Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Homepages
Hood
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
Zalando
Zen-Cart
ZVAB

Google Fonts-Problematik auch bei Nutzung von Google reCAPTCHA, Google Maps und Youtube?

15.11.2022, 14:21 Uhr | Lesezeit: 5 min
Google Fonts-Problematik auch bei Nutzung von Google reCAPTCHA, Google Maps und Youtube?

Spätestens seit Beginn der derzeitigen Abmahnwelle sind Google Fonts in aller Munde. Werden Fonts dynamisch eingebunden, muss der Browser des Seitenbesuchers die Fonts auf der Zielseite von Google laden. Hierbei kommt es zu einer datenschutzwidrigen Übermittlung der IP-Adresse an Google, für welche der Seitenbetreiber verantwortlich ist. Wie verhält es sich aber, wenn Webfonts essentieller Bestandteil von anderen Diensten wie Google reCAPTCHA, Google Maps und Youtube sind und sich darin nicht deaktivieren lassen? Dürfen diese Dienste nun nicht mehr verwendet werden? Wir klären auf.

I. Die datenschutzrechtliche Problematik der Google Webfonts

Google Webfonts sind online-basierte Services für das Laden von Schriftarten und Typographie-Elementen auf Websites.

Sind Webfonts von Google auf einer Website eingebunden, wird bei Seitenaufruf eine Verbindung zum Google-Netzwerk aufgenommen wird, damit die verwendeten Schriftstile geladen werden können.

Durch diese Verbindungsaufnahme kommt es zur Übertragung von Nutzerinformationen, insbesondere der personenbezogenen IP-Adresse, an Google.

Diese Übertragung ist nun aus zweierlei Gründen problematisch.

Einerseits fehlt es an einer hinreichenden datenschutzrechtlichen Rechtfertigung für die Informationsübermittlung an Google. Insbesondere können sich Seitenbetreiber nicht auf berechtigte Interessen an der graphisch ansprechenden Seitengestaltung gemäß Art. 6 Abs. 1 lit. f DSGVO stützen, weil hierfür die Übermittlung personenbezogener Daten an Google nicht zwingend erforderlich ist.

Andererseits werden Informationen, darunter auch die personenbezogene IP-Adresse, zumindest auch an Google-Server in den USA übertragen. Drittstaatentransfers sind aber datenschutzrechtlich nur nach den strengen Voraussetzungen der Art. 44 ff. DSGVO zulässig und aktuell für das Zielland USA allgemein nicht rechtskonform möglich, weil es wegen weiter Datenzugriffsbefugnisse der US-Geheimdienste an einem hinreichenden Schutzniveau für personenbezogene Daten fehlt.

Empfohlen wird daher zwingend, Fonts, insbesondere solche von Google, ausschließlich lokal einzubinden und vom eigenen Server (nicht vom Server des Anbieters) laden zu lassen.

So kommt es nämlich zu keiner Erhebung und Übermittlung von personenbezogenen Daten durch/an Google, weil die Fonts nicht durch eine Verbindungsaufnahme zu Google Servern erst geladen werden müssen.

1

II. Google Webfonts als Bestandteile anderer Dienste

Seitenbetreiber, die auf die datenschutzwidrige dynamische Einbindung von Google Fonts verzichten und die Fonts stattdessen lokal einbinden, sehen sich unter Umständen aber weiterhin mit einem „Fonts-Problem“ konfrontiert.

Google Webfonts sind nämlich Bestandteile weiterer Google-Dienste und werden als notwendige Unterfunktion innerhalb dieser Dienste ebenfalls dynamisch geladen.

Betroffen sind vor allem der Dienst „Google reCAPTCHA“ und Google Maps ebenso wie Youtube-Videos, die auf Webseiten eingebettet werden.

Google Fonts werden hierbei wohlgemerkt nicht geladen, um Schriftarten und Stile direkt auf der Einbettungswebsite darzustellen. Vielmehr dienen sie nur der optischen Ausgestaltung des jeweiligen Google-Dienstes selbst. Sie werden also geladen, um Schriftarten innerhalb von reCAPTCHA, Maps bzw. dem Youtube-Frame anzuzeigen.

Dennoch kommt es durch die untrennbar mit diesen Diensten verbundenen dynamischen Fonts durch eine eigenständige Übermittlung der Nutzer-IP-Adresse an Google.

Schließlich werden diese Fonts (als von Google vorgesehene unselbstständige Bestandteile) zwangsweise durch eine Browser-Verbindung des Seitenbesuchers geladen.

III. Eigenständige Datenschutzproblematik bei Webfonts als Bestandteil von reCAPTCHA, Google Maps und Youtube?

Anders, als man meinen könnte, ist die IP-Übertragung durch die Webfonts-Komponente innerhalb von Google reCAPTCHA, Google Maps und Youtube aber nicht eigenständig als datenschutzrechtliches Problem zu werten.

Bereits originär wird bei der Einbindung beider Dienste nämlich die IP-Adresse des Nutzers erhoben und an Google übermittelt.

Im Falle von reCAPTCHA geschieht dies über ein Skript. Die IP-Adresserhebung -und Übermittlung dient hier der Verifizierung der Quelle des Aufrufs und einer automatischen Entscheidung über weitere Legitimierungsanforderungen zur Abwehr automatisierter Seitenaufrufe und Distributed Denial of Service-Attacken. Insoweit ist die IP-Adressübermittlung an Google grundsätzlich über berechtigte Interessen an der Funktionalität der Website und an der Missbrauchsprävention gem. Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt.

Für Google Maps, sofern darüber keine Cookies gesetzt werden, ergibt sich die Rechtfertigung aus dem berechtigten Interesse an der bedarfsgerechten Ausgestaltung der Website und der graphischen Veranschaulichung von Service-Standorten aus Art. 6 Abs. 1 lit. f DSGVO.

Im Falle von Youtube erfolgt die IP-Adressübermittlung an Google durch Cookies, die von Google zum/beim Abspielen von Videos gesetzt werden und für welche der Seitenbetreiber eine hinreichende Einwilligungslösung (Cookie-Consent) eingerichtet haben muss. Rechtsgrundlage für die Übermittlung der IP-Adresse an Google wäre in diesem Fall bereits die hinreichende Nutzereinwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Wird nun durch die Fonts-Integration bei Google reCAPTCHA, Google Maps oder Youtube die IP-Adresse zusätzlich noch einmal an denselben Empfänger (Google) übertragen, ist dies datenschutzrechtlich nicht mehr gesondert zu würdigen.

Immerhin verfügt Google ja über diese Information schon originär durch das jeweilige Tool.

Der doppelten Übermittlung durch die integrierten Webfonts kommt insofern keine eigenständige Bedeutung mehr zu und sie muss datenschutzrechtlich nicht gesondert bewertet werden.

Daher kann sie, sofern die originäre Übertragung der IP-Adresse rechtmäßig erfolgt, auch nicht eigenständig rechtswidrig sein.

Hinweis zu US-Datentransfers:

Derzeit besteht bei der Nutzung sämtlicher Google-Dienste, die personenbezogene Daten verarbeiten, dennoch ein latentes Datenschutzrisiko. Google Dienste übermitteln die personenbezogenen Informationen nämlich regelmäßig an US-Server der Google LLC. Hierfür existiert allerdings aktuell keine hinreichende datenschutzrechtliche Rechtfertigungsgrundlage.
Insbesondere die „Standardvertragsklauseln“, die Google als Datensicherungsmechanismus implementiert haben will, reichen nicht aus.

IV. Fazit

Bestimmte Google-basierte Dienste (etwa Google reCAPTCHA, Google Maps und Youtube) operieren mit eigenen Google-Webfonts-Integrationen, die sich nicht deaktivieren lassen.

Bei Einsatz dieser Dienste werden über eine Verbindungsaufnahme zu Google insofern Fonts geladen, um diese in den Sichtfeldern der Dienste selbst anzuzeigen. Hierbei kommt es auch zu den berüchtigten Übermittlungen von Nutzer-IPs an Google.

Allerdings übertragen diese Google Dienste die IP-Adressen von Nutzern bereits originär über ihre funktionellen Kernaktivitäten an Google und können sich hierfür auf grundsätzlich auf DSGVO-Rechtsgrundlagen berufen.

Einer nachgelagerten Übermittlung derselben IP-Adresse an denselben Empfänger (Google) über die Webfonts-Komponente kommt daher keine eigenständige Bedeutung mehr zu.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

9 Kommentare

E
Eric 10.06.2023, 12:36 Uhr
recaptcha
Also kann auf der Webseite recaptcha weiterhin bedenkenlos verwendet werden und es bedarf ledglich des regulären Hinweisen in der Datenschutzerklärung das Daten entsprechend an google für die Verarbeitung von recaptcha gesendet werden, so wie es entsprechende Baukästen für DSGVO konforme Datenschutzerklärungen machen
A
Andreas Haug 04.04.2023, 17:06 Uhr
reCAPTCHA
Kann man reCAPTCHA einfach auf der Seite installieren, oder braucht es gesonderte Hinweise dazu?
T
Tobias Pankraz 22.03.2023, 11:25 Uhr
Was ist mit anderen Diensten, die ihrerseits externe Dienste wie Google Fonts verwenden?
Nehmen wir mal an ich betreibe eine Webseite und setze ein Consent-Tool ein, welches das Laden von Widgets und Embeds ordnungsgemäß erst gestattet, wenn eine Einwilligung erteilt wurde. Außerdem wurden alle Widgets und Embeds sorgfältig in der Datenschutzerklärung aufgeführt und erklärt.

Was ist, wenn eins dieser Widgets, welches NICHT von Google kommt, seinerseits einen Drittanbieterdienst wie zB. Google Fonts oder einen ähnlichen Dienst verwendet? Muss ich das in meiner Datenschutzerklärung mit aufführen? Würde das dann nicht bedeuten, dass ich sämtliche von mir verwendeten Widgets in allen möglichen Situationen regelmäßig prüfen müsste um zu dokumentieren welche externen Dienste dort verwendet werden um sie in meiner Datenschutzerklärung nachzutragen oder zu entfernen wenn sich dort Änderungen ergeben?

Oder reicht ein Verweis auf die Datenschutzerklärung des Anbieters des jeweiligen Widgets?
O
Olaf 27.12.2022, 12:30 Uhr
Alternativen
Auch wenn es richtig ist, die Macht der Großkonzerne (insbesondere der weltweit agierenden) einzuschränken: Ohne Google ist man im Onlinehandel wohl aufgeschmissen. Die EU schafft es leider nur die Nutzung dieser Funktionen für Händler unattraktiv zu machen. Es gibt aber keine wirklichen Alternativen oder doch?
Die EU ist so ein Wunderwerk, aber Eigenkreation? Fehlanzeige. Da wäre mal was gefragt.
Online-Händler wollen zudem auch einfach nur arbeiten und nicht ständig nur irgendwelche Gesetze lesen (und interpretieren), die meist nicht eimal die wirklich verstehen, die sie erlassen.
H
Hermann Schläpfer 05.12.2022, 10:38 Uhr
Ist das ganze Buch sowieso Blödsinn
Wenn man einen Browser öffnet wir doch die IP-Adresse sowieso an Google übertragen! Da die meisten Google als Suchdienst eingestellt haben.
Im übrigen kann bei der ganzen Verordnung nur sagen da haben sich völlig Blinde übers sehen unterhalten.
B
Bernhard Kraus 05.12.2022, 08:56 Uhr
Also unbedenklich mit Consent-Manager, oder doch nicht, weil "Hinweis zu US-Datentransfers"?
Vielen Dank, hervorragender Artikel. Bei Google Maps würde ich zusätzlich anmerken, dass, wie bei Youtube, eine saubere Cookie-Consent Lösung, die Einbettungen zunächst deaktiviert. Nur bei Einwilligung werden die Einbettungen geladen. Insofern werden vor Einwilligung ohnehin keine Daten übertragen.
Wer sich nun sicher fühlt , sollte die Frage stellen, inwiefern der Hinweis "Hinweis zu US-Datentransfers" den gesamten Artikel in Frage stellt. Der Artikel beleuchtet nur die Nutzung von Google Fonts in, sagen wir mal, zweiter Instanz durch weitere Google-Dienste. "Hinweis zu US-Datentransfers" deutet allerdings darauf hin, dass die grundsätzliche Nutzung von ReCaptcha, Maps oder Youtube, zweifelhaft rechtssicher sind.

Gibt es dazu einen eindeutigen aktuellen Bericht zur Rechtslage? Vielen Dank.

weitere News

Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Die Übertragung von Kundendaten bei Shop-Veräußerung: Datenschutzrechtliche Pflichten + Muster
(14.11.2023, 14:19 Uhr)
Die Übertragung von Kundendaten bei Shop-Veräußerung: Datenschutzrechtliche Pflichten + Muster
VG Berlin: Mitwirkungsobliegenheit des Betroffenen bei Auskunft nach DSGVO
(26.10.2023, 17:52 Uhr)
VG Berlin: Mitwirkungsobliegenheit des Betroffenen bei Auskunft nach DSGVO
DSGVO-konform: Handlungsanleitung zur Erstellung eines abmahnsicheren Kontaktformulars
(11.10.2023, 07:35 Uhr)
DSGVO-konform: Handlungsanleitung zur Erstellung eines abmahnsicheren Kontaktformulars
DSGVO in der Praxis: Datenschutzhinweise in E-Mail-Signaturen von Online-Händlern erforderlich?
(18.08.2023, 11:39 Uhr)
DSGVO in der Praxis: Datenschutzhinweise in E-Mail-Signaturen von Online-Händlern erforderlich?
Aktion für Mandanten erforderlich: Aktualisierung von EU-Datenschutzerklärungen in Bezug auf EU-US-Data Privacy Framework
(14.07.2023, 07:47 Uhr)
Aktion für Mandanten erforderlich: Aktualisierung von EU-Datenschutzerklärungen in Bezug auf EU-US-Data Privacy Framework
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2023 · IT-Recht Kanzlei