Google Fonts DSGVO-konform einbinden: Schriftarten besser selbst ausliefern

Warum Google Fonts ein Datenschutzproblem ist

Wenn Sie Google Fonts über fonts.googleapis.com einbinden, stellt der Browser des Nutzers bei jedem Seitenaufruf eine Verbindung zu Google Servern her. Die Schriftarten werden von Google Servern abgerufen. Dabei wird automatisch die IP-Adresse des Besuchers übertragen – eines der wichtigsten personenbezogenen Daten nach DSGVO Art. 5 Abs. 1.

Das Problem: Diese Übertragung geschieht bei jeder Nutzung Ihrer Webseite, bevor der Besucher irgendetwas angeklickt hat. Es gibt keinen Cookie-Banner, der vorher fragt. Es gibt keine Einwilligung. Google erhält personenbezogene Daten: die IP-Adresse, den User-Agent, den Referrer und den Zeitstempel des Aufrufs – bei jeder einzelnen Seite.

Der Google Font-Dienst ist dabei kein Tracking-Tool im klassischen Sinne. Es werden bei der Verwendung keine Cookies gesetzt und kein Nutzerprofil erstellt. Aber die IP-Übertragung an einen US-Server reicht aus, um einen Datenschutzverstoß zu begründen – das hat das Landgericht München I im Januar 2022 klargestellt.

Die Rechtslage: LG München und die Folgen

Das Urteil des LG München I (Az. 3 O 17493/20) vom 20. Januar 2022 hat die Diskussion um Google Fonts und Datenschutz grundlegend verändert. Das Gericht sprach einem Kläger 100 € Schadensersatz zu, weil eine Webseite Google Fonts extern einband und die IP-Adresse des Nutzers ohne Rechtsgrundlage und ohne Einwilligung an Google übertrug.

Die wesentlichen Punkte des Urteils:

• IP-Adresse ist personenbezogen – Die dynamische IP-Adresse ist ein personenbezogenes Datum (bestätigt durch EuGH, Rs. C-582/14)
• Kein berechtigtes Interesse – Die Verwendung von Google Fonts über externe Server und das berechtigte Interesse als Rechtsgrundlage ist nicht durch Art. 6 Abs. 1 lit. f DSGVO gedeckt, weil die Schriften problemlos lokal eingebunden werden können
• Keine Einwilligung – Die Datenübertragung erfolgt automatisch beim Seitenaufruf, noch bevor ein Cookie-Banner dies abfragen kann
• Drittlandtransfer – Die Datenübertragung in die USA verstößt zusätzlich gegen Art. 44 ff. DSGVO

Zusätzlich greift das § 25 TDDDG (früher TTDSG): Der Zugriff auf das Endgerät des Nutzers – hier das Abrufen der IP-Adresse durch den Google-Server – erfordert eine Einwilligung, sofern er nicht technisch notwendig ist. Externe Google Fonts sind nicht technisch notwendig.

Die 100 € Schadensersatz wegen Google Fonts klingen gering. Aber das Urteil löste eine Abmahnwelle aus: Kanzleien verschickten tausende Abmahnschreiben an Webseiten mit Forderungen zwischen 170 € und 500 € pro Fall. Auch wenn viele dieser Abmahnungen rechtsmissbräuchlich waren, bleibt die technische Grundlage des Urteils gültig: Externe Google Fonts ohne Einwilligung sind rechtswidrig.

So prüfen Sie, ob Ihre Website Google Fonts extern lädt

15,0 % aller von uns geprüften Websites laden Google Fonts. Viele Webseitenbetreiber wissen gar nicht, dass ihre Webseite betroffen ist – weil das CMS, ein Plugin oder ein Theme Fonts im Hintergrund einbindet.

Manuelle Prüfung über die Browser-Entwicklertools

1. Öffnen Sie Ihre Website im Inkognito-Modus
2. Drücken Sie F12 (oder Cmd+Option+I auf Mac) für die Entwicklertools
3. Wechseln Sie zum Tab Netzwerk (Network)
4. Laden Sie die Seite neu (Strg+R)
5. Filtern Sie nach fonts.googleapis.com oder fonts.gstatic.com

Wenn Treffer erscheinen, bindet Ihre Webseite Google Fonts extern ein. Es ist möglich, dass verschiedene Templates verschiedene Schriftarten nutzen. Wiederholen Sie die Prüfung auch für Unterseiten – manche Themes laden Fonts nur in bestimmten Templates.

Prüfung im HTML-Quelltext

Suchen Sie im Quelltext Ihrer Website (Rechtsklick → Seitenquelltext) nach:

• fonts.googleapis.com – Die CSS-Datei, die Schriften referenziert
• fonts.gstatic.com – Der Server, von dem die Schriftdateien geladen werden

Typische Einbindungen sehen so aus:

<link href="https://fonts.googleapis.com/css2?family=Open+Sans&display=swap" rel="stylesheet">

oder im CSS:

@import url('https://fonts.googleapis.com/css2?family=Roboto:wght@400;700&display=swap');

Automatisierte Prüfung mit exatics

Die manuelle Prüfung der Einbindung von Google Fonts ist zeitaufwändig und fehleranfällig – besonders bei Webseiten mit vielen Unterseiten oder dynamischen Inhalten. Unser Audit erkennt Google Fonts automatisch: Wir starten einen echten Browser, laden Ihre Website vollständig und analysieren alle Netzwerk-Requests. So finden wir auch Fonts, die erst durch JavaScript oder nach Nutzer-Interaktion aktiviert werden.

Jetzt Ihre Website auf Google Fonts prüfen

Google Fonts lokal einbinden: Schritt-für-Schritt-Anleitung

Die DSGVO-konforme Lösung ist technisch unkompliziert: Laden Sie die Schriftarten herunter und hosten Sie sie auf Ihrem eigenen Server. So verlassen keine Daten des Nutzers Ihre Webseite.

Schritt 1: Schriften herunterladen

Der einfachste Weg führt über den Google Webfonts Helper (gwfh). Dieses Open-Source-Tool generiert die passenden CSS-Dateien und stellt die Schriftarten als Download bereit:

1. Besuchen Sie den Google Webfonts Helper
2. Suchen Sie Ihre verwendete Schriftart (z. B. „Open Sans“ oder „Roboto“)
3. Wählen Sie die benötigten Schriftschnitte (Regular, Bold, Italic etc.)
4. Wählen Sie die gewünschten Zeichensätze (für deutsche Websites: „latin“ und „latin-ext“)
5. Passen Sie den Dateipfad an (z. B. /fonts/)
6. Laden Sie das ZIP-Paket herunter und kopieren Sie den generierten CSS-Code

Schritt 2: Dateien auf Ihrem Server ablegen

Entpacken Sie das ZIP-Archiv und laden Sie die Schriftdateien in ein Verzeichnis auf Ihrem Webserver – üblicherweise /fonts/ oder /assets/fonts/. Die Verzeichnisstruktur sollte so aussehen:

/fonts/
  open-sans-v40-latin-regular.woff2
  open-sans-v40-latin-700.woff2
  open-sans-v40-latin-italic.woff2

Schritt 3: CSS anpassen

Ersetzen Sie die Einbindung über Google Server durch lokale @font-face-Deklarationen. Entfernen Sie zunächst die externe Einbindung von Google Fonts:

<!-- ENTFERNEN: -->
<link href="https://fonts.googleapis.com/css2?family=Open+Sans&display=swap" rel="stylesheet">

Fügen Sie stattdessen die lokale Einbindung in Ihrem Stylesheet ein:

@font-face {
  font-family: 'Open Sans';
  font-style: normal;
  font-weight: 400;
  font-display: swap;
  src: url('/fonts/open-sans-v40-latin-regular.woff2') format('woff2');
}

@font-face {
  font-family: 'Open Sans';
  font-style: normal;
  font-weight: 700;
  font-display: swap;
  src: url('/fonts/open-sans-v40-latin-700.woff2') format('woff2');
}

Wichtig: Verwenden Sie font-display: swap, damit der Text sofort sichtbar ist und die Schrift nachgeladen wird. Das verhindert unsichtbaren Text während des Ladens und verbessert die Core Web Vitals.

Schritt 4: Alte Referenzen entfernen

Durchsuchen Sie Ihre gesamte Webseite, auf der Google Fonts verwendet wird, nach verbliebenen Referenzen auf fonts.googleapis.com und fonts.gstatic.com. Prüfen Sie:

• HTML-Templates sowie Header-Dateien
• CSS-Dateien (@import-Anweisungen)
• JavaScript-Dateien (dynamisches Laden)
• CMS-Einstellungen (Theme-Optionen, Customizer)
• Page-Builder-Einstellungen (Elementor, Divi etc.)

Schritt 5: Caching und Performance optimieren

Lokal eingebundene Schriftarten bieten einen Performance-Vorteil: Sie werden vom gleichen Server geladen wie Ihre Website, sparen die DNS-Auflösung für die Google Server und eine zusätzliche TLS-Verbindung. Optimieren Sie zusätzlich:

• Cache-Header setzen – Schriftdateien ändern sich selten. Setzen Sie Cache-Control: public, max-age=31536000 (1 Jahr)
• Preload für kritische Schriften – <link rel="preload" href="/fonts/open-sans-v40-latin-regular.woff2" as="font" type="font/woff2" crossorigin>
• Nur benötigte Schriftschnitte – Jeder zusätzliche Schriftarten-Schnitt kostet Ladezeit. Beschränken Sie sich auf die tatsächlich verwendeten Varianten
• WOFF2-Format bevorzugen – WOFF2 bietet die beste Kompression und wird von allen modernen Browsern unterstützt

WordPress: Google Fonts lokal einbinden

Bei WordPress-Websites ist die Nutzung von Google Fonts besonders tückisch: Viele Themes und Page-Builder binden Fonts über Google-Server ein, ohne dass der Betreiber direkt davon weiß. Ein Theme-Wechsel oder Update kann die Fonts jederzeit wieder extern laden.

OMGF – Optimize My Google Fonts

Das WordPress-Plugin OMGF erkennt automatisch alle Google-Fonts-Einbindungen, lädt die Schriften herunter und ersetzt die externen Referenzen durch lokale Pfade. Die Einrichtung:

1. Plugin installieren und aktivieren
2. Unter Einstellungen → Optimize Google Fonts die Optionen konfigurieren
3. Auf „Optimize“ klicken – das Plugin scannt Ihre Website und ersetzt alle Referenzen
4. Cache leeren und Ergebnis prüfen

OMGF funktioniert mit den meisten Themes und Page-Buildern. Bei komplexen Setups mit vielen Plugins und dynamisch geladenen Fonts kann eine manuelle Nachprüfung nötig sein.

Alternative: Theme-eigene Einstellungen

Einige WordPress-Themes und WordPress-Plugins bieten eine eigene Option zum Deaktivieren externer Google Fonts:

• Astra – Customizer → Performance → „Load Google Fonts locally“
• GeneratePress – Customizer → Typography → Google Fonts → „Local“
• OceanWP – Theme-Einstellungen → General → „Google Fonts loading method: Local“

Prüfen Sie nach der Umstellung immer mit den Browser-Entwicklertools, ob keine externen Font-Requests mehr stattfinden.

Alternativen zu Google Fonts

Nicht jede Webseite braucht Google Fonts. Es gibt weitere Möglichkeiten für datenschutzkonforme Schriftarten. System-Schriften laden sofort und verursachen keinerlei Datenschutzprobleme.

System-Font-Stack

Moderne Betriebssysteme bringen hochwertige Schriftarten mit. Mit einem System-Font-Stack nutzen Sie die jeweils beste verfügbare Schrift des Besuchers – ohne zusätzliche Downloads:

body {
  font-family: system-ui, -apple-system, "Segoe UI", Roboto,
               "Helvetica Neue", Arial, sans-serif;
}

Vorteile: Null Ladezeit, kein Datenschutzproblem, keine Abhängigkeit von externen Diensten. Es gibt einen Nachteil: Sie haben weniger Kontrolle über das genaue Schriftbild, da es je nach Betriebssystem variiert.

Bunny Fonts

Bunny Fonts ist ein datenschutzfreundlicher Google-Fonts-Ersatz des österreichischen CDN-Anbieters BunnyCDN. Die Schriftarten werden über EU-Server ausgeliefert und laut Anbieter werden keine Nutzerdaten protokolliert. Die Einbindung funktioniert wie bei Google Fonts – Sie müssen lediglich die Domain austauschen:

<!-- Statt: -->
<link href="https://fonts.googleapis.com/css2?family=Open+Sans" rel="stylesheet">

<!-- Verwenden: -->
<link href="https://fonts.bunny.net/css?family=Open+Sans" rel="stylesheet">

Beachten Sie: Auch bei Bunny Fonts werden Daten an einen externen Server übertragen. Ob dies ohne Einwilligung zulässig ist, hängt von der konkreten Datenverarbeitung ab. Die sicherste Lösung bleibt die lokale Einbindung der Schriftarten.

Font-Subsetting: Nur laden, was gebraucht wird

Viele Google-Fonts-Pakete enthalten Zeichen für Dutzende Sprachen. Für eine deutschsprachige Website brauchen Sie nur einen Bruchteil davon.

Beim Subsetting entfernen Sie nicht benötigte Zeichen aus der Schriftdatei. Das Ergebnis: deutlich kleinere Dateien und schnellere Ladezeiten. Der Google Webfonts Helper bietet bereits vorgefertigte Subsets („latin“, „latin-ext“). Für noch aggressiveres Subsetting können Sie Tools wie pyftsubset (aus der fonttools-Bibliothek) verwenden und nur die Unicode-Bereiche einschließen, die Ihre Website tatsächlich nutzt.

Ein typisches WOFF2-Subset für den lateinischen Zeichensatz ist nur 15–20 KB groß – gegenüber 50–80 KB für die vollständige Datei.

Häufige Fehler beim lokalen Einbinden

• CORS-Probleme – Wenn Sie Fonts von einer Subdomain laden, müssen Webseitenbetreiber den Header Access-Control-Allow-Origin setzen. Ohne CORS-Header verweigert der Browser das Laden der Schrift
• Falsche Pfade – Prüfen Sie, ob die Pfade in der @font-face-Deklaration mit dem tatsächlichen Speicherort übereinstimmen. Relative Pfade beziehen sich auf den Speicherort der CSS-Datei, nicht der HTML-Seite
• Fehlende Schriftschnitte – Wenn ein Schnitt fehlt (z. B. Bold Italic), synthetisiert der Browser ihn – das sieht schlecht aus. Sie müssen alle tatsächlich verwendeten Varianten von Google herunterladen
• Plugin-Konflikte – Cache-Plugins oder Minifier können beim Einbinden die @font-face-Regeln beschädigen. Leeren Sie nach Änderungen alle Caches
• Vergessene @import-Anweisungen – Google Fonts kann sowohl eingebunden per <link>-Tag als auch per CSS-@import eingebunden sein. Beide müssen entfernt werden
• Page-Builder-Overrides – Elementor, Divi und andere Builder haben eigene Font-Einstellungen, die Theme-Änderungen überschreiben können

Was passiert nach dem Urteil? Abmahnrisiko und Praxis

Nach dem LG-München-Urteil versendeten einzelne Kanzleien und Privatpersonen massenhafte Abmahnungen. Einige Gerichte haben dieses Vorgehen als rechtswidrig eingestuft – das ändert aber nichts an der technischen Pflicht.

Die Abmahnwelle hat nachgelassen, aber für Webseitenbetreiber bleibt das Urteil relevant. Aufsichtsbehörden haben wiederholt bestätigt, dass das Laden externer Ressourcen ohne Einwilligung gegen die DSGVO verstößt. Die technische Behebung – Google Fonts lokal einbinden – ist einfach, kostenlos und hat keinerlei Nachteile für den Website-Betrieb.

In unseren Audits sehen wir: Bei 15,0 % aller geprüften Websites ist Google Fonts aktiv. Nicht alle laden die Fonts extern – aber für diejenigen, die es tun, besteht Handlungsbedarf.

Was prüft exatics?

Unser Audit erkennt Google Fonts automatisch und bewertet, ob die Einbindung DSGVO-konform erfolgt.

Im Detail prüfen wir:

• Externe Fonts-Requests – Verbindungen zu fonts.googleapis.com und fonts.gstatic.com werden erkannt und gemeldet
• Zeitpunkt des Ladens – Werden die Fonts vor oder nach der Einwilligung geladen?
• Lokale Einbindung – Lokal gehostete Fonts werden positiv erkannt und nicht als Verstoß gewertet
• Weitere externe Ressourcen – Google Fonts ist oft nicht das einzige Datenschutzproblem. Wir prüfen dies gleichzeitig mit Google Analytics, den Tag Manager, Werbe-Pixel und Dutzende weitere Dienste

Die Prüfung findet in einem echten Browser statt – nicht nur als Quelltext-Analyse. So erkennen wir auch Fonts, die dynamisch über JavaScript oder erst durch Nutzer-Interaktion nachgeladen werden.

Jetzt Ihre Website auf Google Fonts prüfen

Weiterführende Artikel

• Häufigste Datenschutz-Verstöße auf deutschen Websites
• Tracking ohne Einwilligung: Was unsere Audits aufdecken
• Cookie-Banner prüfen: Häufige Fehler erkennen und beheben