Google Fonts, DSGVO und SIL OFL (Open Font License)

Der Aufhänger zu diesem Post entstand jüngst beim WP Meetup Würzburg als es um’s Thema Cookie Banner ging. Und in der Folge natürlich auch alle anderen Datenschutzfragen. Unter anderem kam von einem Teilnehmer der Hinweis, das lokal gehostete Google Fonts zwar die einzige Form einer DSGVO konformen Bereitstellung sei. Die in den meisten Fällen anwendbare SIL OFL (Open Font License) aber der Umwandlung in WOFF und WOFF2 im Wege stände. Ergo: es bliebe die Auswahl zwischen DSGVO- und Lizenzverstoß. Meine Neugier war geweckt. Aber mal kurz der Reihe nach:

Google Fonts und DSGVO (SIL OFL kriegen wir später)

Die Einbindung der Google Fonts per

    <link rel="stylesheet"
          href="https://fonts.googleapis.com/…">

oder per

@import url('https://fonts.googleapis.com/css2?…');

oder auch direkt per

@font-face {
  src: url(https://fonts.gstatic.com/s/…) format('…');
}

bedeutet immer den Zugriff auf die Server von Google. Durch diese externe Einbindung bekommt Google die IP Adresse des Besuchers, der die Seite aufruft zurück geliefert. Die IP Adresse eines Besuchers ist ein personenbezogenes Datum. Damit wäre das nach DSGVO aber nur zulässig, wenn es die Zustimmung des Besuchers gäbe. Was einerseits technisch nur recht aufwändig umzusetzen ist und zum anderen immer unter dem Vorbehalt des Widerrufs stände. Und um das alles passend pro Besucher zu merken, wäre wiederum ein Cookie notwendig, dem selbst auch widersprochen werden könnte. Das darüberhinaus mit Google auch noch US Server betroffen sind, die nach dem Schrems II Urteil und dem Fall des Privacy Shields nicht mehr ohne weiteres verwendbar sind, nur noch als Sahnehäubchen oben drauf.

Kurz und knapp als Faustregel: Wenn Google Fonts genutzt werden sollen, dann geht das DSGVO konform eigentlich nur, wenn dieses lokal auf dem eigenen Server gehostet werden.

Google Fonts DSGVO konform lokal hosten (immer noch kein SIL OFL)

Wer sich auskennt, weiss wie er die Fonts bei Google

  • runterlädt
  • umwandelt (dazu gleich mehr)
  • auf dem eigenen Server ablegt
  • ins Stylesheet oder gleich ins Theme einbindet
  • und darüberhinaus sicherstellt, das kein Plugin das umfährt und wieder direkt bei Google anklopft um Schriften geliefert zu bekommen

Schon an der Aufzählung der verschiedenen Schritte wird die Komplexität des Vorgangs deutlich. Nichts für den normalsterblichen WordPress User.

Auch wenn ich PageBuilder gerne bashe, Elementor darf man hierfür durchaus mal loben:

Google Fonts DSGVO konform lokal in Elementor einbinden
Elementor bietet die Möglichkeit Schriften lokal einzubinden

Für alle anderen sei das Plugin OMGF – Host Google Fonts Locally empfohlen. Damit wird zum einen ermittelt, welche Google Fonts auf der betreffenden WordPress Installation verwendet werden, diese werden dann heruntergeladen, eingebunden und die Verbindung zum Google Server gekapt.

Soweit, so (hoffentlich) bekannt.

Google Font Lizenzen (DSGVO geklärt, jetzt kommt SIL OFL dran)

Hier kommt der für mich neue Aspekt. Ehrlich gesagt galt für mich die oben postulierte Faustregel einigermassen unhinterfragt in Sachen Lizenz: Google Fonts ist eines der großen OpenSource Projekte von Google. Ergo kann (und darf und sollte) man die Schriften runterladen dürfen. Unter welcher exakten Lizenz die stehen und das es mit der SIL Open Font License auch gleich noch etwas ganz anderes als die üblichen Verdächtigen GPL, Apache, etc. gibt war mir nicht wirklich bewußt. Dabei ist’s wirklich einfach – bei jeder Schrift auf dem Google Server ist auch der Reiter “License” gleich mit dabei:

Google Font Roboto unter der Apache Lizenz

Roboto steht in diesem Fall unter der bekannten Apache License 2.0. Aber es geht eben auch anders und nicht wenige Schriften der 1020 (Stand 24.11.2020) Schriften im Google Font Repo sollen mit der SIL Open Font License ausgestattet sein.

Google Font Montserrat unter der SIL Open Font License

Grundsätzlich sind beides OpenSource Lizenzen, die die Verwendung auch auf Webseiten erlauben. Die SIL OFL um die es nachfolgend im speziellen gehen soll sagt in der FAQ dazu:

Question: 2.1 Can I make webpages using these fonts?

Answer: Yes! Go ahead! Using CSS (Cascading Style Sheets) is recommended. Your three best options are:

  • referring directly in your stylesheet to open fonts which may be available on the user’s system
  • providing links to download the full package of the font – either from your own website or from elsewhere – so users can install it themselves
  • using @font-face to distribute the font directly to browsers. This is recommended and explicitly allowed by the licensing model because it is distribution. The font file itself is distributed with other components of the webpage. It is not embedded in the webpage but referenced through a web address which will cause the browser to retrieve and use the corresponding font to render the webpage (see 1.11 and 1.15 for details related to embedding fonts into documents). As you take advantage of the @font-face cross-platform standard, be aware that web fonts are often tuned for a web environment and not intended for installation and use outside a browser. The reasons in favour of using web fonts are to allow design of dynamic text elements instead of static graphics, to make it easier for content to be localized and translated, indexed and searched, and all this with cross-platform open standards without depending on restricted extensions or plugins. You should check the CSS cascade (the order in which fonts are being called or delivered to your users) when testing.

Also: entweder direkt im Stylesheet auf den Font verweisen, den Font dem Besucher per Link zum Download anbieten oder per @font-face einbinden. Zwei der drei Optionen (a und c) sind – s.o. – wegen Datenschutz nicht wirklich eine Empfehlung. Und Webseiten Besucher erstmal zu bitten (nötigen) die Schrift lokal zu installieren, damit die Seite hübsch aussieht ist wenig praktikabel.

Immerhin: die Option zwei beinhaltet damit auch ganz klar “runterladen ist erlaubt”. Nichts spricht bis hier hin gegen das lokale hosten der Schriften unter der SIL Open Font License.

Dann ist doch alles gut! Oder?

Na, ja … fast. Die Google Schriften werden beim Runterladen als TTF oder OTF – TrueType oder OpenType Schriften bereitgestellt. Die meisten modernen Browser stellen TTF/OTF-Schriften auch problemlos dar. Aber wie so oft: das Bessere ist des Guten Feind. Aus Performance-Gründen mag man heute eigentlich lieber das komprimierte Format WOFF/WOFF2 für Schriften verwenden und andere bestenfalls als Fallback für ältere oder *hüstel* kaputte Browser bereitstellen. Wer tiefer in die verschiedenen Schriftformate eintauchen mag: https://creativemarket.com/blog/the-missing-guide-to-font-formats.

Und mit WOFF fangen die lizenzrechtlichen Spitzfindigkeiten an. Nochmal aus der SIL OFL FAQ:

Question: 2.2 Can I make and use WOFF (Web Open Font Format) versions of OFL fonts?

Answer: Yes, but you need to be careful. A change in font format normally is considered modification, and Reserved Font Names (RFNs) cannot be used. Because of the design of the WOFF format, however, it is possible to create a WOFF version that is not considered modification, and so would not require a name change. You are allowed to create, use and distribute a WOFF version of an OFL font without changing the font name, but only if:

  • the original font data remains unchanged except for WOFF compression, and
  • WOFF-specific metadata is either omitted altogether or present and includes, unaltered, the contents of all equivalent metadata in the original font.

If the original font data or metadata is changed, or the WOFF-specific metadata is incomplete, the font must be considered a Modified Version, the OFL restrictions would apply and the name of the font must be changed: any RFNs cannot be used and copyright notices and licensing information must be included and cannot be deleted or modified. You must come up with a unique name – we recommend one corresponding to your domain or your particular web application. Be aware that only the original author(s) can use RFNs. This is to prevent collisions between a derivative tuned to your audience and the original upstream version and so to reduce confusion.

Please note that most WOFF conversion tools and online services do not meet the two requirements listed above, and so their output must be considered a Modified Version. So be very careful and check to be sure that the tool or service you’re using is compressing unchanged data and completely and accurately reflecting the original font metadata.

Hier kommt die Fußangel der SIL Open Font Licence

Auf gut deutsch: die Umwandlung der Schrift in ein anderes Format wird als Modifikation gewertet. Diese wiederum ist nur zulässig wenn nicht der gleiche Name intern wie extern verwendet wird. Extern ist simpel: Datei umbenennen, entsprechend im Stylesheet einbinden, fertig. Aber das ist eben nur die halbe Wahrheit, weil in der Schrift selbst eben noch Meta-Informationen verbleiben, die den ursprünglichen Namen referenzieren. Und damit wäre der Lizenzverstoß auch noch sauber dokumentiert.

Also die Auswahl zwischen DSGVO- und Lizenzverstoß?

Ja, aber nicht nur. Hier ein paar mögliche Lösungen und anstehende Aufgaben

  • Die ausschliessliche Verwendung von Google Fonts, die nicht unter die SIL Open Font License fallen.
  • Verzicht auf Perfomance durch die Verwendung von TTF/OTF Schriften. Was ggf. einen Zielkonflikt bedeutet wenn es dem Kunden um Performance auch im Sinne von SEO gehen sollte.
  • Passende Font-Umwandlungstools, die nicht nur das Format, den Dateinamen, sondern auch die internen Metas anfassen und entsprechend bearbeiten. Die üblichen Webdienste, die es zur Font-Format Umwandlung gibt können das soweit ich recherchiert habe nicht.
  • Risikoabwägung DSGVO Verstoß vs. Lizenzverstoß – was wird im Zweifel teurer und kann es über entsprechende Versicherungen oder Rückstellungen mitigiert werden.

Der sauberste Weg wäre sicher die Einhaltung der Lizenz unter Erfüllung der dort gemachten Anforderungen. Kurze Recherche lieferte FontForge als mögliches OpenSource Tool, das diese Umwandlung beherrschen soll. Frage in die Runde: arbeitet wer damit und kann entsprechende Rückmeldungen dazu bereitstellen? Das Programm wird als Mac, Windows und Linux Version bereitgestellt. Oder gibt’s andere (bessere) Tools dafür – ab in die Kommentare damit!

Oder gleich ein Plugin, dass sich on-the-fly um die (korrekte) Umwandlung von TTF/OTF zu WOFF/WOFF2 kümmert? Anyone?

Was ich auch gerne sehen würde: weiss jemand einen schlauen Weg um überhaupt mal eine Liste der Google Fonts ausgeworfen zu bekommen, die die entsprechenden Lizenzen der jeweiligen Schrift wieder gibt? Im Sinne von: welche kann man bedenkenlos einsetzen, wo ist mehr Aufwand erforderlich.

9 Kommentare zu „Google Fonts, DSGVO und SIL OFL (Open Font License)“

    1. Ja, es wandelt um im Sinne von Formaten, aber m. W. nicht im Sinne der Lizenzbestimmungen der SIL OFL. Ich werde aber noch mal einen Blick in die “Innereien” werfen.

      1. So wie ich das System verstehe, wandelt der Dienst keine Fonts um, sondern lädt alle verfügbaren Formate von Google herunter. Diese bieten die Fonts ja bereits in den entsprechenden Formaten an. Daher wandelt man bei der Nutzung des Dienstes nichts um.

  1. Interessant auch dieser Block auf fontsquirrel.com für die Schrift “Montserrat”:

    The license for this font is the SIL OFL license. This license does not allow us to redistribute derivative versions of the font without wholesale name changes inside and out of the font. Until we figure out a reasonable method of delivering these to you and complying with the license, you will have to use the Webfont Generator yourself on these, renaming the fonts appropriately.

    If you are the designer of this font, and this was an unintended consequence of using the OFL license, contact us and give us permission to allow webfont conversions. Thanks!

    Quelle: https://www.fontsquirrel.com/fonts/montserrat#fontface

    Hatte dazu mal einen Tweet-Austausch mit einem Schrift-Designer:
    https://twitter.com/zodiac1978/status/602544966301257728

  2. … und was macht jetzt der einfache Betreiber einer WP-basierten Webseite – der durchaus gerne mit WP arbeitet, aber weder Lust noch Zeit noch die Kompetenz hat, sich mit diesem ganzen Juristensch… rumzuschlagen?

    Wäre es denn nicht des Schweisses der Edlen wert, ein Werkzeug zu schaffen, das dieses ganze Problem einfach zugänglich macht? Natürlich ist das Ganze hochkomplex und undurchsichtig, aber es ist nur darum hochkomplex und undurchsichtig, weil sich viele Leute damit ein goldene Nase verdienen (und, auf der politischen Seite, damit Macht verschaffen).

    Also: Webseitenbetreiber alles Länder, vereinigt euch!

    Dieser Kommentar erscheint ja anonym, das ist auch in Ordnung so – aber ich würde mich trotzdem über direkte Kommentare und Lösungsvorschläge auf kpr@luganoconsulting.ch freuen!

Kommentarfunktion geschlossen.

Nach oben scrollen