Obwohl die Verwendung von Schriften (z. B. Adobe Fonts) und das Monitoring des Nutzerverhaltens von Website-Besuchern (Google Analytics) auf den ersten Blick wenig miteinander zu tun haben, geht es im Kern bei beiden Fragen um dasselbe: den Schutz personenbezogener Daten. Dieser ist aus Sicht verschiedener Datenschutzbehörden nicht gewährleistet, wenn große Tech-Unternehmen wie Google oder Adobe personenbezogene Daten zur Bearbeitung in ein Drittland (hier: die USA) transferieren und auf Cloud-Servern speichern, ohne Nutzer:innen um ihr Einverständnis zu bitten.

Denn dort unterliegen die Daten anderen Überwachungsgesetzen, die hinter den für Europa seit 2016 geltenden Regelungen der Datenschutzgrundverordnung zurückbleiben. Unternehmen wie Google oder Adobe können nicht garantieren, dass die transferierten Daten vor dem Zugriff des US-Geheimdienstes sicher sind. Google ist beispielsweise wegen eines Gesetzes zur Überwachung in der Auslandsaufklärung verpflichtet, personenbezogene Daten von EU-Bürgern offenzulegen Darüber hinaus verwendet das Unternehmen diese ganz selbstverständlich für die Optimierung anderer hauseigener Produkte.

Die Diskussionen um die DSGVO-Konformität von Google-Analytics hat in den vergangenen Jahren an Brisanz gewonnen. Bezugnehmend auf ein Grundsatzurteil des Europäischen Gerichtshofes aus dem Jahr 2020 entzogen im Januar 2022 gleich drei nationale Datenschutzbehörden dem Einsatz von Google Analytics die rechtliche Grundlage: die österreichische, die französische und die italienische. Auch wenn eine klare Positionierung in Deutschland noch aussteht: Es spricht viele dafür, dass das Ergebnis ähnlich ausfallen würde.

Seitdem stehen sich zwei Lager gegenüber:

Die einen empfehlen, künftig konsequent auf die Einbindung von Diensten wie Google Analytics zu verzichten. Die anderen betrachten die Dinge pragmatischer und verweisen darauf, dass Google Analytics ja bisher nicht explizit verboten und somit legal sei. Zudem hat das Unternehmen mit der neuen Version Google Analytics 4 einige wichtige Punkte verbessert – z. B. die-Anonymisierung und das Ermöglichen von Cookieless Tracking.

Unsere Empfehlung: Wenn Sie grundsätzlich an der Nutzung von Google Analytics festhalten wollen, sollten Sie zügig auf Version 4 umsteigen (die ab Juli 2023 sowieso verpflichtend ist) und ein Consent-Tool einbinden. Eine DSGVO-konforme Alternative  sind datenschutzsensible Anbieter, deren Server in der EU stehen, wie z. B. Matomo.

Anfang des Jahres 2022 entschied das Landgerichts München zugunsten eines Klägers, der gegen einen Website-Betreiber geklagt hatte. Da bei der Online-Einbindung die Fonts für die Darstellung der Website von US-Servern geladen und dabei automatisch personenbezogene Daten der Nutzer:innen an das Unternehmen übermittelt werden, sie das Recht des Klägers auf den Schutz seiner Daten verletzt. Einige „Abmahnanwälte“ erkannten darin ein neues Geschäftsmodell und verschickten entsprechende Briefe mit Schadenersatzforderungen.

Die längst aus dem Ruder gelaufene Diskussion rund um die Rechtssicherheit beim Thema Fonts lässt allerdings eines außer Acht: Das Problem ist ganz einfach lösbar, indem man die Fonts nicht online, sondern lokal einbindet. Dazu muss man sie lediglich mit Hilfe entsprechender Tools oder eigener Recherche finden, herunterladen und auf den eigenen Server hochladen.

Darüber hinaus bewegen sich die Abmahner rechtlich auf sehr dünnem Eis:  Wer die Schreiben ignoriert und nicht zahlt, hat keine Folgeklagen zu befürchten. Denn die wären den Akteuren bei einem Streitwert von 100,00 Euro Schadenersatz schlicht zu teuer. Etwas schwieriger gestaltet sich die Lage bei Adobe Fonts oder bei Käufen über Plattformen wie MyFonts. Adobe Fonts lassen sich streng genommen nicht DSGVO-konform nutzen, da immer eine Verbindung zu den Adobe-Servern hergestellt wird. Bei MyFonts hängt es dagegen von der Art der Lizenz (Einmalzahlung oder jährliche Gebühr) ab, ob Daten übertragen werden. Da die Höhe der jährlichen Lizenzgebühr an eine bestimmte Klickzahl gekoppelt ist, wird eine Verbindung zu nicht-europäischen Servern aufgebaut, um die Klicks zu zählen.