Google Fonts & DSGVO: Was Sie wissen müssen

Was sind Google Fonts?

Google Fonts ist ein kostenloser Dienst von Google, der über 1.500 Schriftarten (Fonts) zur Verfügung stellt. Websitebetreiber können diese Schriftarten nutzen, um das Design ihrer Webseiten zu gestalten — einheitlich, professionell und ohne eigene Lizenzen kaufen zu müssen.

Es gibt grundsätzlich zwei Wege, Google Fonts in eine Website einzubinden:

• Extern (Remote): Die Schriftarten werden direkt von Googles Servern geladen. Beim Aufruf der Website baut der Browser des Besuchers eine Verbindung zu Google auf und lädt die Schriftdateien herunter.
• Lokal (Self-Hosting): Die Schriftdateien werden heruntergeladen und auf dem eigenen Webserver gespeichert. Der Browser lädt die Fonts von Ihrer eigenen Domain — ohne Kontakt zu Google.

Aus funktionaler Sicht liefern beide Varianten dasselbe Ergebnis: Die gewünschte Schriftart wird auf der Website dargestellt. Der entscheidende Unterschied liegt im Datenschutz.

Warum ist die externe Einbindung problematisch?

Wenn Google Fonts extern eingebunden werden, passiert bei jedem Seitenaufruf Folgendes: Der Browser des Besuchers stellt eine Verbindung zu Googles Servern her (fonts.googleapis.com bzw. fonts.gstatic.com). Dabei wird automatisch die IP-Adresse des Besuchers an Google übermittelt.

Die IP-Adresse gilt nach DSGVO Art. 4 Nr. 1 als personenbezogenes Datum. Die Übertragung erfolgt an Server von Google, die sich möglicherweise in den USA befinden — also außerhalb des Europäischen Wirtschaftsraums.

Damit ergeben sich gleich mehrere datenschutzrechtliche Probleme:

1. Datenübermittlung ohne Einwilligung: Die IP-Adresse wird bereits beim Laden der Seite übertragen — also bevor der Besucher eine Einwilligung erteilen konnte. Laut Art. 6 Abs. 1 DSGVO bedarf jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage.
2. Drittlandtransfer: Die Übermittlung personenbezogener Daten in die USA unterliegt den strengen Anforderungen der Art. 44 ff. DSGVO. Ohne geeignete Garantien — etwa Standardvertragsklauseln oder einen Angemessenheitsbeschluss — ist eine solche Übermittlung möglicherweise unzulässig.
3. Kein berechtigtes Interesse: Das Laden von Schriftarten über externe Server lässt sich in der Regel nicht auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) stützen, da eine einfache und zumutbare Alternative existiert: das lokale Einbinden der Fonts.

Für Websitebetreiber bedeutet das: Wer Google Fonts extern einbindet, riskiert einen möglichen Verstoß gegen die DSGVO — und damit potenzielle Abmahnungen und Schadensersatzforderungen. Mehr zu diesem Thema finden Sie in unserem Ratgeber Abmahnung wegen Website vermeiden.

Das Urteil des LG München I (Januar 2022)

Am 20. Januar 2022 fällte das Landgericht München I ein Urteil, das die Diskussion um Google Fonts und Datenschutz grundlegend veränderte (Az. 3 O 17493/20).

Was war passiert?

Ein Websitebesucher hatte eine Seite aufgerufen, die Google Fonts extern einband. Dabei wurde seine IP-Adresse ohne seine Einwilligung an Google-Server in den USA übermittelt. Der Besucher klagte auf Unterlassung und Schadensersatz.

Wie hat das Gericht entschieden?

Das LG München I gab dem Kläger recht:

• Die Einbindung von Google Fonts über externe Google-Server ohne Einwilligung des Nutzers stellt laut dem Urteil einen Eingriff in das allgemeine Persönlichkeitsrecht dar.
• Die Übermittlung der IP-Adresse an Google in den USA erfolgte ohne Rechtsgrundlage.
• Ein berechtigtes Interesse des Websitebetreibers wurde vom Gericht verneint, da die Schriftarten problemlos lokal eingebunden werden können.
• Dem Kläger wurde ein Schadensersatz in Höhe von 100 EUR zugesprochen.

Welche Folgen hatte das Urteil?

Obwohl es sich um ein Urteil eines einzelnen Landgerichts handelt (und keine höchstrichterliche Entscheidung), hat es erhebliche Auswirkungen auf die Praxis gehabt:

• Abmahnwellen: Nach dem Urteil kam es zu einer Welle von Abmahnungen gegen Websitebetreiber, die Google Fonts extern einbanden. Teilweise wurden Schadensersatzforderungen von 100 EUR und mehr pro Seitenaufruf geltend gemacht.
• Sensibilisierung: Das Urteil hat dazu beigetragen, dass Websitebetreiber das Thema externe Ressourcen und Datenschutz ernster nehmen.
• Branchenstandard: Self-Hosting von Google Fonts gilt seitdem als empfohlene Best Practice in der Webentwicklung im deutschsprachigen Raum.

Hinweis: Die hier beschriebene Rechtslage basiert auf dem Urteil des LG München I. Für eine individuelle rechtliche Einschätzung empfehlen wir die Konsultation eines Rechtsanwalts.

Sichere Alternative: Google Fonts lokal einbinden

Die einfachste und empfohlene Lösung ist das Self-Hosting der Google Fonts. Dabei werden die Schriftdateien auf Ihrem eigenen Webserver gespeichert und von dort an die Besucher ausgeliefert.

Vorteile des Self-Hostings

• Datenschutzkonform: Keine Verbindung zu Google-Servern, keine IP-Übertragung an Dritte
• Schnellere Ladezeiten: Die Fonts werden vom eigenen Server geladen — kein zusätzlicher DNS-Lookup und kein Verbindungsaufbau zu externen Servern
• Unabhängigkeit: Ihre Website funktioniert auch dann, wenn Google-Dienste nicht erreichbar sind
• Volle Kontrolle: Sie bestimmen, welche Schriftschnitte geladen werden — und reduzieren so die Datenmenge

Nachteile des Self-Hostings

• Einmaliger Aufwand: Die Schriftdateien müssen heruntergeladen und korrekt eingebunden werden
• Kein automatisches Update: Wenn Google eine Schriftart aktualisiert, müssen Sie die Dateien manuell erneuern (in der Praxis selten relevant)

Schritt-für-Schritt: Google Fonts lokal einbinden

Schritt 1 — Aktuelle Einbindung prüfen

Prüfen Sie zunächst, ob Ihre Website Google Fonts extern lädt (siehe nächster Abschnitt). Notieren Sie, welche Schriftarten und Schriftschnitte verwendet werden.

Schritt 2 — Schriftdateien herunterladen

Laden Sie die benötigten Schriftarten herunter. Dafür gibt es mehrere Möglichkeiten:

• Google Fonts Webseite: Besuchen Sie fonts.google.com, wählen Sie die gewünschte Schriftart und laden Sie die Dateien über den Download-Button herunter.
• google-webfonts-helper: Das Tool majodev.github.io/google-webfonts-helper generiert die passenden CSS-Regeln und stellt die Dateien in den optimalen Formaten (WOFF2, WOFF) zum Download bereit.

Schritt 3 — Dateien auf den Server hochladen

Erstellen Sie einen Ordner für die Schriftdateien auf Ihrem Webserver, zum Beispiel /fonts/. Laden Sie die heruntergeladenen Dateien in diesen Ordner hoch.

Schritt 4 — CSS anpassen

Entfernen Sie die externe Einbindung (den <link>-Tag, der auf fonts.googleapis.com verweist) und ersetzen Sie sie durch lokale @font-face-Regeln:

@font-face {
  font-family: 'Open Sans';
  font-style: normal;
  font-weight: 400;
  font-display: swap;
  src: url('/fonts/open-sans-v40-latin-regular.woff2') format('woff2');
}

@font-face {
  font-family: 'Open Sans';
  font-style: normal;
  font-weight: 700;
  font-display: swap;
  src: url('/fonts/open-sans-v40-latin-700.woff2') format('woff2');
}

Die Eigenschaft font-display: swap sorgt dafür, dass der Text sofort mit einer Ersatzschriftart angezeigt wird, während die gewünschte Schriftart im Hintergrund geladen wird.

Schritt 5 — Testen

Nach der Umstellung sollten Sie prüfen:

• Wird die Schriftart korrekt dargestellt?
• Werden keine externen Verbindungen zu Google mehr aufgebaut?
• Funktioniert die Darstellung auf Desktop und Mobilgeräten?

Schritt 6 — Content Security Policy anpassen

Falls Ihre Website eine Content Security Policy (CSP) verwendet, entfernen Sie die Einträge für fonts.googleapis.com und fonts.gstatic.com aus den Direktiven style-src und font-src. Stattdessen sollte Ihre eigene Domain dort stehen.

So prüfen Sie, ob Google Fonts extern geladen werden

Es gibt mehrere Wege, um festzustellen, ob Ihre Website Google Fonts von externen Servern lädt:

Browser-Entwicklertools

1. Öffnen Sie Ihre Website im Browser (Chrome, Firefox oder Edge)
2. Drücken Sie F12 oder Strg+Umschalt+I, um die Entwicklertools zu öffnen
3. Wechseln Sie zum Tab Netzwerk (Network)
4. Laden Sie die Seite neu
5. Filtern Sie nach „fonts.googleapis” oder „fonts.gstatic”
6. Wenn Ergebnisse erscheinen, werden Google Fonts extern geladen

Quellcode prüfen

Suchen Sie im HTML-Quellcode Ihrer Website (Rechtsklick → „Seitenquelltext anzeigen”) nach folgenden Einträgen:

• fonts.googleapis.com
• fonts.gstatic.com

Wenn diese URLs im Quellcode vorkommen, ist die Einbindung extern.

Automatische Prüfung

Nutzen Sie ein Tool, das Ihre Website automatisch auf externe Ressourcen prüft. Dienste wie Website-Prüfung.de analysieren unter anderem, ob Google Fonts extern eingebunden sind — und weisen auf das Datenschutzrisiko hin.

Weitere Datenschutz-Risiken auf Websites

Google Fonts sind nur ein Beispiel für externe Ressourcen, die datenschutzrechtliche Probleme verursachen können. Ähnliche Risiken bestehen bei:

• Externen Analytics-Diensten ohne korrekte Einwilligung
• Eingebetteten Videos (YouTube, Vimeo) ohne Zwei-Klick-Lösung
• Social-Media-Plugins, die ohne Interaktion Daten übertragen
• CDN-Diensten, die Skripte oder Bibliotheken von externen Servern laden
• Cookie-Bannern, die nicht DSGVO-konform gestaltet sind — mehr dazu in unserem Ratgeber Cookie Banner Pflicht

Eine umfassende Prüfung aller datenschutzrelevanten Aspekte Ihrer Website finden Sie in unserer DSGVO-Checkliste für Websites.

Häufige Fragen

Reicht es, Google Fonts im Cookie-Banner zu erwähnen?

Nein, in der Regel nicht. Laut dem Urteil des LG München I werden die Schriftarten bereits beim Seitenaufruf geladen — also bevor der Besucher den Cookie-Banner überhaupt sehen oder eine Einwilligung erteilen kann. Selbst wenn Sie Google Fonts im Banner erwähnen, wird die IP-Adresse bereits vor der Einwilligung übermittelt. Die empfohlene Lösung bleibt das lokale Einbinden der Schriftarten.

Betrifft das Problem nur Google Fonts oder auch andere Google-Dienste?

Das Grundproblem — die Übermittlung der IP-Adresse an Google-Server ohne Einwilligung — betrifft prinzipiell alle extern eingebundenen Google-Dienste. Dazu gehören möglicherweise Google Maps, Google Analytics, YouTube-Embeds und reCAPTCHA. Für jeden dieser Dienste sollten Sie prüfen, ob eine datenschutzkonforme Einbindung möglich ist oder ob Alternativen existieren.

Können auch nach der Umstellung auf Self-Hosting Abmahnungen drohen?

Wenn Sie Google Fonts korrekt lokal eingebunden haben und keine Verbindungen zu Google-Servern mehr bestehen, ist das Risiko einer Abmahnung wegen Google Fonts deutlich reduziert. Empfehlenswert ist es, die Umstellung zu dokumentieren und regelmäßig zu prüfen, ob nach Updates oder Änderungen an der Website möglicherweise erneut externe Verbindungen aufgebaut werden. Beachten Sie auch, dass Ihre Website weitere datenschutzrelevante Aspekte haben kann — eine umfassende Prüfung ist daher sinnvoll.