@sajo23
Ganz genau, du kannst die Shopify Library einwandfrei verwenden. Meistens sind es drittanbieter Apps die Google Fonts ziehen.
Beispielsweise, der reCAPTCHA und andere Webdienste die Online Platforms und Shops verwenden können auch Google Fonts ziehen aber unsere Rechtsberater sagen folgendes diesbzgl. was auch den Sachverhalt aufklärt und sagt, dass Google Fonts als notwendigen Webdienst eigentlich erlaubt sind.
Weiteres zur rechtlichen Lage mit Google Fonts
Der Google Font wird auch als “notwendiger Web-Dienst” in der deutschen Literatur gesehen. Erst neulich hat die IT-Recht-Kanzlei genau dieses Thema aufgegriffen. Die sagen dass anders, als man meinen könnte, ist die IP-Übertragung durch die Webfonts-Komponente nicht eigenständig als datenschutzrechtliches Problem zu werten.
Bereits originär wird bei der Einbindung beider Dienste nämlich die IP-Adresse des Nutzers erhoben und an Google übermittelt und das geschieht meistens über ein Skript. Die IP-Adresserhebung -und Übermittlung dient hier der Verifizierung der Quelle des Aufrufs und somit einer automatischen Entscheidung über weitere Legitimierungsanforderungen, wie z. B. zur Abwehr automatisierter Seitenaufrufe und DDoS (Distributed Denial of Service) Attacken. Insoweit ist die IP-Adressübermittlung an Google grundsätzlich über berechtigte Interessen an der Funktionalität der Website und an der Missbrauchsprävention gem. Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt.
Das heisst im Grunde, dass die Einbindung von Google Fonts insoweit nicht unbedingt problematisch ist, wenn dieser Dienst einem berechtigten Interesse gleichkommt und Google Fonts hier nur dazu dient, das korrekte Funktionieren eines Online Shops zu gewährleisten.
Im Grunde scheinen sich die Datenschutzbehörden nicht einig bzgl. Google Fonts zu sein. Genau wie die Technik funktioniert, ob und wie PII (personally identifiable information) des Users an US Server gesendet werden, sind sich die behörden auch nicht einig und Gerichtsentscheidungen, wie die aus München, tendieren dazu “alles mit einem Besen zu fegen” ohne sich wirklich mit der Technik auszukennen. Die Entscheidung hat z. B. NICHT zw. primäre PII (IP Adresse, Browser usw.) und sekundäre PII (dein Name, physische Adresse, E-Mail, Tel. Nr usw.) unterschieden.
Primäre und sekundäre PII sind fundamental von ein=andern zu unterscheiden von einem Daten-Standpunkt aus. Und somit wird diesbzgl. auch viel FUD in den deutschen Foren und auf Social Media verbreitet. Die Google Server sind ja auch innerhalb der EU in Irland located, worüber die Behörden sich auch nicht einig sind.