Google Fonts DSGVO-konform einbinden: Schriftarten besser selbst ausliefern

Warum Google Fonts ein Datenschutzproblem ist

Wenn Sie Google Fonts über fonts.googleapis.com einbinden, passiert bei jedem Seitenaufruf Folgendes: Der Browser des Nutzers stellt eine Verbindung zu Google Servern her. Die Schriftarten werden abgerufen. Und dabei wird automatisch die IP-Adresse des Besuchers übertragen – eines der wichtigsten personenbezogenen Daten nach DSGVO Art. 5 Abs. 1.

Das Problem dabei: Diese Übertragung geschieht, bevor der Besucher irgendetwas angeklickt hat. Kein Cookie-Banner fragt vorher. Keine Einwilligung wird eingeholt. Google erhält personenbezogene Daten: die IP-Adresse, den User-Agent, den Referrer und den Zeitstempel – bei jeder einzelnen Seite. Automatisch. Stillschweigend.

Klingt nach Tracking? Ist es streng genommen nicht. Der Google Font-Dienst ist kein Tracking-Tool im klassischen Sinne. Bei der Verwendung werden keine Cookies gesetzt und kein Nutzerprofil erstellt. Aber die IP-Übertragung an einen US-Server reicht aus, um einen Datenschutzverstoß zu begründen – das hat das Landgericht München I im Januar 2022 klargestellt.

Die Rechtslage: LG München und die Folgen

Das Urteil des LG München I (Az. 3 O 17493/20) vom 20. Januar 2022 hat die Diskussion um Google Fonts und Datenschutz grundlegend verändert. Das Gericht sprach einem Kläger 100 € Schadensersatz zu – weil eine Webseite Google Fonts extern einband und die IP-Adresse ohne Rechtsgrundlage und ohne Einwilligung an Google übertrug.

Die wesentlichen Punkte des Urteils:

• IP-Adresse ist personenbezogen – Die dynamische IP-Adresse ist ein personenbezogenes Datum (bestätigt durch EuGH, Rs. C-582/14)
• Kein berechtigtes Interesse – Das berechtigte Interesse als Rechtsgrundlage greift nicht, weil die Schriften problemlos lokal eingebunden werden können
• Keine Einwilligung – Die Datenübertragung erfolgt automatisch beim Seitenaufruf, noch bevor ein Cookie-Banner überhaupt erscheint
• Drittlandtransfer – Die Datenübertragung in die USA verstößt zusätzlich gegen Art. 44 ff. DSGVO

Zusätzlich greift das § 25 TDDDG (früher TTDSG): Der Zugriff auf das Endgerät des Nutzers erfordert eine Einwilligung, sofern er nicht technisch notwendig ist. Und externe Google Fonts? Nicht technisch notwendig.

100 € Schadensersatz klingen harmlos. Aber was danach kam, war alles andere als harmlos: Kanzleien verschickten tausende Abmahnschreiben mit Forderungen zwischen 170 € und 500 € pro Fall. Viele dieser Abmahnungen waren rechtsmissbräuchlich – aber die technische Grundlage des Urteils bleibt gültig: Externe Google Fonts ohne Einwilligung sind rechtswidrig. Punkt.

So prüfen Sie, ob Ihre Website Google Fonts extern lädt

19,6 % aller von uns geprüften Websites laden Google Fonts. Was viele Webseitenbetreiber nicht wissen: Ihre Webseite könnte betroffen sein, ohne dass Sie davon ahnen – weil das CMS, ein Plugin oder ein Theme Fonts im Hintergrund einbindet.

Manuelle Prüfung über die Browser-Entwicklertools

1. Öffnen Sie Ihre Website im Inkognito-Modus
2. Drücken Sie F12 (oder Cmd+Option+I auf Mac) für die Entwicklertools
3. Wechseln Sie zum Tab Netzwerk (Network)
4. Laden Sie die Seite neu (Strg+R)
5. Filtern Sie nach fonts.googleapis.com oder fonts.gstatic.com

Erscheinen Treffer? Dann bindet Ihre Webseite Google Fonts extern ein. Aber Vorsicht: Verschiedene Templates können verschiedene Schriftarten nutzen. Wiederholen Sie die Prüfung auch für Unterseiten – manche Themes laden Fonts nur in bestimmten Templates.

Prüfung im HTML-Quelltext

Suchen Sie im Quelltext Ihrer Website (Rechtsklick → Seitenquelltext) nach:

• fonts.googleapis.com – Die CSS-Datei, die Schriften referenziert
• fonts.gstatic.com – Der Server, von dem die Schriftdateien geladen werden

Typische Einbindungen sehen so aus:

<link href="https://fonts.googleapis.com/css2?family=Open+Sans&display=swap" rel="stylesheet">

oder im CSS:

@import url('https://fonts.googleapis.com/css2?family=Roboto:wght@400;700&display=swap');

Automatisierte Prüfung mit exatics

Die manuelle Prüfung ist zeitaufwändig und fehleranfällig – besonders bei Webseiten mit vielen Unterseiten oder dynamischen Inhalten. Unser Audit macht es anders: Wir starten einen echten Browser, laden Ihre Website vollständig und analysieren alle Netzwerk-Requests. So finden wir auch Fonts, die erst durch JavaScript oder nach Nutzer-Interaktion aktiviert werden. Schnell. Automatisch. Vollständig.

Jetzt Ihre Website auf Google Fonts prüfen

Google Fonts lokal einbinden: Schritt-für-Schritt-Anleitung

Die DSGVO-konforme Lösung ist technisch unkompliziert: Laden Sie die Schriftarten herunter und hosten Sie sie auf Ihrem eigenen Server. So verlassen keine Daten des Nutzers Ihre Webseite.

Schritt 1: Schriften herunterladen

Der einfachste Weg führt über den Google Webfonts Helper (gwfh). Dieses Open-Source-Tool generiert die passenden CSS-Dateien und stellt die Schriftarten als Download bereit:

1. Besuchen Sie den Google Webfonts Helper
2. Suchen Sie Ihre verwendete Schriftart (z. B. „Open Sans" oder „Roboto")
3. Wählen Sie die benötigten Schriftschnitte (Regular, Bold, Italic etc.)
4. Wählen Sie die gewünschten Zeichensätze (für deutsche Websites: „latin" und „latin-ext")
5. Passen Sie den Dateipfad an (z. B. /fonts/)
6. Laden Sie das ZIP-Paket herunter und kopieren Sie den generierten CSS-Code

Schritt 2: Dateien auf Ihrem Server ablegen

Entpacken Sie das ZIP-Archiv und laden Sie die Schriftdateien in ein Verzeichnis auf Ihrem Webserver – üblicherweise /fonts/ oder /assets/fonts/. Die Verzeichnisstruktur sollte so aussehen:

/fonts/
  open-sans-v40-latin-regular.woff2
  open-sans-v40-latin-700.woff2
  open-sans-v40-latin-italic.woff2

Schritt 3: CSS anpassen

Jetzt kommt der entscheidende Schritt: Ersetzen Sie die Einbindung über Google Server durch lokale @font-face-Deklarationen. Entfernen Sie zunächst die externe Einbindung:

<!-- ENTFERNEN: -->
<link href="https://fonts.googleapis.com/css2?family=Open+Sans&display=swap" rel="stylesheet">

Fügen Sie stattdessen die lokale Einbindung in Ihrem Stylesheet ein:

@font-face {
  font-family: 'Open Sans';
  font-style: normal;
  font-weight: 400;
  font-display: swap;
  src: url('/fonts/open-sans-v40-latin-regular.woff2') format('woff2');
}

@font-face {
  font-family: 'Open Sans';
  font-style: normal;
  font-weight: 700;
  font-display: swap;
  src: url('/fonts/open-sans-v40-latin-700.woff2') format('woff2');
}

Wichtig: Verwenden Sie font-display: swap, damit der Text sofort sichtbar ist und die Schrift nachgeladen wird. Das verhindert unsichtbaren Text während des Ladens und verbessert die Core Web Vitals.

Schritt 4: Alte Referenzen entfernen

Durchsuchen Sie Ihre gesamte Webseite nach verbliebenen Referenzen auf fonts.googleapis.com und fonts.gstatic.com. Prüfen Sie:

• HTML-Templates sowie Header-Dateien
• CSS-Dateien (@import-Anweisungen)
• JavaScript-Dateien (dynamisches Laden)
• CMS-Einstellungen (Theme-Optionen, Customizer)
• Page-Builder-Einstellungen (Elementor, Divi etc.)

Schritt 5: Caching und Performance optimieren

Lokal eingebundene Schriftarten haben einen netten Nebeneffekt: Sie werden vom gleichen Server geladen wie Ihre Website, sparen die DNS-Auflösung für die Google Server und eine zusätzliche TLS-Verbindung. Das ist wie ein kürzerer Weg zur Arbeit – weniger Stationen, schneller am Ziel. Optimieren Sie zusätzlich:

• Cache-Header setzen – Schriftdateien ändern sich selten. Setzen Sie Cache-Control: public, max-age=31536000 (1 Jahr)
• Preload für kritische Schriften – <link rel="preload" href="/fonts/open-sans-v40-latin-regular.woff2" as="font" type="font/woff2" crossorigin>
• Nur benötigte Schriftschnitte – Jeder zusätzliche Schnitt kostet Ladezeit. Beschränken Sie sich auf die tatsächlich verwendeten Varianten
• WOFF2-Format bevorzugen – WOFF2 bietet die beste Kompression und wird von allen modernen Browsern unterstützt

WordPress: Google Fonts lokal einbinden

Bei WordPress-Websites ist die Nutzung von Google Fonts besonders tückisch: Viele Themes und Page-Builder binden Fonts über Google-Server ein, ohne dass Sie direkt davon erfahren. Und ein Theme-Wechsel oder Update? Kann die Fonts jederzeit wieder extern laden.

OMGF – Optimize My Google Fonts

Das WordPress-Plugin OMGF erkennt automatisch alle Google-Fonts-Einbindungen, lädt die Schriften herunter und ersetzt die externen Referenzen durch lokale Pfade. Die Einrichtung:

1. Plugin installieren und aktivieren
2. Unter Einstellungen → Optimize Google Fonts die Optionen konfigurieren
3. Auf „Optimize" klicken – das Plugin scannt Ihre Website und ersetzt alle Referenzen
4. Cache leeren und Ergebnis prüfen

OMGF funktioniert mit den meisten Themes und Page-Buildern. Bei komplexen Setups mit vielen Plugins und dynamisch geladenen Fonts kann eine manuelle Nachprüfung nötig sein.

Alternative: Theme-eigene Einstellungen

Einige WordPress-Themes bieten eine eigene Option zum Deaktivieren externer Google Fonts:

• Astra – Customizer → Performance → „Load Google Fonts locally"
• GeneratePress – Customizer → Typography → Google Fonts → „Local"
• OceanWP – Theme-Einstellungen → General → „Google Fonts loading method: Local"

Prüfen Sie nach der Umstellung immer mit den Browser-Entwicklertools, ob tatsächlich keine externen Font-Requests mehr stattfinden. Vertrauen ist gut – Kontrolle ist besser.

Alternativen zu Google Fonts

Braucht Ihre Webseite überhaupt Google Fonts? System-Schriften laden sofort und verursachen keinerlei Datenschutzprobleme. Manchmal ist die beste Lösung die einfachste.

System-Font-Stack

Moderne Betriebssysteme bringen hochwertige Schriftarten mit. Mit einem System-Font-Stack nutzen Sie die jeweils beste verfügbare Schrift des Besuchers – ohne zusätzliche Downloads:

body {
  font-family: system-ui, -apple-system, "Segoe UI", Roboto,
               "Helvetica Neue", Arial, sans-serif;
}

Vorteile: Null Ladezeit, kein Datenschutzproblem, keine Abhängigkeit von externen Diensten. Der Nachteil: Sie haben weniger Kontrolle über das genaue Schriftbild, da es je nach Betriebssystem variiert.

Bunny Fonts

Bunny Fonts ist ein datenschutzfreundlicher Google-Fonts-Ersatz des österreichischen CDN-Anbieters BunnyCDN. Die Schriftarten werden über EU-Server ausgeliefert und laut Anbieter werden keine Nutzerdaten protokolliert. Die Einbindung funktioniert wie bei Google Fonts – Sie müssen lediglich die Domain austauschen:

<!-- Statt: -->
<link href="https://fonts.googleapis.com/css2?family=Open+Sans" rel="stylesheet">

<!-- Verwenden: -->
<link href="https://fonts.bunny.net/css?family=Open+Sans" rel="stylesheet">

Aber Achtung: Auch bei Bunny Fonts werden Daten an einen externen Server übertragen. Ob dies ohne Einwilligung zulässig ist, hängt von der konkreten Datenverarbeitung ab. Die sicherste Lösung bleibt die lokale Einbindung.

Font-Subsetting: Nur laden, was gebraucht wird

Viele Google-Fonts-Pakete enthalten Zeichen für Dutzende Sprachen. Für eine deutschsprachige Website brauchen Sie nur einen Bruchteil davon. Das ist wie ein Werkzeugkoffer mit 200 Teilen, wenn Sie nur einen Schraubenzieher brauchen.

Beim Subsetting entfernen Sie nicht benötigte Zeichen aus der Schriftdatei. Das Ergebnis: deutlich kleinere Dateien und schnellere Ladezeiten. Der Google Webfonts Helper bietet bereits vorgefertigte Subsets („latin", „latin-ext"). Für noch aggressiveres Subsetting können Sie Tools wie pyftsubset (aus der fonttools-Bibliothek) verwenden und nur die Unicode-Bereiche einschließen, die Ihre Website tatsächlich nutzt.

Ein typisches WOFF2-Subset für den lateinischen Zeichensatz ist nur 15–20 KB groß – gegenüber 50–80 KB für die vollständige Datei. Das ist messbar. Und Ihre Besucher spüren es.

Häufige Fehler beim lokalen Einbinden

• CORS-Probleme – Wenn Sie Fonts von einer Subdomain laden, müssen Sie den Header Access-Control-Allow-Origin setzen. Ohne CORS-Header verweigert der Browser das Laden der Schrift. Ergebnis: unsichtbarer Text oder Fallback-Font
• Falsche Pfade – Prüfen Sie, ob die Pfade in der @font-face-Deklaration mit dem tatsächlichen Speicherort übereinstimmen. Relative Pfade beziehen sich auf den Speicherort der CSS-Datei, nicht der HTML-Seite
• Fehlende Schriftschnitte – Wenn ein Schnitt fehlt (z. B. Bold Italic), synthetisiert der Browser ihn – und das sieht meistens schlecht aus. Laden Sie alle tatsächlich verwendeten Varianten herunter
• Plugin-Konflikte – Cache-Plugins oder Minifier können die @font-face-Regeln beschädigen. Leeren Sie nach Änderungen alle Caches
• Vergessene @import-Anweisungen – Google Fonts kann sowohl per <link>-Tag als auch per CSS-@import eingebunden sein. Beide müssen entfernt werden
• Page-Builder-Overrides – Elementor, Divi und andere Builder haben eigene Font-Einstellungen, die Ihre Theme-Änderungen überschreiben können

Was passiert nach dem Urteil? Abmahnrisiko und Praxis

Nach dem LG-München-Urteil versendeten einzelne Kanzleien und Privatpersonen massenhafte Abmahnungen. Einige Gerichte haben dieses Vorgehen als rechtswidrig eingestuft – das ändert aber nichts an der technischen Pflicht.

Die Abmahnwelle hat nachgelassen, aber das Urteil bleibt relevant. Aufsichtsbehörden haben wiederholt bestätigt, dass das Laden externer Ressourcen ohne Einwilligung gegen die DSGVO verstößt. Die technische Behebung – Google Fonts lokal einbinden – ist einfach, kostenlos und hat keinerlei Nachteile. Kurz gesagt: Es gibt keinen Grund, es nicht zu tun.

In unseren Audits sehen wir: Bei 19,6 % aller geprüften Websites ist Google Fonts aktiv. Nicht alle laden die Fonts extern – aber für diejenigen, die es tun, besteht Handlungsbedarf.

Was prüft exatics?

Unser Audit erkennt Google Fonts automatisch und bewertet, ob die Einbindung DSGVO-konform erfolgt.

Im Detail prüfen wir:

• Externe Fonts-Requests – Verbindungen zu fonts.googleapis.com und fonts.gstatic.com werden erkannt und gemeldet
• Zeitpunkt des Ladens – Werden die Fonts vor oder nach der Einwilligung geladen?
• Lokale Einbindung – Lokal gehostete Fonts werden positiv erkannt und nicht als Verstoß gewertet
• Weitere externe Ressourcen – Google Fonts ist oft nur die Spitze des Eisbergs. Wir prüfen gleichzeitig Google Analytics, den Tag Manager, Werbe-Pixel und Dutzende weitere Dienste

Die Prüfung findet in einem echten Browser statt – nicht nur als Quelltext-Analyse. So erkennen wir auch Fonts, die dynamisch über JavaScript oder erst durch Nutzer-Interaktion nachgeladen werden.

Jetzt Ihre Website auf Google Fonts prüfen

Weiterführende Artikel

• Datenschutz und SEO: Wie Google Fonts, Cookie-Banner und Tracking das Ranking beeinflussen
• Häufigste Datenschutz-Verstöße auf deutschen Websites
• Tracking ohne Einwilligung: Was unsere Audits aufdecken
• Cookie-Banner prüfen: Häufige Fehler erkennen und beheben