Warum Du Google Fonts datenschutzkonform auf Deiner WordPress Website einsetzen solltest: Laut der jüngsten Rechtssprechung des Landgerichts München ist die Einbindung von Google Fonts über die Google Font API nicht datenschutzkonform. [1] Das Laden von Google Fonts über die Fonts API bedarf einer vorherigen, expliziten Zustimmung der Besucher.
Wieso ist die herkömmliche Einbindung von Google Fonts nicht datenschutzkonform?
Grund ist, dass bei der Einbindung über die Google-Server die IP-Adresse der Besucher in die USA gesendet wird. Die USA zählen zu den Ländern, die den europäischen Anforderungen an den Datenschutz nicht genügen. Somit ist die Einbettung von externen Diensten wie Google Fonts oder auch Google Analytics nicht datenschutzkonform.
Der Einsatz von Schriftartendiensten wie Google Fonts kann nicht auf Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden, da der Einsatz der Schriftarten auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss.
— aus der Urteilsbegründung des LG München
Ein weiterer Grund, der auch die Einbettung von anderen Google-Diensten wie z.B. Google Analytics betrifft: Nach dem Urteil des EuGH vom 16. Juli 2020, Rs C-11/18 („Schrems II“), können sich Webseitenbetreiber nicht mehr auf eine sogenannte „Angemessenheitsentscheidung“ („Privacy Shield“ und vorher „Safe Harbor“) berufen.
Betroffen sind mehr als 880.000 Websites in Deutschland:
Laut Builtwith sind unter anderem Webseiten wie spiegel.de, heise.de, zeit.de betroffen sowie viele andere tausende Websites, welche Google Fonts auf die herkömmliche Art und Weise eingebunden haben:
Wie kann ich Google Fonts datenschutzkonform einbinden?
Google Fonts lokal auf dem Server hosten
Wer Google Fonts über den Google Server bzw. die Fonts API eingebunden hat, muss in Kauf nehmen, dass die Nutzerdaten seiner Besucher an Google weitergegeben werden. Das ist jedoch nur zulässig, wenn hierfür eine Einwilligung des Besuchers vorliegt.
Als Alternative hierzu kannst Du die Google Fonts lokal einbinden. Das heisst, dass die Google Fonts direkt vom eigenen Server und nicht mehr über die Fonts API geladen werden. Auf diesem Wege werden also keine Nutzerdaten an Anbieter außerhalb der EU gesendet, solange sich der Server-Standort Deiner Website auch in der EU befindet.
Hier nun die einzelnen Schritte:
Schritt 1: Google Fonts runterladen
Dazu gehst Du auf die Seite der gewünschten Schriftart. In unserem Fall ist das die Schriftart „Source Sans Pro“. Oben rechts kannst Du mit „Download Family“ die Schriftart mit all ihren einzelnen Schnitten herunterladen.
Problem hierbei: Bei Google Fonts kannst Du die Schriftschnitte nur im TTF-Format herunterladen. Google ist nunmal eine Datenkrake und möchte, dass Du deren Font API benutzt.
Das Format, das wir für den Einsatz auf der Website brauchen, ist jedoch Woff2. Woff2 (für „Web Open Font Format“) ist das Dateiformat für Webfonts, das am wenigsten Speicherplatz und damit auch Ladezeit für Deine Website beansprucht. Es wird von allen gängigen Browsern unterstützt:
Schritt 2: TTF in Woff2 umwandeln
Um die TTF-Dateien in das Woff2-Format umzuwandeln, kannst Du den Service Cloudconvert verwenden, ein Service der von der Lunaweb GmbH in München angeboten wird. Die Daten kannst Du per Drag & Drop herüberziehen. Bis zu fünf Dateien gleichzeitig sind kostenlos.
Nach der Umwandlung kannst Du die Dateien dann einfach herunterladen.
Schritt 3: Woff2-Dateien auf den eigenen Server hochladen
Mit einem FTP-Programm wie Filezilla kannst Du dann diese Woff2-Dateien hochladen in einen Ordner Deiner Wahl. Wenn Du WordPress im Einsatz hast, sollte sich der Ordner normalerweise im Unterorder „/wp-content/“ befinden. In unserem Beispiel liegt der Ordner in /wp-content/uploads/assets/fonts/ .
Schritt 4: Die lokalen Schriftart per CSS einbinden
Sind die Font-Dateien im richtigen Ordner abgelegt, kannst Du sie über das Custom CSS in WordPress einbinden. Das Custom CSS findest Du in WordPress unter Design > Customizer > Zusätzliches CSS.
Für die Einbindung verwendest Du dann folgende Syntax. Je nach Schriftart und Dateinamen muss Du hier die Dateinamen und den Namen der Schriftart anpassen. Bitte achte auch darauf, dass die Groß- und Kleinschreibung bei den Dateinamen jeweils genau übereinstimmen:
@font-face {
font-family: "SourceSansPro Regular";
font-display: swap;
src: url(/wp-content/uploads/assets/fonts/SourceSansPro-regular.woff2) format("woff2");
}
Schritt 5: Die lokalen Google Fonts im CSS referenzieren
Sobald Du die Google Fonts über den @font-face Codeschnipsel eingebunden hast, kannst Du sie auch entsprechend im CSS referenzieren, etwa so:
body {
font-family: "SourceSansPro Regular", system-ui, -apple-system, sans-serif;
}
Auch hier musst Du darauf achten, dass die Referenzierung des Namens der Schriftart bzw. deren Schnitte genau übereinstimmen. Ferner ist es üblich, den Namen der Schriftart immer in geraden Anführungszeichen anzugeben. Die Anführungszeichen braucht es, sobald der Name ein Leerzeichen enthält, wie das etwa bei „SourceSansPro Regular“ der Fall ist.
Die Alternative: Google Fonts datenschutzkonform nach Zustimmung laden
Für den Fall, dass Du die Fonts lieber weiterhin direkt über einen Google Server laden möchtest, musst Du dafür die Einwilligung Deiner Besucher einholen. Das kannst Du z.B. über die Cookie-Lösung „Real Cookie Banner“ tun, die Dir eine Hilfestellung für diesen Prozess anbietet.
Für andere Plugins wie z.B. Borlabs Cookie stellen die Entwickler hier eine Dokumentation bereit. Je nach Cookie-Lösung wirst Du dann in der Dokumentation des jeweiligen Anbieters eine entsprechende Anleitung finden.
Nachweise
[2] Caniuse.com
Beitragsbild: Depositphotos
19 Antworten zu „Google Fonts sind nicht mehr datenschutzkonform. Was nun?“
— was ist Deine Meinung?
Hallo,
das Thema kam mit der DGSVO auf. Da es damals schon Zweifel daran gab, ob das Verwenden von Google Fonts DGSVO konform ist, habe ich bereits seit damals ein Plugin namens „Self Hosted Google Fonts“ aktiv. Meine Google Fonts lade ich lokal.
Mein Theme erlaubt sehr einfach die Fonts lokal einzubinden.
Welches Theme verwendest du denn?
Hallo Gabriele, hier eine Auswahl an WordPress-Themes, die wir je nach den Anforderungen an die Website empfehlen können: https://www.drweb.de/beste-wordpress-themes-kostenlos/
Hallo,
Das Astra Theme bietet das zb an. Aber auch andere Theme’s .
Der Einsatz von Google-Fonts per Direktverbindung zum Google-Server war seit der DSGVO noch nie datenschutzkonform. Dazu brauchte es nicht das aktuelle Urteil. Denn seit es gerichtlich entschieden wurde, dass die IP-Adresse ein personenbezogenes Datum ist und es technisch nicht zwingend ist, die Schriften auf diese Weise einzubinden, war klar, dass das kein rechtlich sauberer Weg sein kann. Ich habe alle Kundenprojekte bereits vor 2 Jahren entsprechend umgestellt.
Als dann noch der Privacy Shield gekippt wurde, fehlte zudem die saubere rechtliche Grundlage für die Datenübertragung in die USA. Solche rechtlichen Entwicklungen sollte man als Webdesigner/-programmierer auf dem Schirm haben, damit die Kunden nicht in offene Messer laufen. Das gehört zum Job dazu!
Der Artikel erklärt zwar wie die Schrift geladen werden kann, aber das geht besser (Kommentar von Georg) und rechtlich sicherer (Kommentar von Frank) und zusätzlich fehlt komplett, dass im Falle von WordPress die Themes und Plugins die Fonts ja immer noch laden. Es wird also noch ein Snippet oder Plugin benötigt, um Google Fonts zu blocken:
https://de.borlabs.io/borlabs-font-blocker/
https://de.wordpress.org/plugins/disable-remove-google-fonts/
https://de.wordpress.org/plugins/disable-google-fonts/
Optimizer bieten sowas gelgentlich auch an:
https://de.wordpress.org/plugins/autoptimize/
https://wordpress.org/plugins/clearfy/
Oder es wird ein Tool genutzt, was beides anbietet:
https://de.wordpress.org/plugins/host-webfonts-local/
Aber selbst dann muss das kontrolliert werden, denn veraltete Einbettungsvarianten, wie ein hartgecodeter Link im Theme/Plugin kann so nicht ausgefiltert werden. Dann hilft ggf. nur ein Theme-oder Plugin-Wechsel.
Danke für den Hinweis, Torsten! Borlabs hat in der Tat eine eigene Seite zum Thema Google Fonts (und Adobe Typekit):
https://de.borlabs.io/kb/google-fonts-und-adobe-typekit/
Hallo Torsten!
“ dass im Falle von WordPress die Themes und Plugins die Fonts ja immer noch laden“
genau das meinte ich im Kommentar vom 31.01.22!
Uns geht es nämlich nicht um das 1000x beschriebene selbst hosten von GF, sondern ums Blocken vor Zustimmung.
(Weiters kann man in den von uns verwendeten Themes GF einfach deaktivieren, man muss keinen hardcodeten Link ausbauen.)
Wir haben viele Plugins getestet, doch keines schaffte es, das Laden der GF zu blocken (wenn es im Theme aktiviert ist). Wie ich meine, ist das keine hardcodierter Einbau – und dennoch konnte kein Plugin das Versprechen halten: Blocken dieser GF URL’s vor Zustimmung.
Borlabs war nicht dabei, weils da ja keine Free oder Testversion gibt?
Die anderen genannten Plugins teste ich demnächst, das wird spannend!
Danke!
Hallo Rainer, klingt spannend, dass du alle Plugins daraufhin durchtestest, ob sie Google Fonts blocken. Wo kann ich denn deinen Testbericht nachlesen? Gibt’s einen Blogpost oder Ähnliches? Liebe Grüße, Gabi
TTF-Dateien einfach nur in das Woff2-Format umzuwandeln ist rechtlich nicht ganz sauber.
„Hier kommt die Fußangel der SIL Open Font Licence
Auf gut deutsch: die Umwandlung der Schrift in ein anderes Format wird als Modifikation gewertet. Diese wiederum ist nur zulässig wenn nicht der gleiche Name intern wie extern verwendet wird. Extern ist simpel: Datei umbenennen, entsprechend im Stylesheet einbinden, fertig. Aber das ist eben nur die halbe Wahrheit, weil in der Schrift selbst eben noch Meta-Informationen verbleiben, die den ursprünglichen Namen referenzieren. Und damit wäre der Lizenzverstoß auch noch sauber dokumentiert.“
Quelle: https://nairobi-notes.de/2020/11/google-fonts-dsgvo-und-sil-ofl-open-font-license/
Danke für die Ergänzung, ist natürlich ein wichtiger Hinweis!
Was wäre denn die Lösung um es rechtlich sauber zu machen? Umbenennen und Meta-Daten entfernen oder wie ist das richtige vorgehen? wird ja leider gar nicht drauf eigegangen im Artikel. Schade eigentlich, wenn alles immer nur oberflächlich behandelt wird.
Hallo Alex, wenn Du auf Nummer sicher gehen willst, dann kannst Du eine Lizenz für eine oder mehrere Schriftarten *kaufen*. Das ist die sicherste aller Lösungen und meist sogar recht erschwinglich.
Ob jetzt die Umwandlung einer Open Source Schriftart bereits als Verstoß nach der SIL Open Font Licence gewertet wird, weiss ich nicht. Zumal die Frage ist, wer in so einem Fall der Kläger wäre? Jemand, der eine Schriftart „open sourced“ hat? Scheint mir unwahrscheinlich.
Deswegen: Ein abstraktes Restrisiko bleibt. Muss jeder für sich abwägen.
Wer 100 % Sicherheit haben möchte, muss sich die Schriftart(en) kaufen. Ist ähnlich wie bei kostenlosen Bildern. Da gibt es ja auch immer ein Restrisiko, dass eine Agentur sich die Bildrechte kauft und dann alle abmahnt, die das Bild angeblich unrechtmäßig einsetzen.
Wir brauchten Jahrzehntelang keine Google Fonts, weder in den klassischen Eigenbau Sites von damals noch in WP basierten Sites. Da verwenden wir Themes, wo man das einfachst abschalten kann.
Also Methode 1: Darauf verzichten, man kann auch mit Standardschriftarten schöne Sites machen.
Nebst dem 1000x beschriebenen Möglichkeiten des selbst hosten der Fonts sollte es noch eine dritte Möglichkeit geben, welche aber niemand beschreibt, vmtl. weil die nirgends funktioniert: Blocken, bis zugestimmt wird.
Leider schafft dies kein Dienst, keine Script, kein Plugin, … niemand. Auch wenn man alle Verbindungen zu Google mit den gängigen Methoden blockt: Die kommen dennoch durch! Getestet mit allen bekannten „Cookie-Plugins“.
Erst wenn man die bekannten URLs abschaltet (zb. im Theme) oder wo das nicht geht, manuell löscht, dann ist Ruhe.
Mir ist halt unklar, wieso moderne Cookie Plugins alles solange blocken können, bis zugestimmt wurde – nur GF lässt sich so nicht aufhalten. Warum?
„Wir brauchten Jahrzehntelang keine Google Fonts […] man kann auch mit Standardschriftarten schöne Sites machen.“ Den Oldies-Witz hau ich mal so raus: Die 2000er haben angerufen und wollen für ihre Websites ihre Standardfonts Times New Roman und Arial zurück.
Einfach die Fonts-Server in die Datei hosts eintragen, dann kommen die nicht mehr durch. Beispielsweise:
127.0.0.1 fonts.googleapis.com
127.0.0.1 fonts.gstatic.com
Bei Windows ist die hosts-Datei typischerweise hier:
C:\Windows\System32\drivers\etc\hosts
Bei anderen Betriebssystemen müsste es Ähnliches geben.
@fewe: Und das bringt (alle jenen Besuchern meiner Site, die das nicht tun) was?
Bequemer geht das lokale Vorbereiten über folgende Webseite:
https://google-webfonts-helper.herokuapp.com/fonts
Hierbei werden sämtliche Browser beachet und die Dateiformate „.eot“, „.woff2“, „.woff“, „.ttf“ und „.svg“ zur Verfügung gestellt.
Danke Dir für die nützliche Ergänzung.