blau-weißes Logo-Ratespiel

| Veröffentlicht:

  • 22:00

| Lesezeit:

3 minutes

| Verfasser:

| Google-Schriftarten sind nicht GDPR-konform

  1. GDPR: Was Sie wissen müssen
  2. WordPress 4.9.6: Bereit für GDPR
  3. Google Fonts und das DSGVO-Problem
  4. Google reCAPTCHA und DSGVO-Konformität

Wir haben bei Google ReCaptcha gesehen, dass der Umgang mit der Google-API für die DSGVO und andere Datenschutzgesetze schwierig ist und für die meisten noch nicht richtig gehandhabt wird.

Google Schriftarten. So funktioniert’s.

Die Google Fonts API fordert Schriftartdateien und CSS-Assets an und lädt sie herunter, um beim Besuch einer Webseite die richtigen Schriftarten bereitzustellen. Diese Assets werden im Cache des Browsers gespeichert und bei Bedarf aktualisiert. Verschiedene Domänen können die gleichen Assets gemeinsam nutzen, wenn die Cache-Assets des Browsers übereinstimmen. In Googles eigenen Worten:

Die Font-Dateien selbst werden ein Jahr lang zwischengespeichert, was kumulativ dazu führt, dass das gesamte Web schneller wird: Wenn Millionen von Websites alle auf die gleichen Schriftarten verlinken, werden sie nach dem Besuch der ersten Website zwischengespeichert und erscheinen sofort auf allen anderen nachfolgend besuchten Seiten. Manchmal aktualisieren wir Schriftdateien, um ihre Dateigröße zu reduzieren, die Abdeckung von Sprachen zu erhöhen und die Qualität ihres Designs zu verbessern. Das Ergebnis ist, dass Website-Besucher nur sehr wenige Anfragen an Google senden: Wir sehen nur 1 CSS-Anfrage pro Schriftfamilie, pro Tag und pro Browser.

Für WordPress-Nutzer ist dies der einfachste Weg, eine beliebige Google Font hinzuzufügen, die sie bevorzugen.

Eine Google API-Anfrage

Wenn der Besucher von z.B. fonts.com, die erforderlichen Schriftarten noch nicht zwischengespeichert hat, um die Seite korrekt anzuzeigen, wird eine Anfrage an den Server von Google gestellt, um die richtigen Assets und Dateien zu erhalten, die im Browser gespeichert werden sollen, und die erforderlichen Google Fonts zu laden.

Und hier wird es knifflig: Sendet die API-Anfrage gemäß der DSGVO etwas in Bezug auf personenbezogene Daten? Welche Fragen sollten wir stellen, um zu sehen, ob wir Maßnahmen ergreifen müssen?

Bei den personenbezogenen Daten, die gespeichert werden, handelt es sich mindestens um eine IP-Adresse des Website-Besuchers. Und ja, dies sind personenbezogene Daten im Sinne der DSGVO, da es sich um eine eindeutige persönliche Kennung handelt.

Als Website-Inhaber, der die Google-API implementiert hat: Müssen Sie die Erlaubnis oder Zustimmung des Website-Besuchers einholen, bevor die Anfrage an den Google-Server gestellt wird?

Dies ist die Datenschutzerklärung von Google zu Google Fonts:

Die Google Fonts-API wurde entwickelt, um die Erfassung, Speicherung und Verwendung von Endbenutzerdaten auf das zu beschränken, was für die effiziente Bereitstellung von Schriftarten erforderlich ist.

Diese vage Aussage suggeriert die Speicherung personenbezogener Daten (IP-Adresse) nach der Anfrage, unabhängig davon, ob diese eingeschränkt ist oder nicht. Es ist also eine Einwilligung erforderlich! Dies bedeutet, dass die Website Google Fonts nicht von den Google-Servern laden kann, ohne zuvor die Zustimmung einzuholen: Die Website muss Google Fonts blockieren, die Zustimmung einholen und schließlich, nachdem die Zustimmung erteilt wurde, die Schriftarten laden.

Google Fonts und DSGVO

Auswirkungen der Sperrung von Google Fonts vor der Zustimmung

Das Blockieren der Google Fonts API vor der Zustimmung bedeutet, dass die Webseite nur dann korrekt (mit den richtigen Schriftarten) angezeigt wird, wenn eine der folgenden Bedingungen korrekt ist:

  • Der Cache des Website-Besuchers enthält bereits genau die Font-Dateien und CSS-Assets, die vom Stylesheet der Webseite angefordert werden.
  • Der Website-Besucher hat zuvor seine Zustimmung erteilt und die Anfrage wird gestellt.

Es wird nicht korrekt angezeigt, wenn der Cache leer ist und:

  • Die Einwilligung ist noch nicht erteilt.
  • Datenschutzeinstellungen des Browsers verweigern standardmäßig die Zustimmung.

Die dritte Möglichkeit ist, dass Sie keine Zustimmung für Google Fonts einholen und trotzdem laden, was bedeutet, dass Sie nicht vollständig DSGVO-konform sind.

Dies bedeutet, dass Ihre Website möglicherweise ohne die Schriftarten gerendert wird, die Sie sorgfältig ausgewählt haben. Aber es gibt immer eine Möglichkeit, DSGVO-proof zu sein und Ihre Webseite korrekt zu bedienen.

Lösungen, die sowohl Ihnen als auch der DSGVO dienen

Wir geben die offensichtliche Antwort: Selbsthosting Ihrer Google Fonts.

Es gibt viele Möglichkeiten, Ihre Google Fonts selbst zu hosten, indem Sie es entweder selbst konfigurieren oder ein Plugin installieren, um es korrekt zu handhaben. Lesen Sie in unserem Artikel zum Self-Hosting von Google Fonts, wie Sie dies tun können.

Dieser Beitrag erschien ursprünglich auf Complianz.io, unserem DSGVO- und Cookie-Compliance-Partner.

LET’S WORK TOGETHER.

Wir unterstützen unsere kunden zur besseren Markenbekanntheit, ein besseres Nutzererlebnis und einem klaren Wettbewerbsvorteil.