BayLfD: Hinweise zur datenschutzkonformen Einbindung von Webfonts
Vor kurzem hatten wir bereits an dieser Stelle berichtet, dass auch das Thema „Nutzung bzw. Einbindung von Schriftarten auf Webseiten“ durchaus ein Datenschutz-Problem sein kann (Vgl. Urteil des Landgerichts München, Urteil vom 20.01.2022, Az. 3 O 17493/20)). Das Gericht sprach hier einen Unterlassungsanspruch und Schadensersatz (hier 100 €) wg. Weitergabe von IP-Adresse an Google durch Nutzung von Google Fonts gegen den Beklagten aus.
Genau dieser Problematik und der Lösung des Problems hat sich der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) in seiner Reihe Aktuelle Kurz-Informationen (Nr. 42) gewidmet. Die Kernaussagen sind wie folgt:
- Eine externe Einbindung von Web Fonts ist grundsätzlich nur mit einer wirksamen Einwilligung und erforderlichenfalls unter den Voraussetzungen für die Übermittlung personenbezogener Daten in Drittländer möglich.
- Eine unkomplizierte Alternative ist die lokale Einbindung der betreffenden Schriftarten.
Der BayLfD empfiehlt, die Schriftarten selbst zu hosten, sofern sich der Verantwortliche für die Nutzung von Webfonts entscheidet. Hierzu müsse sie die gewünschte Schriftart unter Beachtung der lizenzrechtlichen Rahmenbedingungen auf dem eigenen Server zur Verfügung stellen und von dort in die Webseite einbinden.
Soweit ein Webseitenbetreiber längere Ladezeiten befürchtet, solle er auch bedenken, dass die gewünschte Schriftart bei einer externen Einbindung bis zur Erteilung der Einwilligung nicht geladen werden darf und die Webseite bis zu diesem Zeitpunkt ebenfalls nur provisorisch (mit der dem Browser verfügbaren Schriftart) dargestellt werden kann.
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)
(Foto: Sashkin – stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
