Google Fonts und DSGVO: Warum Sie Schriftarten selbst hosten sollten

Über 50 Millionen Websites nutzen Google Fonts. Die meisten laden die Schriftarten extern, direkt von den Google-Servern. Das ist bequem — aber in Deutschland nach einem Urteil des LG München I aus dem Jahr 2022 juristisch heikel.

Das Problem ist simpel: Wenn Ihr Browser eine Schriftart von fonts.googleapis.com abruft, übermittelt er dabei die IP-Adresse des Besuchers an Google. Ohne Einwilligung ist das eine Datenübermittlung ohne Rechtsgrundlage — ein Verstoß gegen Art. 6 DSGVO.

Das LG-München-Urteil: Was tatsächlich entschieden wurde

Das Landgericht München I entschied am 20. Januar 2022 (Aktenzeichen 3 O 17493/20):

Ein Website-Betreiber hatte Google Fonts extern eingebunden. Beim Besuch der Website wurde die IP-Adresse eines Nutzers an Google-Server in den USA übermittelt. Der Nutzer erhielt 100 € Schadensersatz.

Die entscheidende Begründung des Gerichts: Das externe Laden von Google Fonts ist nicht "unbedingt erforderlich" im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DSGVO (berechtigtes Interesse), weil die Schriftarten genauso gut lokal gehostet werden können. Es gibt keinen technischen Grund, die Verbindung zu Google herzustellen. Also fehlt die Rechtsgrundlage für die IP-Übermittlung.

Die Abmahnwelle und ihre Grenzen

Nach dem Urteil entstanden in Deutschland und Österreich Massenabmahnungen. Anwälte und Abmahnorganisationen scannten systematisch Websites auf extern geladene Google Fonts und verschickten automatisierte Forderungsschreiben über 100 bis 170 € pro Besucher.

Das LG München I entschied im März 2023 (Az. 4 O 13063/22), dass diese automatisierten Massenabmahnungen Rechtsmissbrauch darstellen. In Berlin wurde gegen eine der größten Abmahnorganisationen strafrechtlich ermittelt.

Das bedeutet: Die gezielte Abmahnwelle ist abgeflacht. Das ursprüngliche Problem — fehlende Rechtsgrundlage für die IP-Übermittlung — ist dadurch aber nicht verschwunden. Datenschutzbehörden können nach wie vor einschreiten.

Das EU-US Data Privacy Framework: Ändert sich etwas?

Seit Juli 2023 gibt es das EU-US Data Privacy Framework (DPF) als neues Transferabkommen zwischen der EU und den USA. Google ist unter dem DPF zertifiziert.

Das DPF schafft grundsätzlich eine Rechtsgrundlage für Datentransfers zu zertifizierten US-Unternehmen. Für Google Fonts bedeutet das: Die Übermittlung der IP-Adresse kann jetzt theoretisch auf das DPF gestützt werden.

Allerdings bestehen weiterhin Risiken:

• Das DPF steht, wie seine Vorgänger Safe Harbor und Privacy Shield, unter rechtlichem Druck. Datenschützer erwägen bereits Klagen
• Deutsche Aufsichtsbehörden haben sich zur DPF-Konformität von Google Fonts noch nicht einheitlich geäußert
• Die einfachste und rechtssicherste Lösung bleibt: lokal hosten und das Problem vollständig beseitigen

Wie Sie prüfen, ob Ihre Website betroffen ist

Methode 1: Browser-Entwicklertools

1. Öffnen Sie Ihre Website in Chrome oder Firefox
2. Drücken Sie F12 und gehen Sie zum Tab Netzwerk
3. Laden Sie die Seite neu
4. Filtern Sie nach "googleapis" oder "gstatic"

Erscheinen Einträge für fonts.googleapis.com oder fonts.gstatic.com, werden Schriftarten extern geladen.

Methode 2: Quelltext-Suche

Öffnen Sie Ihre Website, klicken Sie mit rechts auf "Seitenquelltext anzeigen" (oder Strg+U). Suchen Sie mit Strg+F nach "fonts.googleapis". Ein <link>-Tag, der auf Google verweist, bedeutet externes Laden.

Methode 3: Automatischer Scanner

Scannen Sie Ihre Website — der TrustYourWebsite-Scanner erkennt externe Google-Fonts-Verbindungen automatisch und zeigt, von welchen Seiten sie geladen werden.

Die Lösung: Schriftarten lokal hosten

Schritt 1: Schriftart herunterladen

Besuchen Sie google-webfonts-helper. Suchen Sie Ihre Schriftart (z.B. "Inter" oder "Open Sans"). Wählen Sie die benötigten Gewichte. Laden Sie das ZIP mit WOFF2-Dateien herunter. WOFF2 reicht für alle modernen Browser.

Schritt 2: Dateien hochladen

Erstellen Sie einen Ordner /fonts/ auf Ihrem Webserver. Laden Sie die WOFF2-Dateien dorthin hoch. In WordPress ist das häufig /wp-content/themes/ihr-theme/fonts/.

Schritt 3: CSS anpassen

Entfernen Sie den <link>-Tag zu Google:

<!-- ENTFERNEN -->
<link href="https://fonts.googleapis.com/css2?family=Inter:wght@400;700&display=swap" rel="stylesheet">

Fügen Sie stattdessen eine lokale @font-face-Regel in Ihre CSS-Datei ein:

@font-face {
  font-family: 'Inter';
  font-style: normal;
  font-weight: 400;
  font-display: swap;
  src: url('/fonts/inter-v13-latin-regular.woff2') format('woff2');
}

CMS-spezifische Lösungen

WordPress: Das kostenlose Plugin OMGF (Optimize My Google Fonts) erledigt alles automatisch. Es scannt Ihr Theme und Ihre Plugins, lädt alle Google Fonts lokal und entfernt die Google-Verbindungen. Installieren, aktivieren, fertig.

TYPO3: Das Extension Repository enthält "sg_cookie_optin" und ähnliche Tools, die auch Google Fonts behandeln. Alternativ über TypoScript lösen.

Shopify: Prüfen Sie theme.liquid auf Links zu fonts.googleapis.com. Laden Sie Schriftarten unter Settings > Files hoch und passen Sie das Liquid-Template an.

Next.js: Seit Version 13 gibt es next/font/google. Diese Funktion lädt Schriftarten beim Build herunter und hostet sie automatisch lokal. Kein Laufzeit-Aufruf zu Google.

Datenschutzfreundliche Alternative

Wenn Sie nicht selbst hosten möchten: fonts.bunny.net ist ein europäischer Font-CDN ohne Tracking. Es ist ein Drop-in-Ersatz — ersetzen Sie fonts.googleapis.com durch fonts.bunny.net in Ihrer CSS-Datei. Datenschutzerklärung trotzdem anpassen, um den neuen Dienst zu erwähnen.

Auswirkungen auf Datenschutzerklärung und Cookie-Banner

Sobald Sie Google Fonts lokal hosten, fällt die Google-Verbindung weg. Das hat zwei positive Folgen:

1. Datenschutzerklärung: Entfernen Sie den Abschnitt zu Google Fonts (oder aktualisieren Sie ihn, um lokales Hosting zu bestätigen)
2. Cookie-Banner: Google Fonts setzt keine Cookies. Wenn das Laden lokal erfolgt, fällt dieser Punkt aus Ihrer Cookie-Konfiguration heraus

Prüfen Sie anschließend Ihre Website erneut mit unserem DSGVO-Scanner — in der Regel zeigt der erneute Scan keine Google-Fonts-Verbindung mehr.

Zusammenfassung

Google Fonts extern laden ist eine lösbare Compliance-Lücke. Das LG München hat 2022 klargestellt, dass die IP-Übermittlung an Google ohne Einwilligung eine DSGVO-Verletzung ist. Die Abmahnwelle danach ist gerichtlich eingedämmt worden, aber das Grundproblem bleibt.

Die Lösung kostet 10 bis 30 Minuten und beseitigt das Risiko dauerhaft. Für WordPress ist es mit dem OMGF-Plugin sogar eine Fünf-Minuten-Aufgabe.

Prüfen Sie jetzt, ob Ihre Website Google Fonts extern lädt — kostenloser DSGVO-Scanner.