Was sind Font-Skripte und wozu werden sie verwendet?

Font-Skripte sind kleine Code-Schnipsel, die auf Websites eingesetzt werden, um Schriftarten oder Emojis von externen Servern (z. B. Google, Adobe, Font Awesome) zu laden. Dadurch können Entwickler*innen und Designer*innen schnell und unkompliziert eine Vielzahl von Schriften einbinden, ohne diese lokal auf dem eigenen Server zu hinterlegen.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Darunter fallen beispielsweise Name, Anschrift, E-Mail-Adresse oder Telefonnummer. Doch auch weniger offensichtliche Angaben wie IP-Adressen, Standortinformationen, Browserdaten oder Cookie-IDs gelten als personenbezogene Daten.

Brauche ich eine Einwilligung, wenn ich Schriftarten extern lade?

Ja, sobald personenbezogene Daten (z. B. IP-Adressen) an externe Anbieter übertragen werden, kann eine Einwilligung erforderlich sein. Das revDSG (ähnlich wie die DSGVO) verlangt, dass Datenverarbeitungen mit personenbezogenen Informationen eine rechtliche Grundlage oder eine ausdrückliche Zustimmung haben müssen.

Muss ich Google Fonts oder andere Font-Skripte immer lokal hosten?

Empfohlen jedoch nicht zwingend. Du hast zwei Optionen, um datenschutzkonform zu sein: Lokales Hosting der Schriftarten auf dem eigenen Server. Einholen einer ausdrücklichen Einwilligung der Besucherinnen, sofern die Schriften extern geladen werden. In jedem Fall müssen Sie sicherstellen, dass Nutzerinnen ausreichend über die Datenweitergabe informiert werden.

Wo erhalte ich weiter Informationen über das revDSG?

Offizielle Informationen bietet unter anderem das Eidgenössische Datenschutzzentrum (EDÖB). Hier finden Sie ausführliche Erläuterungen, Gesetzestexte und Hinweise zum praktischen Vorgehen, um Datenschutzanforderungen zu erfüllen.

Wie können Font-Scripts wie Google Fonts & Co. datenschutzkonform genutzt werden?

Q: Was ist das revidierte Schweizer Datenschutzgesetz (revDSG)?

Das revidierte Schweizer Datenschutzgesetz (revDSG) ist am 1. September 2023 in Kraft getreten. Es modernisiert die Schweizer Datenschutzbestimmungen und orientiert sich in vielen Punkten an der europäischen DSGVO. Ziel ist es, den Schutz personenbezogener Daten zu stärken und den betroffenen Personen mehr Rechte hinsichtlich ihrer Daten zu geben.

Das neue Schweizer Datenschutzgesetz (revDSG), in Kraft seit dem 1. September 2023, stellt klare Anforderungen an den Schutz personenbezogener Daten auf Websites. Dazu gehören auch IP-Adressen, die zwangsläufig übertragen werden, wenn Schriften über externe Dienste wie Google Fonts geladen werden. Website-Betreiber in der Schweiz müssen sicherstellen, dass die Verarbeitung solcher Daten gesetzeskonform erfolgt, insbesondere wenn Drittanbieter involviert sind.

Was sind Font-Skripte oder externe Schriftarten-Dienste?

Als „Font-Skripte“ oder externe Schriftarten-Dienste bezeichnet man Code-Lösungen, die es ermöglichen, Schriftarten (wie Google Fonts, Adobe Fonts ) oder Icon-Bibliotheken (wie Font Awesome, Bootstrap Icons) von einem externen Server zu laden, anstatt sie selbst zu hosten. Entwickler und Designer nutzen diese Dienste gerne, um eine breite Auswahl an Schriften oder Icons einfach und schnell in Webprojekte einzubinden, ohne die Dateien direkt auf dem eigenen Webserver speichern zu müssen.

Was muss ich im Hinblick auf das revDSG über Font-Skripte wissen?

Trotz aller Vorteile, die Font-Skripte mit sich bringen – etwa die einfache Integration von Schriftarten – dürfen mögliche Datenschutzprobleme nicht übersehen werden. Die einfache Integration externer Schriftarten birgt aus Datenschutzsicht Risiken. Ähnlich wie unter der europäischen DSGVO gelten auch im revidierten Schweizer Datenschutzgesetz (revDSG) strenge Regeln für die Übermittlung personenbezogener Daten an Dritte.

Wenn ein Browser Schriftarten von einem externen Anbieter (z. B. Google, Adobe) anfordert, sendet er automatisch Informationen an dessen Server. Dabei werden Daten der Website-Besucher – oft ohne deren explizites Wissen oder Zustimmung – an den Anbieter übermittelt.

Folgende Daten können typischerweise erfasst werden:

Die IP-Adresse des Besuchers
Die Adresse der besuchten Website (Referrer)
Informationen zum verwendeten Browser (Typ, Version)
Das verwendete Betriebssystem
Spracheinstellungen des Browsers
Bildschirmauflösung

Diese Informationen gelten als personenbezogene Daten. Externe Anbieter könnten diese theoretisch nutzen, um Nutzungsprofile zu erstellen, was ein Risiko für die Privatsphäre darstellt. Nach revDSG ist die Übermittlung solcher Daten an Dritte nur zulässig, wenn eine gültige Rechtsgrundlage (wie eine informierte, freiwillige Einwilligung der Nutzer) vorliegt oder die Übermittlung für die Funktionalität zwingend notwendig ist und keine milderen Mittel (wie lokales Hosting) verfügbar sind. Nutzer müssen transparent darüber informiert werden, welche Daten zu welchem Zweck an wen übermittelt werden (Informationspflicht, oft in der Datenschutzerklärung).

Prüfen, ob die eigene Website Google Fonts verwendet

Es gibt mehrere Möglichkeiten zu überprüfen, ob auf der eigenen Website Google Fonts eingesetzt werden. Zum einen kann dies über die im Browser integrierten Entwickler-Tools erfolgen, zum anderen über externe Web-Services.

Entwickler-Tools des Browsers
Öffne deine Website im Browser, rufe die Entwickler-Tools auf (F12) und wechsle zum Tab «Netzwerk» (oder «Network») und lade die Seite neu (F5). Suche in der Liste der geladenen Ressourcen nach Anfragen an Domains wie fonts.googleapis.com oder use.typekit.net (Adobe).

Online-Checker
Es gibt spezialisierte Online-Tools (wie z. B. den „Google Fonts Checker“ von Fonts Plugin oder ähnliche Dienste), in die du deine Website-URL eingeben kannst. Diese Tools analysieren die Seite und zeigen an, ob externe Schriftarten geladen werden.

Um festzustellen, ob die Web-Fonts über den Google-Service geladen werden, gibt man die URL der Website in das entsprechende Textfeld ein und startet mit einem Klick auf „Check Website“ die Überprüfung. Anschließend wird das Ergebnis in einer übersichtlichen Darstellung ausgegeben.

Wie können Google Fonts & Co. datenschutzkonform genutzt werden?

Lokales Hosting (Empfohlen)

Speichere die benötigten Schriftdateien direkt auf deinem eigenen Webserver und binde sie von dort per CSS ein. Dadurch findet keine direkte Datenübertragung an externe Anbieter wie Google & Co. statt, wenn ein Nutzer deine Seite besucht. Dies ist oft der sicherste und datenschutzfreundlichste Weg.

Einwilligung der Nutzer*innen einholen

Wenn du Schriftarten weiterhin extern laden möchtest, benötigst du die vorherige, informierte und freiwillige Einwilligung deiner Nutzer (z. B. über einen Cookie/Consent-Banner). Die Schriftarten dürfen erst geladen werden, nachdem die Einwilligung erteilt wurde. Dieser Ansatz ist technisch komplexer in der Umsetzung und muss in der Datenschutzerklärung genau beschrieben werden.

Drei Möglichkeiten, Google Fonts in WordPress einfach zu nutzen

Über ein WordPress-Plugin

Plugins wie OMGF (Optimize My Google Fonts) oder das Fonts Plugin (Google Fonts Typography) automatisieren den Prozess: Sie laden die gewünschten Google Fonts herunter, speichern sie auf deinem Server und passen die Einbindung in deiner Website an. Das minimiert den technischen Aufwand und das Fehlerrisiko.

Manuell über dein (Child-)Theme

Lade die benötigten Schriftdateien (im WOFF2-Format) herunter. Binde sie über @font-face-Regeln in der CSS-Datei deines (Child-)Themes ein und entferne Verweise auf externe Google Fonts. Dies erfordert grundlegende CSS-Kenntnisse, bietet aber volle Kontrolle und vermeidet zusätzliche Plugins.

Über integrierte Theme-/Builder-Funktionen wie (z. B. den Breakdance Builder)

Moderne Themes oder Page Builder (wie z. B. Breakdance, Elementor Pro, Bricks Builder etc.) bieten oft integrierte Funktionen, um eigene Schriftarten hochzuladen oder Google Fonts automatisch lokal zu speichern. Prüfe die Dokumentation deines Themes/Builders.

Fazit

Das revidierte Schweizer Datenschutzgesetz (revDSG) erfordert Achtsamkeit beim Einsatz externer Dienste, die personenbezogene Daten wie IP-Adressen verarbeiten. Dies gilt auch für das Laden von Schriftarten oder Icons von Anbietern wie Google Fonts. Um Risiken und mögliche Verstöße zu vermeiden, ist das lokale Hosting der Schriftarten auf dem eigenen Server die klar empfohlene und sicherste Methode. Damit behältst du die volle Kontrolle über die Datenübermittlung und erfüllst die Anforderungen des revDSG am einfachsten.