Google Fonts-Problematik auch bei Nutzung von Google reCAPTCHA, Google Maps und Youtube?
Spätestens seit Beginn der derzeitigen Abmahnwelle sind Google Fonts in aller Munde. Werden Fonts dynamisch eingebunden, muss der Browser des Seitenbesuchers die Fonts auf der Zielseite von Google laden. Hierbei kommt es zu einer datenschutzwidrigen Übermittlung der IP-Adresse an Google, für welche der Seitenbetreiber verantwortlich ist. Wie verhält es sich aber, wenn Webfonts essentieller Bestandteil von anderen Diensten wie Google reCAPTCHA, Google Maps und Youtube sind und sich darin nicht deaktivieren lassen? Dürfen diese Dienste nun nicht mehr verwendet werden? Wir klären auf.
Inhaltsverzeichnis
I. Die datenschutzrechtliche Problematik der Google Webfonts
Google Webfonts sind online-basierte Services für das Laden von Schriftarten und Typographie-Elementen auf Websites.
Sind Webfonts von Google auf einer Website eingebunden, wird bei Seitenaufruf eine Verbindung zum Google-Netzwerk aufgenommen wird, damit die verwendeten Schriftstile geladen werden können.
Durch diese Verbindungsaufnahme kommt es zur Übertragung von Nutzerinformationen, insbesondere der personenbezogenen IP-Adresse, an Google.
Diese Übertragung ist nun aus zweierlei Gründen problematisch.
Einerseits fehlt es an einer hinreichenden datenschutzrechtlichen Rechtfertigung für die Informationsübermittlung an Google. Insbesondere können sich Seitenbetreiber nicht auf berechtigte Interessen an der graphisch ansprechenden Seitengestaltung gemäß Art. 6 Abs. 1 lit. f DSGVO stützen, weil hierfür die Übermittlung personenbezogener Daten an Google nicht zwingend erforderlich ist.
Andererseits werden Informationen, darunter auch die personenbezogene IP-Adresse, zumindest auch an Google-Server in den USA übertragen. Drittstaatentransfers sind aber datenschutzrechtlich nur nach den strengen Voraussetzungen der Art. 44 ff. DSGVO zulässig und aktuell für das Zielland USA allgemein nicht rechtskonform möglich, weil es wegen weiter Datenzugriffsbefugnisse der US-Geheimdienste an einem hinreichenden Schutzniveau für personenbezogene Daten fehlt.
Empfohlen wird daher zwingend, Fonts, insbesondere solche von Google, ausschließlich lokal einzubinden und vom eigenen Server (nicht vom Server des Anbieters) laden zu lassen.
So kommt es nämlich zu keiner Erhebung und Übermittlung von personenbezogenen Daten durch/an Google, weil die Fonts nicht durch eine Verbindungsaufnahme zu Google Servern erst geladen werden müssen.
II. Google Webfonts als Bestandteile anderer Dienste
Seitenbetreiber, die auf die datenschutzwidrige dynamische Einbindung von Google Fonts verzichten und die Fonts stattdessen lokal einbinden, sehen sich unter Umständen aber weiterhin mit einem „Fonts-Problem“ konfrontiert.
Google Webfonts sind nämlich Bestandteile weiterer Google-Dienste und werden als notwendige Unterfunktion innerhalb dieser Dienste ebenfalls dynamisch geladen.
Betroffen sind vor allem der Dienst „Google reCAPTCHA“ und Google Maps ebenso wie Youtube-Videos, die auf Webseiten eingebettet werden.
Google Fonts werden hierbei wohlgemerkt nicht geladen, um Schriftarten und Stile direkt auf der Einbettungswebsite darzustellen. Vielmehr dienen sie nur der optischen Ausgestaltung des jeweiligen Google-Dienstes selbst. Sie werden also geladen, um Schriftarten innerhalb von reCAPTCHA, Maps bzw. dem Youtube-Frame anzuzeigen.
Dennoch kommt es durch die untrennbar mit diesen Diensten verbundenen dynamischen Fonts durch eine eigenständige Übermittlung der Nutzer-IP-Adresse an Google.
Schließlich werden diese Fonts (als von Google vorgesehene unselbstständige Bestandteile) zwangsweise durch eine Browser-Verbindung des Seitenbesuchers geladen.
III. Eigenständige Datenschutzproblematik bei Webfonts als Bestandteil von reCAPTCHA, Google Maps und Youtube?
Anders, als man meinen könnte, ist die IP-Übertragung durch die Webfonts-Komponente innerhalb von Google reCAPTCHA, Google Maps und Youtube aber nicht eigenständig als datenschutzrechtliches Problem zu werten.
Bereits originär wird bei der Einbindung beider Dienste nämlich die IP-Adresse des Nutzers erhoben und an Google übermittelt.
Im Falle von reCAPTCHA geschieht dies über ein Skript. Die IP-Adresserhebung -und Übermittlung dient hier der Verifizierung der Quelle des Aufrufs und einer automatischen Entscheidung über weitere Legitimierungsanforderungen zur Abwehr automatisierter Seitenaufrufe und Distributed Denial of Service-Attacken. Insoweit ist die IP-Adressübermittlung an Google grundsätzlich über berechtigte Interessen an der Funktionalität der Website und an der Missbrauchsprävention gem. Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt.
Für Google Maps, sofern darüber keine Cookies gesetzt werden, ergibt sich die Rechtfertigung aus dem berechtigten Interesse an der bedarfsgerechten Ausgestaltung der Website und der graphischen Veranschaulichung von Service-Standorten aus Art. 6 Abs. 1 lit. f DSGVO.
Im Falle von Youtube erfolgt die IP-Adressübermittlung an Google durch Cookies, die von Google zum/beim Abspielen von Videos gesetzt werden und für welche der Seitenbetreiber eine hinreichende Einwilligungslösung (Cookie-Consent) eingerichtet haben muss. Rechtsgrundlage für die Übermittlung der IP-Adresse an Google wäre in diesem Fall bereits die hinreichende Nutzereinwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
Wird nun durch die Fonts-Integration bei Google reCAPTCHA, Google Maps oder Youtube die IP-Adresse zusätzlich noch einmal an denselben Empfänger (Google) übertragen, ist dies datenschutzrechtlich nicht mehr gesondert zu würdigen.
Immerhin verfügt Google ja über diese Information schon originär durch das jeweilige Tool.
Der doppelten Übermittlung durch die integrierten Webfonts kommt insofern keine eigenständige Bedeutung mehr zu und sie muss datenschutzrechtlich nicht gesondert bewertet werden.
Daher kann sie, sofern die originäre Übertragung der IP-Adresse rechtmäßig erfolgt, auch nicht eigenständig rechtswidrig sein.
Hinweis zu US-Datentransfers:
Derzeit besteht bei der Nutzung sämtlicher Google-Dienste, die personenbezogene Daten verarbeiten, dennoch ein latentes Datenschutzrisiko. Google Dienste übermitteln die personenbezogenen Informationen nämlich regelmäßig an US-Server der Google LLC. Hierfür existiert allerdings aktuell keine hinreichende datenschutzrechtliche Rechtfertigungsgrundlage.
Insbesondere die „Standardvertragsklauseln“, die Google als Datensicherungsmechanismus implementiert haben will, reichen nicht aus.
IV. Fazit
Bestimmte Google-basierte Dienste (etwa Google reCAPTCHA, Google Maps und Youtube) operieren mit eigenen Google-Webfonts-Integrationen, die sich nicht deaktivieren lassen.
Bei Einsatz dieser Dienste werden über eine Verbindungsaufnahme zu Google insofern Fonts geladen, um diese in den Sichtfeldern der Dienste selbst anzuzeigen. Hierbei kommt es auch zu den berüchtigten Übermittlungen von Nutzer-IPs an Google.
Allerdings übertragen diese Google Dienste die IP-Adressen von Nutzern bereits originär über ihre funktionellen Kernaktivitäten an Google und können sich hierfür auf grundsätzlich auf DSGVO-Rechtsgrundlagen berufen.
Einer nachgelagerten Übermittlung derselben IP-Adresse an denselben Empfänger (Google) über die Webfonts-Komponente kommt daher keine eigenständige Bedeutung mehr zu.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
9 Kommentare
Was ist, wenn eins dieser Widgets, welches NICHT von Google kommt, seinerseits einen Drittanbieterdienst wie zB. Google Fonts oder einen ähnlichen Dienst verwendet? Muss ich das in meiner Datenschutzerklärung mit aufführen? Würde das dann nicht bedeuten, dass ich sämtliche von mir verwendeten Widgets in allen möglichen Situationen regelmäßig prüfen müsste um zu dokumentieren welche externen Dienste dort verwendet werden um sie in meiner Datenschutzerklärung nachzutragen oder zu entfernen wenn sich dort Änderungen ergeben?
Oder reicht ein Verweis auf die Datenschutzerklärung des Anbieters des jeweiligen Widgets?
Die EU ist so ein Wunderwerk, aber Eigenkreation? Fehlanzeige. Da wäre mal was gefragt.
Online-Händler wollen zudem auch einfach nur arbeiten und nicht ständig nur irgendwelche Gesetze lesen (und interpretieren), die meist nicht eimal die wirklich verstehen, die sie erlassen.
Im übrigen kann bei der ganzen Verordnung nur sagen da haben sich völlig Blinde übers sehen unterhalten.
Wer sich nun sicher fühlt , sollte die Frage stellen, inwiefern der Hinweis "Hinweis zu US-Datentransfers" den gesamten Artikel in Frage stellt. Der Artikel beleuchtet nur die Nutzung von Google Fonts in, sagen wir mal, zweiter Instanz durch weitere Google-Dienste. "Hinweis zu US-Datentransfers" deutet allerdings darauf hin, dass die grundsätzliche Nutzung von ReCaptcha, Maps oder Youtube, zweifelhaft rechtssicher sind.
Gibt es dazu einen eindeutigen aktuellen Bericht zur Rechtslage? Vielen Dank.
Mal wieder ein sehr aufschlussreicher Artikel.
Bedeutet das dann auch, wenn ich Google Maps auf der Site eingebunden habe, dann kann ich auch sonst Google Fonts nachladen, da die IP ja eh schon übermittelt wird?
unter "Darf Google reCAPTCHA auf der Website eingebunden werden?"
sieht das Bayrische Landesamt für Datenschutzaufsicht sieht Google ReCaptcha wegen der Datenübermittlung in die USA als kritisch: "Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen."
Sie schreiben oben, wenn man vorher abfrägt (wie? per Cookie-Zustmmung? Welche Zustimmung, was genau?) ist ReCaptcha unkritisch.
Was ist die genaue Definiton, bzw. was muss man abfragen?
Wir würden unseren Shop gerne komplett ohne Datenübermittlung ausserhalb der EU betreiben, ein großer Shopsoftware-Anbieter bietet allerdings nur ReChaptcha zur Auswahl und verweist auf Ihren Artikel, dass das legal machbar ist / sein soll.
Vielen Dank für Ihre Antwort.
Mit freundlichen Grüßen,
Karl B