen Aspek­te nicht berück­sich­tigt. Trotz­dem eine loh­nen­de Lek­tü­re für alle, die bes­ser ver­ste­hen wol­len, wie Goog­le Fonts funk­tio­niert. Ich bin sicher, dass die Rich­ter am LG Mün­chen die­se Zusam­men­hän­ge nicht mal ansatz­wei­se ken­nen, geschwei­ge denn nach­voll­zie­hen können.

Update: Goog­le hat sich Mit­te Novem­ber 2022 in einem Blog­bei­trag zur Fonts-The­ma­tik geäu­ßert. Irgend­wel­che neue Rechts­si­cher­heit bringt der wohl auch nicht. Immer­hin schreibt Google

Goog­le does not use any infor­ma­ti­on coll­ec­ted by Goog­le Fonts for other pur­po­ses and Goog­le in par­ti­cu­lar does not use it for crea­ting pro­files of end users or for adver­ti­sing. Moreo­ver, the fact that Google’s ser­vers neces­s­a­ri­ly recei­ve IP addres­ses to trans­mit fonts is not uni­que to Goog­le and is con­sis­tent with how the Inter­net works.

Eben­falls lesens­wert zum The­ma ist ein neu­er Arti­kel bei „hei­se online“, in dem Jus­ti­zi­ar Joerg Heid­rich die aktu­el­len Abmahn­wel­len kri­tisch unter die Lupe nimmt.

Schreibe einen Kommentar