Google Fonts-Problematik auch bei Nutzung von Google reCAPTCHA, Google Maps und Youtube?

Google Fonts-Problematik auch bei Nutzung von Google reCAPTCHA, Google Maps und Youtube?
15.11.2022 | Lesezeit: 5 min

Spätestens seit Beginn der derzeitigen Abmahnwelle sind Google Fonts in aller Munde. Werden Fonts dynamisch eingebunden, muss der Browser des Seitenbesuchers die Fonts auf der Zielseite von Google laden. Hierbei kommt es zu einer datenschutzwidrigen Übermittlung der IP-Adresse an Google, für welche der Seitenbetreiber verantwortlich ist. Wie verhält es sich aber, wenn Webfonts essentieller Bestandteil von anderen Diensten wie Google reCAPTCHA, Google Maps und Youtube sind und sich darin nicht deaktivieren lassen? Dürfen diese Dienste nun nicht mehr verwendet werden? Wir klären auf.

I. Die datenschutzrechtliche Problematik der Google Webfonts

Google Webfonts sind online-basierte Services für das Laden von Schriftarten und Typographie-Elementen auf Websites.

Sind Webfonts von Google auf einer Website eingebunden, wird bei Seitenaufruf eine Verbindung zum Google-Netzwerk aufgenommen wird, damit die verwendeten Schriftstile geladen werden können.

Durch diese Verbindungsaufnahme kommt es zur Übertragung von Nutzerinformationen, insbesondere der personenbezogenen IP-Adresse, an Google.

Diese Übertragung ist nun aus zweierlei Gründen problematisch.

Einerseits fehlt es an einer hinreichenden datenschutzrechtlichen Rechtfertigung für die Informationsübermittlung an Google. Insbesondere können sich Seitenbetreiber nicht auf berechtigte Interessen an der graphisch ansprechenden Seitengestaltung gemäß Art. 6 Abs. 1 lit. f DSGVO stützen, weil hierfür die Übermittlung personenbezogener Daten an Google nicht zwingend erforderlich ist.

Andererseits werden Informationen, darunter auch die personenbezogene IP-Adresse, zumindest auch an Google-Server in den USA übertragen. Drittstaatentransfers sind aber datenschutzrechtlich nur nach den strengen Voraussetzungen der Art. 44 ff. DSGVO zulässig und aktuell für das Zielland USA allgemein nicht rechtskonform möglich, weil es wegen weiter Datenzugriffsbefugnisse der US-Geheimdienste an einem hinreichenden Schutzniveau für personenbezogene Daten fehlt.

Empfohlen wird daher zwingend, Fonts, insbesondere solche von Google, ausschließlich lokal einzubinden und vom eigenen Server (nicht vom Server des Anbieters) laden zu lassen.

So kommt es nämlich zu keiner Erhebung und Übermittlung von personenbezogenen Daten durch/an Google, weil die Fonts nicht durch eine Verbindungsaufnahme zu Google Servern erst geladen werden müssen.

Kostenfreies Bewertungssystem SHOPVOTE

II. Google Webfonts als Bestandteile anderer Dienste

Seitenbetreiber, die auf die datenschutzwidrige dynamische Einbindung von Google Fonts verzichten und die Fonts stattdessen lokal einbinden, sehen sich unter Umständen aber weiterhin mit einem „Fonts-Problem“ konfrontiert.

Google Webfonts sind nämlich Bestandteile weiterer Google-Dienste und werden als notwendige Unterfunktion innerhalb dieser Dienste ebenfalls dynamisch geladen.

Betroffen sind vor allem der Dienst „Google reCAPTCHA“ und Google Maps ebenso wie Youtube-Videos, die auf Webseiten eingebettet werden.

Google Fonts werden hierbei wohlgemerkt nicht geladen, um Schriftarten und Stile direkt auf der Einbettungswebsite darzustellen. Vielmehr dienen sie nur der optischen Ausgestaltung des jeweiligen Google-Dienstes selbst. Sie werden also geladen, um Schriftarten innerhalb von reCAPTCHA, Maps bzw. dem Youtube-Frame anzuzeigen.

Dennoch kommt es durch die untrennbar mit diesen Diensten verbundenen dynamischen Fonts durch eine eigenständige Übermittlung der Nutzer-IP-Adresse an Google.

Schließlich werden diese Fonts (als von Google vorgesehene unselbstständige Bestandteile) zwangsweise durch eine Browser-Verbindung des Seitenbesuchers geladen.

III. Eigenständige Datenschutzproblematik bei Webfonts als Bestandteil von reCAPTCHA, Google Maps und Youtube?

Anders, als man meinen könnte, ist die IP-Übertragung durch die Webfonts-Komponente innerhalb von Google reCAPTCHA, Google Maps und Youtube aber nicht eigenständig als datenschutzrechtliches Problem zu werten.

Bereits originär wird bei der Einbindung beider Dienste nämlich die IP-Adresse des Nutzers erhoben und an Google übermittelt.

Im Falle von reCAPTCHA geschieht dies über ein Skript. Die IP-Adresserhebung -und Übermittlung dient hier der Verifizierung der Quelle des Aufrufs und einer automatischen Entscheidung über weitere Legitimierungsanforderungen zur Abwehr automatisierter Seitenaufrufe und Distributed Denial of Service-Attacken. Insoweit ist die IP-Adressübermittlung an Google grundsätzlich über berechtigte Interessen an der Funktionalität der Website und an der Missbrauchsprävention gem. Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt.

Für Google Maps, sofern darüber keine Cookies gesetzt werden, ergibt sich die Rechtfertigung aus dem berechtigten Interesse an der bedarfsgerechten Ausgestaltung der Website und der graphischen Veranschaulichung von Service-Standorten aus Art. 6 Abs. 1 lit. f DSGVO.

Im Falle von Youtube erfolgt die IP-Adressübermittlung an Google durch Cookies, die von Google zum/beim Abspielen von Videos gesetzt werden und für welche der Seitenbetreiber eine hinreichende Einwilligungslösung (Cookie-Consent) eingerichtet haben muss. Rechtsgrundlage für die Übermittlung der IP-Adresse an Google wäre in diesem Fall bereits die hinreichende Nutzereinwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Wird nun durch die Fonts-Integration bei Google reCAPTCHA, Google Maps oder Youtube die IP-Adresse zusätzlich noch einmal an denselben Empfänger (Google) übertragen, ist dies datenschutzrechtlich nicht mehr gesondert zu würdigen.

Immerhin verfügt Google ja über diese Information schon originär durch das jeweilige Tool.

Der doppelten Übermittlung durch die integrierten Webfonts kommt insofern keine eigenständige Bedeutung mehr zu und sie muss datenschutzrechtlich nicht gesondert bewertet werden.

Daher kann sie, sofern die originäre Übertragung der IP-Adresse rechtmäßig erfolgt, auch nicht eigenständig rechtswidrig sein.

Hinweis zu US-Datentransfers:

Derzeit besteht bei der Nutzung sämtlicher Google-Dienste, die personenbezogene Daten verarbeiten, dennoch ein latentes Datenschutzrisiko. Google Dienste übermitteln die personenbezogenen Informationen nämlich regelmäßig an US-Server der Google LLC. Hierfür existiert allerdings aktuell keine hinreichende datenschutzrechtliche Rechtfertigungsgrundlage.
Insbesondere die „Standardvertragsklauseln“, die Google als Datensicherungsmechanismus implementiert haben will, reichen nicht aus.

IV. Fazit

Bestimmte Google-basierte Dienste (etwa Google reCAPTCHA, Google Maps und Youtube) operieren mit eigenen Google-Webfonts-Integrationen, die sich nicht deaktivieren lassen.

Bei Einsatz dieser Dienste werden über eine Verbindungsaufnahme zu Google insofern Fonts geladen, um diese in den Sichtfeldern der Dienste selbst anzuzeigen. Hierbei kommt es auch zu den berüchtigten Übermittlungen von Nutzer-IPs an Google.

Allerdings übertragen diese Google Dienste die IP-Adressen von Nutzern bereits originär über ihre funktionellen Kernaktivitäten an Google und können sich hierfür auf grundsätzlich auf DSGVO-Rechtsgrundlagen berufen.

Einer nachgelagerten Übermittlung derselben IP-Adresse an denselben Empfänger (Google) über die Webfonts-Komponente kommt daher keine eigenständige Bedeutung mehr zu.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

9 Kommentare

E
Eric 10.06.2023, 12:36 Uhr
recaptcha
Also kann auf der Webseite recaptcha weiterhin bedenkenlos verwendet werden und es bedarf ledglich des regulären Hinweisen in der Datenschutzerklärung das Daten entsprechend an google für die Verarbeitung von recaptcha gesendet werden, so wie es entsprechende Baukästen für DSGVO konforme Datenschutzerklärungen machen
A
Andreas Haug 04.04.2023, 17:06 Uhr
reCAPTCHA
Kann man reCAPTCHA einfach auf der Seite installieren, oder braucht es gesonderte Hinweise dazu?
T
Tobias Pankraz 22.03.2023, 11:25 Uhr
Was ist mit anderen Diensten, die ihrerseits externe Dienste wie Google Fonts verwenden?
Nehmen wir mal an ich betreibe eine Webseite und setze ein Consent-Tool ein, welches das Laden von Widgets und Embeds ordnungsgemäß erst gestattet, wenn eine Einwilligung erteilt wurde. Außerdem wurden alle Widgets und Embeds sorgfältig in der Datenschutzerklärung aufgeführt und erklärt.

Was ist, wenn eins dieser Widgets, welches NICHT von Google kommt, seinerseits einen Drittanbieterdienst wie zB. Google Fonts oder einen ähnlichen Dienst verwendet? Muss ich das in meiner Datenschutzerklärung mit aufführen? Würde das dann nicht bedeuten, dass ich sämtliche von mir verwendeten Widgets in allen möglichen Situationen regelmäßig prüfen müsste um zu dokumentieren welche externen Dienste dort verwendet werden um sie in meiner Datenschutzerklärung nachzutragen oder zu entfernen wenn sich dort Änderungen ergeben?

Oder reicht ein Verweis auf die Datenschutzerklärung des Anbieters des jeweiligen Widgets?
O
Olaf 27.12.2022, 12:30 Uhr
Alternativen
Auch wenn es richtig ist, die Macht der Großkonzerne (insbesondere der weltweit agierenden) einzuschränken: Ohne Google ist man im Onlinehandel wohl aufgeschmissen. Die EU schafft es leider nur die Nutzung dieser Funktionen für Händler unattraktiv zu machen. Es gibt aber keine wirklichen Alternativen oder doch?
Die EU ist so ein Wunderwerk, aber Eigenkreation? Fehlanzeige. Da wäre mal was gefragt.
Online-Händler wollen zudem auch einfach nur arbeiten und nicht ständig nur irgendwelche Gesetze lesen (und interpretieren), die meist nicht eimal die wirklich verstehen, die sie erlassen.
H
Hermann Schläpfer 05.12.2022, 10:38 Uhr
Ist das ganze Buch sowieso Blödsinn
Wenn man einen Browser öffnet wir doch die IP-Adresse sowieso an Google übertragen! Da die meisten Google als Suchdienst eingestellt haben.
Im übrigen kann bei der ganzen Verordnung nur sagen da haben sich völlig Blinde übers sehen unterhalten.
B
Bernhard Kraus 05.12.2022, 08:56 Uhr
Also unbedenklich mit Consent-Manager, oder doch nicht, weil "Hinweis zu US-Datentransfers"?
Vielen Dank, hervorragender Artikel. Bei Google Maps würde ich zusätzlich anmerken, dass, wie bei Youtube, eine saubere Cookie-Consent Lösung, die Einbettungen zunächst deaktiviert. Nur bei Einwilligung werden die Einbettungen geladen. Insofern werden vor Einwilligung ohnehin keine Daten übertragen.
Wer sich nun sicher fühlt , sollte die Frage stellen, inwiefern der Hinweis "Hinweis zu US-Datentransfers" den gesamten Artikel in Frage stellt. Der Artikel beleuchtet nur die Nutzung von Google Fonts in, sagen wir mal, zweiter Instanz durch weitere Google-Dienste. "Hinweis zu US-Datentransfers" deutet allerdings darauf hin, dass die grundsätzliche Nutzung von ReCaptcha, Maps oder Youtube, zweifelhaft rechtssicher sind.

Gibt es dazu einen eindeutigen aktuellen Bericht zur Rechtslage? Vielen Dank.
B
Bernhard Boch 02.12.2022, 17:23 Uhr
Herr
Für Schulen, die auf Moodle YouTube-Videos einbinden, löst sich das Problem nicht so leicht: Die Einwilligung müsste regelmäßig (jedenfalls bis zum 16. Lebensjahr) von den Eltern kommen. Daher würde hier ein Einwilligungsbutton nichts nützen und YouTube bliebe verbannt, oder?
I
Ingo Brabetz 02.12.2022, 16:12 Uhr
Bedeutet das dann auch, wenn ich Google Maps auf der Site eingebunden habe kann ich auch sonst Google Fonts nachladen, da die IP ja eh schon übermittelt wird?
Hallo,

Mal wieder ein sehr aufschlussreicher Artikel.
Bedeutet das dann auch, wenn ich Google Maps auf der Site eingebunden habe, dann kann ich auch sonst Google Fonts nachladen, da die IP ja eh schon übermittelt wird?
K
Karl B 29.11.2022, 10:20 Uhr
keine Daten ausserhalb Europa vs. Google ReCaptcha
in diesem Artikel https://www.lda.bayern.de/de/faq.html
unter "Darf Google reCAPTCHA auf der Website eingebunden werden?"
sieht das Bayrische Landesamt für Datenschutzaufsicht sieht Google ReCaptcha wegen der Datenübermittlung in die USA als kritisch: "Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen."

Sie schreiben oben, wenn man vorher abfrägt (wie? per Cookie-Zustmmung? Welche Zustimmung, was genau?) ist ReCaptcha unkritisch.
Was ist die genaue Definiton, bzw. was muss man abfragen?

Wir würden unseren Shop gerne komplett ohne Datenübermittlung ausserhalb der EU betreiben, ein großer Shopsoftware-Anbieter bietet allerdings nur ReChaptcha zur Auswahl und verweist auf Ihren Artikel, dass das legal machbar ist / sein soll.

Vielen Dank für Ihre Antwort.

Mit freundlichen Grüßen,
Karl B

Weitere News

Ist die Aufzeichnung von Kundentelefonaten nach DSGVO erlaubt?
(02.10.2024, 15:33 Uhr)
Ist die Aufzeichnung von Kundentelefonaten nach DSGVO erlaubt?
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
(01.08.2024, 14:29 Uhr)
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
(19.06.2024, 11:17 Uhr)
Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
(10.06.2024, 14:40 Uhr)
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
Online-Shop gehackt: DSGVO-konforme Reaktion auf Datenpannen - Anleitung & Musterbenachrichtigung
(07.06.2024, 11:46 Uhr)
Online-Shop gehackt: DSGVO-konforme Reaktion auf Datenpannen - Anleitung & Musterbenachrichtigung
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

© 2004-2024 · IT-Recht Kanzlei