Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz
eBay
eBay B2B
eBay-Kleinanzeigen.de
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Fairmondo.de
For-vegans
Fotografie und Bildbearbeitung
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage (kein Verkauf)
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kauflux
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
YouTube
Zen-Cart
ZVAB
von RA Phil Salewski

Google Fonts-Problematik auch bei Nutzung von Google reCAPTCHA, Google Maps und Youtube?

News vom 15.11.2022, 14:21 Uhr | 8 Kommentare 

Spätestens seit Beginn der derzeitigen Abmahnwelle sind Google Fonts in aller Munde. Werden Fonts dynamisch eingebunden, muss der Browser des Seitenbesuchers die Fonts auf der Zielseite von Google laden. Hierbei kommt es zu einer datenschutzwidrigen Übermittlung der IP-Adresse an Google, für welche der Seitenbetreiber verantwortlich ist. Wie verhält es sich aber, wenn Webfonts essentieller Bestandteil von anderen Diensten wie Google reCAPTCHA, Google Maps und Youtube sind und sich darin nicht deaktivieren lassen? Dürfen diese Dienste nun nicht mehr verwendet werden? Wir klären auf.

I. Die datenschutzrechtliche Problematik der Google Webfonts

Google Webfonts sind online-basierte Services für das Laden von Schriftarten und Typographie-Elementen auf Websites.

Sind Webfonts von Google auf einer Website eingebunden, wird bei Seitenaufruf eine Verbindung zum Google-Netzwerk aufgenommen wird, damit die verwendeten Schriftstile geladen werden können.

Durch diese Verbindungsaufnahme kommt es zur Übertragung von Nutzerinformationen, insbesondere der personenbezogenen IP-Adresse, an Google.

Diese Übertragung ist nun aus zweierlei Gründen problematisch.

Einerseits fehlt es an einer hinreichenden datenschutzrechtlichen Rechtfertigung für die Informationsübermittlung an Google. Insbesondere können sich Seitenbetreiber nicht auf berechtigte Interessen an der graphisch ansprechenden Seitengestaltung gemäß Art. 6 Abs. 1 lit. f DSGVO stützen, weil hierfür die Übermittlung personenbezogener Daten an Google nicht zwingend erforderlich ist.

Andererseits werden Informationen, darunter auch die personenbezogene IP-Adresse, zumindest auch an Google-Server in den USA übertragen. Drittstaatentransfers sind aber datenschutzrechtlich nur nach den strengen Voraussetzungen der Art. 44 ff. DSGVO zulässig und aktuell für das Zielland USA allgemein nicht rechtskonform möglich, weil es wegen weiter Datenzugriffsbefugnisse der US-Geheimdienste an einem hinreichenden Schutzniveau für personenbezogene Daten fehlt.

Empfohlen wird daher zwingend, Fonts, insbesondere solche von Google, ausschließlich lokal einzubinden und vom eigenen Server (nicht vom Server des Anbieters) laden zu lassen.

So kommt es nämlich zu keiner Erhebung und Übermittlung von personenbezogenen Daten durch/an Google, weil die Fonts nicht durch eine Verbindungsaufnahme zu Google Servern erst geladen werden müssen.

Banner Premium Paket

II. Google Webfonts als Bestandteile anderer Dienste

Seitenbetreiber, die auf die datenschutzwidrige dynamische Einbindung von Google Fonts verzichten und die Fonts stattdessen lokal einbinden, sehen sich unter Umständen aber weiterhin mit einem „Fonts-Problem“ konfrontiert.

Google Webfonts sind nämlich Bestandteile weiterer Google-Dienste und werden als notwendige Unterfunktion innerhalb dieser Dienste ebenfalls dynamisch geladen.

Betroffen sind vor allem der Dienst „Google reCAPTCHA“ und Google Maps ebenso wie Youtube-Videos, die auf Webseiten eingebettet werden.

Google Fonts werden hierbei wohlgemerkt nicht geladen, um Schriftarten und Stile direkt auf der Einbettungswebsite darzustellen. Vielmehr dienen sie nur der optischen Ausgestaltung des jeweiligen Google-Dienstes selbst. Sie werden also geladen, um Schriftarten innerhalb von reCAPTCHA, Maps bzw. dem Youtube-Frame anzuzeigen.

Dennoch kommt es durch die untrennbar mit diesen Diensten verbundenen dynamischen Fonts durch eine eigenständige Übermittlung der Nutzer-IP-Adresse an Google.

Schließlich werden diese Fonts (als von Google vorgesehene unselbstständige Bestandteile) zwangsweise durch eine Browser-Verbindung des Seitenbesuchers geladen.

III. Eigenständige Datenschutzproblematik bei Webfonts als Bestandteil von reCAPTCHA, Google Maps und Youtube?

Anders, als man meinen könnte, ist die IP-Übertragung durch die Webfonts-Komponente innerhalb von Google reCAPTCHA, Google Maps und Youtube aber nicht eigenständig als datenschutzrechtliches Problem zu werten.

Bereits originär wird bei der Einbindung beider Dienste nämlich die IP-Adresse des Nutzers erhoben und an Google übermittelt.

Im Falle von reCAPTCHA geschieht dies über ein Skript. Die IP-Adresserhebung -und Übermittlung dient hier der Verifizierung der Quelle des Aufrufs und einer automatischen Entscheidung über weitere Legitimierungsanforderungen zur Abwehr automatisierter Seitenaufrufe und Distributed Denial of Service-Attacken. Insoweit ist die IP-Adressübermittlung an Google grundsätzlich über berechtigte Interessen an der Funktionalität der Website und an der Missbrauchsprävention gem. Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt.

Für Google Maps, sofern darüber keine Cookies gesetzt werden, ergibt sich die Rechtfertigung aus dem berechtigten Interesse an der bedarfsgerechten Ausgestaltung der Website und der graphischen Veranschaulichung von Service-Standorten aus Art. 6 Abs. 1 lit. f DSGVO.

Im Falle von Youtube erfolgt die IP-Adressübermittlung an Google durch Cookies, die von Google zum/beim Abspielen von Videos gesetzt werden und für welche der Seitenbetreiber eine hinreichende Einwilligungslösung (Cookie-Consent) eingerichtet haben muss. Rechtsgrundlage für die Übermittlung der IP-Adresse an Google wäre in diesem Fall bereits die hinreichende Nutzereinwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Wird nun durch die Fonts-Integration bei Google reCAPTCHA, Google Maps oder Youtube die IP-Adresse zusätzlich noch einmal an denselben Empfänger (Google) übertragen, ist dies datenschutzrechtlich nicht mehr gesondert zu würdigen.

Immerhin verfügt Google ja über diese Information schon originär durch das jeweilige Tool.

Der doppelten Übermittlung durch die integrierten Webfonts kommt insofern keine eigenständige Bedeutung mehr zu und sie muss datenschutzrechtlich nicht gesondert bewertet werden.

Daher kann sie, sofern die originäre Übertragung der IP-Adresse rechtmäßig erfolgt, auch nicht eigenständig rechtswidrig sein.

Hinweis zu US-Datentransfers:

Derzeit besteht bei der Nutzung sämtlicher Google-Dienste, die personenbezogene Daten verarbeiten, dennoch ein latentes Datenschutzrisiko. Google Dienste übermitteln die personenbezogenen Informationen nämlich regelmäßig an US-Server der Google LLC. Hierfür existiert allerdings aktuell keine hinreichende datenschutzrechtliche Rechtfertigungsgrundlage.
Insbesondere die „Standardvertragsklauseln“, die Google als Datensicherungsmechanismus implementiert haben will, reichen nicht aus.

IV. Fazit

Bestimmte Google-basierte Dienste (etwa Google reCAPTCHA, Google Maps und Youtube) operieren mit eigenen Google-Webfonts-Integrationen, die sich nicht deaktivieren lassen.

Bei Einsatz dieser Dienste werden über eine Verbindungsaufnahme zu Google insofern Fonts geladen, um diese in den Sichtfeldern der Dienste selbst anzuzeigen. Hierbei kommt es auch zu den berüchtigten Übermittlungen von Nutzer-IPs an Google.

Allerdings übertragen diese Google Dienste die IP-Adressen von Nutzern bereits originär über ihre funktionellen Kernaktivitäten an Google und können sich hierfür auf grundsätzlich auf DSGVO-Rechtsgrundlagen berufen.

Einer nachgelagerten Übermittlung derselben IP-Adresse an denselben Empfänger (Google) über die Webfonts-Komponente kommt daher keine eigenständige Bedeutung mehr zu.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Phil Salewski Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

reCAPTCHA

04.04.2023, 17:06 Uhr

Kommentar von Andreas Haug

Kann man reCAPTCHA einfach auf der Seite installieren, oder braucht es gesonderte Hinweise dazu?

Was ist mit anderen Diensten, die ihrerseits externe Dienste wie Google Fonts verwenden?

22.03.2023, 11:25 Uhr

Kommentar von Tobias Pankraz

Nehmen wir mal an ich betreibe eine Webseite und setze ein Consent-Tool ein, welches das Laden von Widgets und Embeds ordnungsgemäß erst gestattet, wenn eine Einwilligung erteilt wurde. Außerdem...

Alternativen

27.12.2022, 12:30 Uhr

Kommentar von Olaf

Auch wenn es richtig ist, die Macht der Großkonzerne (insbesondere der weltweit agierenden) einzuschränken: Ohne Google ist man im Onlinehandel wohl aufgeschmissen. Die EU schafft es leider nur die...

Ist das ganze Buch sowieso Blödsinn

05.12.2022, 10:38 Uhr

Kommentar von Hermann Schläpfer

Wenn man einen Browser öffnet wir doch die IP-Adresse sowieso an Google übertragen! Da die meisten Google als Suchdienst eingestellt haben. Im übrigen kann bei der ganzen Verordnung nur sagen da...

Also unbedenklich mit Consent-Manager, oder doch nicht, weil "Hinweis zu US-Datentransfers"?

05.12.2022, 08:56 Uhr

Kommentar von Bernhard Kraus

Vielen Dank, hervorragender Artikel. Bei Google Maps würde ich zusätzlich anmerken, dass, wie bei Youtube, eine saubere Cookie-Consent Lösung, die Einbettungen zunächst deaktiviert. Nur bei...

Herr

02.12.2022, 17:23 Uhr

Kommentar von Bernhard Boch

Für Schulen, die auf Moodle YouTube-Videos einbinden, löst sich das Problem nicht so leicht: Die Einwilligung müsste regelmäßig (jedenfalls bis zum 16. Lebensjahr) von den Eltern kommen. Daher würde...

© 2005-2023 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller