≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Datenschutzreform 2018 > AKI 42: Externe Schriftarten auf Webseiten bayerischer öffentlicher Stellen

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 17.11.2022

Aktuelle Kurz-Information 42: Externe Schriftarten auf Webseiten bayerischer öffentlicher Stellen

Stichwörter: Cookies - Drittdienste - Einbindung von Schriftarten - Einwilligung - Fonts - Google Fonts - IP-Adresse - Schriftarten, Schriften - Selbsthosting von Schriftarten - Web Fonts | Stand: 1. November 2022

Was sind die Kernaussagen dieser Aktuellen Kurz-Information?

  • Eine externe Einbindung von Web Fonts ist grundsätzlich nur mit einer wirksamen Einwilligung und erforderlichenfalls unter den Voraussetzungen für die Übermittlung personenbezogener Daten in Drittländer möglich.
  • Eine unkomplizierte Alternative ist die lokale Einbindung der betreffenden Schriftarten.

1

Zur Attraktivität einer Webseite kann auch die typografische Gestaltung beitragen. Viele Webseitenanbieter sind dabei mit den überall verfügbaren Standard-Schriftarten (etwa Times New Roman, Arial, Verdana) nicht zufrieden; sie möchten etwa die "Hausschrift" aus dem eigenen Corporate Design nutzen oder überhaupt eine individuellere Wirkung erzielen. In diesem Zusammenhang kommen neben lizensierten Schriftarten oftmals solche zum Einsatz, die im Internet frei verfügbar bereitgestellt werden, insbesondere in Gestalt von Web Fonts. Auch auf den Internetpräsenzen bayerischer öffentlicher Stellen finden solche Web Fonts Verwendung. Das kann aus Datenschutzsicht Probleme mit sich bringen. Die vorliegende Aktuelle Kurz-Information erläutert, was insofern zu beachten ist.

1. Was sind Web Fonts?

2

Web Fonts sind Vektorschriften, die auf einem Bildschirm unabhängig von Plattform (Desktop-PC, Smartphone, Tablet), Betriebssystem und Browser einheitlich dargestellt werden können. Der Browser greift dabei ergänzend zur internen Schriftenbibliothek auf eine im Netz hinterlegte Schriftdatei zu. Im Internet gibt es viele Angebote von Web Fonts. Einer der bekanntesten Drittanbieter dürfte Google mit der Dienstleistung "Google Fonts" sein, in deren Rahmen über 1.000 Schriftarten bereitstehen.

2. Wie werden Web Fonts in eine Webseite integriert?

3

Web Fonts können in eine Webseite auf zweierlei Art eingebunden werden: Sie können auf dem eigenen Server des Webseitenbetreibers gehostet werden (Selbsthosting) oder auf dem Server eines Drittanbieters (Fremdhosting).

4

Üblicherweise werden Web Fonts auf Webseiten in Form des Fremdhostings extern integriert. Beim Aufruf der Webseite wird eine Verbindung zum Server des Drittanbieters aufgebaut; der Browser der Nutzerin oder des Nutzers lädt von dort die für die Darstellung der Webseite benötigte Schriftdatei. Technisch wird die Einbindung regelmäßig durch eine Anweisung im HTML-Code der Webseite erreicht. Beim Verbindungsaufbau zum Server des Drittanbieters wird zumindest die IP-Adresse der Nutzerin oder des Nutzers übermittelt. Der Drittanbieter hat damit die Möglichkeit, diese Information - etwa zu Analysezwecken - weiterzuverarbeiten.

5

Alternativ können Webseitenbetreiber die benötigten Web Fonts lokal einsetzen, indem sie die Schriftdateien auf dem eigenen Server verfügbar machen. Ruft eine Nutzerin oder ein Nutzer die Webseite auf, wird der Browser für die Schriftdatei auf die Schriftbibliothek des Webseitenbetreibers verwiesen; eine Verbindung zu einem Drittanbieter wird nicht aufgebaut. Diese Variante erfreut sich allerdings geringerer Beliebtheit als die externe Einbindung, weil ihr längere Ladezeiten zugeschrieben werden.

3. Dynamische Einbindung nur mit wirksamer Einwilligung

6

Werden aufgrund der externen Einbindung von Web Fonts Nutzerdaten, etwa die IP-Adresse, an einen Drittanbieter übermittelt, benötigt der Webseitenbetreiber dafür eine Rechtsgrundlage (vgl. Art. 6 Abs. 1 Datenschutz-Grundverordnung - DSGVO).

7

Der Webseitenbetreiber ist im Falle der Einbindung von Web Fonts als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen, da er über die Mittel und Zwecke der Datenverarbeitung (mit-)entscheidet. Mit der externen Einbettung von Drittdiensten (wie Web Fonts) in die Webseite veranlasst er, dass der Drittanbieter personenbezogene Daten der Nutzerinnen und Nutzer erhält. Zum Erheben und Übermitteln der Nutzerdaten (als Zwischenziel) setzt er Web Fonts wie ein "Werkzeug" ein. Die Verantwortlichkeit ist dem Webseitenbetreiber auch nicht mit der Erwägung abzusprechen, dass er keinerlei Einfluss auf die (Weiter-)Verarbeitung beim Drittanbieter habe. Allerdings ist die Verantwortlichkeit des Webseitenbetreibers auf das Erheben und Übermitteln der Nutzerdaten beschränkt, weil er nur insofern über die Mittel und Zwecke der Verarbeitung bestimmen kann.

8

Als Rechtsgrundlage kommt bei den Webangeboten bayerischer öffentlicher Stellen in aller Regel nur die Einwilligung (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) in Betracht. Diese Stellen können sich - anders als nichtöffentliche - wegen Art. 6 Abs. 1 UAbs. 2 DSGVO nicht auf Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO berufen. Auch nichtöffentlichen Stellen bliebe die Begründung eines berechtigten Interesses allerdings verwehrt, wenn mit der Möglichkeit einer lokalen Einbindung eine vorzugswürdige Alternative besteht.

Hinweis: Werden beim Abruf von externen Schriftarten im Browser Cookies von Drittanbietern gesetzt oder ausgelesen (Third-Party-Cookies) oder ähnliche Technologien genutzt, ist dafür (zusätzlich) eine Einwilligung nach § 25 Abs. 1 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) erforderlich. Insbesondere greift keine von diesem Erfordernis befreiende Ausnahme nach § 25 Abs. 2 TTDSG ein.

Kommen Cookies oder ähnliche Technologien nicht zum Einsatz, ist der Anwendungsbereich des § 25 TTDSG nicht tangiert. Die Rechtmäßigkeit der Datenverarbeitung richtet sich in diesem Fall ausschließlich nach den Bestimmungen der Datenschutz-Grundverordnung.

9

Wird die Einwilligung mittels eines Einwilligungsbanners oder einer sogenannten Consent Management Plattform (CMP) eingeholt, muss sie den Anforderungen der Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 4 Nr. 11 und Art. 7 DSGVO genügen. Sie muss danach insbesondere freiwillig (Art. 4 Nr. 11 DSGVO), informiert (Art. 4 Nr. 11 DSGVO), auf einen bestimmten Zweck (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) und auf eine bestimmte Verarbeitung bezogen (Art. 4 Nr. 11 DSGVO) sowie unmissverständlich (Art. 4 Nr. 11 DSGVO) sein. Die Einwilligung wirkt grundsätzlich bis zu ihrem Widerruf (Art. 7 Abs. 3 Satz 1, 2, Abs. 4 DSGVO).

10

Für die Einbindung von externen Schriftarten bedeutet dies insbesondere,

  • dass keine Daten (IP-Adresse) an Server der Drittanbieter übermittelt werden dürfen, bevor eine Einwilligung mittels Einwilligungsbanners oder CMP erteilt wurde, sowie
  • dass insbesondere klar und deutlich anzugeben ist, welche Daten (etwa die IP-Adresse) verarbeitet werden, an wen (Name des Drittanbieters) sie übermittelt werden und zu welchem Zweck dies geschieht.

11

Stammt der Web Font-Anbieter aus dem Nicht-EU-Ausland, sind auch die Anforderungen von Art. 44 ff. DSGVO zu erfüllen. Der Webseitenbetreiber muss im Rahmen seiner Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) gegenüber der Datenschutz-Aufsichtsbehörde einen entsprechenden Nachweis führen können. Der Aufwand bei der Erfüllung dieser Pflicht sollte nicht unterschätzt werden.

12

Bindet eine bayerische öffentliche Stelle externe Web Fonts auf ihrer Webseite ein, ohne dafür eine wirksame Einwilligung und erforderlichenfalls die Einhaltung der Art. 44 ff. DSGVO nachweisen zu können, ist die Übermittlung der IP-Adresse wie auch weiterer personenbezogener Daten von Nutzerinnen und Nutzern nicht rechtmäßig. Nach Auffassung des Landgerichts München I kommt in einem Fall dieser Art ein Anspruch gegen den Webseitenbetreiber auf Unterlassen der Weitergabe der IP-Adresse (§ 823 Abs. 1 in Verbindung mit § 1004 Bürgerliches Gesetzbuch analog) sowie auf Schadensersatz (Art. 82 Abs. 1 DSGVO) in Betracht.

13

Der Verstoß gegen datenschutzrechtliche Vorgaben - etwa gegen Art. 5 Abs. 1 Buchst. a DSGVO, wenn die für eine Verarbeitung eingeholte Einwilligung nicht wirksam ist - kann nur unter den Voraussetzungen von Art. 4 Nr. 12 DSGVO eine Meldepflicht nach Art. 33 Abs. 1 DSGVO auslösen, jedoch unabhängig vom Entstehen einer solchen Pflicht datenschutzaufsichtliche Maßnahmen nach sich ziehen.

4. Einfache Alternative: Lokale Einbindung

14

Eine einfache Lösung, Schriftarten in datenschutzrechtlicher Hinsicht rechtssicher und risikofrei in eine Webseite einzubinden, ist das Selbsthosting. Insbesondere bei Schriftarten US-amerikanischer Anbieter sollte diese Alternative erwogen werden. Hier wird gerade keine Verbindung der Plattform der Nutzerin oder des Nutzers mit dem Server eines Drittanbieters hergestellt; die IP-Adresse und gegebenenfalls auch andere Daten werden nicht übermittelt und es kommen auch keine Third-Party-Cookies zum Einsatz. Die Einholung einer dafür benötigten Einwilligung ist somit entbehrlich.

15

Entscheidet sich eine bayerische öffentliche Stelle für die Nutzung von Web Fonts, sollte sie diese daher möglichst selbst hosten. Hierzu muss sie die gewünschte Schriftart unter Beachtung der lizenzrechtlichen Rahmenbedingungen auf dem eigenen Server zur Verfügung stellen und von dort in die Webseite einbinden.

16

Soweit ein Webseitenbetreiber längere Ladezeiten befürchtet, sollte er auch bedenken, dass die gewünschte Schriftart bei einer externen Einbindung bis zur Erteilung der Einwilligung nicht geladen werden darf und die Webseite bis zu diesem Zeitpunkt ebenfalls nur provisorisch (mit der dem Browser verfügbaren Schriftart) dargestellt werden kann.

  1. Europäischer Gerichtshof, Urteil vom 29. Juli 2019, C-40/17, NJW 2019, 2755, Rn. 64 ff., 85. [Zurück]
  2. Europäischer Gerichtshof, Urteil vom 29. Juli 2019, C-40/17, NJW 2019, 2755, Rn. 77. [Zurück]
  3. Europäischer Gerichtshof, Urteil vom 29. Juli 2019, C-40/17, NJW 2019, 2755, Rn. 82. [Zurück]
  4. Landgericht München, Urteil vom 20. Januar 2022, 3 O 17493/20, BeckRS 2022, 612, Rn. 8. [Zurück]
  5. Näher Bayerischer Landesbeauftragter für den Datenschutz, Bayerische öffentliche Stellen und Telemedien, Stand 12/2021, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018“. [Zurück]
  6. Dazu im Einzelnen Bayerischer Landesbeauftragter für den Datenschutz, Die Einwilligung nach der Datenschutz-Grundverordnung, Stand 9/2021, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018“. [Zurück]
  7. In Landgericht München, Urteil vom 20. Januar 2022, 3 O 17493/20, BeckRS 2022, 612, kam es auf Art. 44 ff. DSGVO nicht an, weil eine wirksame Einwilligung fehlte und die Datenübermittlung an den Web Font-Anbieter bereits aus diesem Grunde rechtswidrig war. [Zurück]
  8. Vgl. in diesem Zusammenhang Bayerischer Landesbeauftragter für den Datenschutz, Office-Anwendungen aus Drittstaaten bei bayerischen öffentlichen Stellen, Aktuelle Kurz-Information 39, Stand 12/2021, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018“. [Zurück]
  9. Zu den Anforderungen an eine Datensicherheitsverletzung im Einzelnen Bayerischer Landesbeauftragter für den Datenschutz, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, Stand 6/2019, Rn. 4 ff., Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018“. [Zurück]
  10. Vgl. auch die entsprechende Empfehlung der österreichischen Datenschutzbehörde, Newsletter 4/2022, Internet: https://www.dsb.gv.at/newsletter/dsb-newsletter-4-2022.html, die zur datenschutzrechtlichen Zulässigkeit von Google Fonts ein Prüfverfahren eingeleitet hat. [Zurück]
  11. Längere Ladezeiten sollen primär dadurch vermieden werden, dass der externe Web Font bereits für andere Webseiten geladen wurde, somit im Cache des Browsers der Nutzerin oder des Nutzers verfügbar ist und nicht erneut abgerufen werden muss. Zu beachten ist hier aber, dass aktuelle Browser aus Datenschutzgründen den Cache partitionieren (Cache Partitioning), so dass auch externe Ressourcen erneut geladen werden müssen und damit dieser vermeintliche Vorteil in Verbindung mit anderen technischen Rahmenbedingungen (z. B. http/2) häufig sogar zu längeren Ladezeiten führen kann. [Zurück]