InFocus · Begriff

Google Fonts

Aktualisiert Juli 2026 ca. 8Minuten Norm-Anker: Art. 6 DSGVO, LG München I (20.01.2022)

AppCore IntelligenceUnit Redaktion, AppCore

Die AppCore IntelligenceUnit beobachtet die Entwicklung der einschlägigen Regulierung laufend und bereitet sie redaktionell auf.

  • Content-Compliance
  • Markenkommunikation
Diese Lösung prüft der AppCore Audit für externe Ressourcen wie Google Fonts direkt.

Google Fonts extern einzubinden überträgt die IP-Adresse jedes Besuchers an Google-Server, ohne dass er zustimmt. Ein Münchner Gerichtsurteil löste deswegen 2022 eine der größten Abmahnwellen im deutschen Web aus.

In Kürze Rechtsgrundlage: Art. 6 DSGVO, LG München I, Urteil vom 20.01.2022Externes Laden überträgt die IP-Adresse an Google-ServerKeine Einwilligung, kein berechtigtes Interesse für diese ÜbertragungLösung: Schriftdateien lokal auf dem eigenen Server hostenBetrifft analog auch andere extern eingebundene Ressourcen

Was beim externen Einbinden von Google Fonts passiert

Google Fonts ist ein beliebter Dienst, um Schriftarten kostenlos in Websites einzubinden. Der gängige Weg bindet die Schriftdatei per Verweis auf einen Google-Server ein: Der Browser des Besuchers lädt die Schrift direkt von dort, sobald die Seite aufgerufen wird.

Dabei überträgt der Browser automatisch die IP-Adresse des Besuchers an den Google-Server, als technische Notwendigkeit des Ladevorgangs. Die IP-Adresse gilt als personenbezogenes Datum. Diese Übertragung geschieht ohne Einwilligung und ohne dass der Besucher davon erfährt, allein durch den Aufruf der Seite.

Das Problem betrifft nicht die Schriftart selbst, sondern den Übertragungsweg. Dieselbe Schrift lokal gehostet, also als Datei auf dem eigenen Server ausgeliefert, wirft dieses Problem nicht auf, weil dann keine Verbindung zu einem Drittserver entsteht.

Die Rechtsgrundlage: Art. 6 DSGVO und das Münchner Urteil

Rechtlich braucht jede Verarbeitung personenbezogener Daten, auch die Übertragung einer IP-Adresse an einen Drittserver, eine Rechtsgrundlage nach Art. 6 DSGVO. Für das externe Laden von Google Fonts fehlt diese in aller Regel: Es liegt weder eine Einwilligung vor, noch lässt sich ein überwiegendes berechtigtes Interesse begründen, wenn dieselbe Schrift auch lokal ausgeliefert werden könnte.

Das Landgericht München I entschied am 20. Januar 2022, dass die Übertragung der IP-Adresse durch externes Einbinden von Google Fonts ohne Einwilligung einen Verstoß gegen die DSGVO darstellt und sprach dem Kläger einen Unterlassungs- und Schadensersatzanspruch zu. Das Urteil löste eine Welle automatisierter Abmahnschreiben aus, viele davon von Privatpersonen und teils zweifelhafter Seriosität.

Lokales Hosting als Lösung

Die gängige Lösung ist unkompliziert: Die Schriftdateien werden heruntergeladen und zusammen mit den eigenen Website-Dateien auf dem eigenen Server abgelegt. Der Browser des Besuchers lädt die Schrift dann von der eigenen Domain, ohne dass eine Verbindung zu einem Google-Server entsteht. Die Schrift sieht optisch identisch aus, das Problem der Datenübertragung entfällt vollständig.

Das Problem reicht über Google Fonts hinaus

Dasselbe Muster gilt für jede extern eingebundene Ressource, die beim Laden automatisch Daten an einen Drittserver sendet: externe Icon-Bibliotheken, eingebettete Karten, Video-Player und ähnliche Dienste. Wer eine dieser Ressourcen extern lädt, ohne vorherige Einwilligung, riskiert ein vergleichbares Problem wie bei Google Fonts.

Bindest du Google Fonts extern ein?

Schalte ein, was auf deine Website zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.

Trifft mich das?

Schalte mindestens ein Kriterium ein, um eine Einschätzung zu sehen.

Woran sich eine saubere Schriftarten-Einbindung misst

Was eine datenschutzkonforme Einbindung externer Ressourcen ausmacht, in vier Prinzipien.

Vier Anforderungen, zum Durchtippen

Schriftdateien liegen auf dem eigenen Server.

Lokales Hosting vermeidet jede Verbindung zu einem Drittserver beim Laden der Schrift und damit die ungefragte Übertragung der IP-Adresse.

Hilft Font-Dateien im eigenen Projektordner, per @font-face eingebunden.

Stolperfalle Verweis auf fonts.googleapis.com im Quellcode.

Der eigene Code-Bestand wurde kontrolliert.

Viele Themes und Page-Builder binden Google Fonts automatisch extern ein, ohne dass es im Seiten-Editor sichtbar wird. Eine Quellcode-Prüfung deckt das auf.

Hilft Quellcode gezielt nach externen Google-Verweisen durchsucht.

Stolperfalle Nie geprüft, ob das Theme Schriften automatisch extern lädt.

Auch andere externe Ressourcen sind erfasst.

Das Problem des ungefragten Datenabflusses gilt für jede extern eingebundene Ressource, nicht nur für Schriftarten.

Hilft Icon-Bibliotheken, Karten und Player ebenfalls auf externe Aufrufe geprüft.

Stolperfalle Nur Google Fonts behoben, andere externe Dienste unbeachtet.

Die Umstellung ist nachvollziehbar festgehalten.

Eine nachvollziehbare Dokumentation der Umstellung erleichtert es, im Streitfall zu belegen, seit wann die Schrift lokal ausgeliefert wird.

Hilft Änderung im Code-Repository oder CMS-Änderungsprotokoll vermerkt.

Stolperfalle Umstellung ohne jede Dokumentation, schwer nachvollziehbar im Streitfall.

Der häufigste Irrtum: „Das macht doch mein Theme automatisch“

Ein verbreiteter Irrtum ist die Annahme, moderne Themes oder Page-Builder würden Schriftarten automatisch datenschutzkonform einbinden. Tatsächlich laden viele verbreitete Systeme Google Fonts standardmäßig extern, ohne dass das im Editor sichtbar wird. Wer sich allein auf die Voreinstellung verlässt, übernimmt das Problem ungeprüft.

Ein zweiter Irrtum ist, das Problem für erledigt zu halten, sobald Google Fonts einmal behoben wurde. Wurden seither neue Plugins, ein neues Theme oder ein neuer Page-Builder-Block hinzugefügt, kann das Problem unbemerkt zurückkehren, weil viele Erweiterungen eigene externe Ressourcen mitbringen.

Wie steht es um deine Schriftarten-Einbindung?

Wähle die Situation, die deiner aktuellen Website am nächsten kommt.

Trifft eine der folgenden Situationen auf dich zu?

Wähle eine Situation, um die Einordnung zu sehen.

Zeitleiste

Vom Komfort-Dienst zum Abmahn-Klassiker

Wie aus einer beliebten Schriftarten-Bibliothek einer der größten deutschen Abmahn-Anlässe wurde.

  1. 2010

    Google Fonts wird veröffentlicht

    Google startet den kostenlosen Schriftarten-Dienst, schnell einer der meistgenutzten im Web.

  2. 20.01.2022

    Das Münchner Urteil

    Das Landgericht München I stuft die externe Einbindung ohne Einwilligung als DSGVO-Verstoß ein und spricht Schadensersatz zu.

  3. 2022

    Die große Abmahnwelle

    Tausende automatisiert generierte Abmahnschreiben treffen deutsche Website-Betreiber, viele davon von Privatpersonen.

  4. laufend

    Externe Ressourcen bleiben im Fokus

    Über Google Fonts hinaus geraten weitere extern eingebundene Dienste wie Karten oder Icons zunehmend in den Blick.

Die Rechtslage: Art. 6 DSGVO und die Gerichtspraxis

Rechtlich braucht jede Übertragung personenbezogener Daten an einen Drittserver eine Rechtsgrundlage nach Art. 6 DSGVO. Für die externe Einbindung von Google Fonts fehlt diese typischerweise, weil das Ziel, eine Schriftart anzuzeigen, ebenso durch lokales Hosting erreichbar ist, ohne die IP-Adresse an einen Drittserver zu übertragen. Das Münchner Urteil von 2022 hat diese Bewertung gerichtlich bestätigt und ist seither die meistzitierte Referenz zu diesem Thema.

Für die Praxis kommt es auf eine einfache Unterscheidung an: Wird die Ressource lokal ausgeliefert, entsteht das Problem gar nicht erst. Wird sie extern geladen, braucht es entweder eine Einwilligung oder eine belastbare Rechtsgrundlage, die in der Praxis selten vorliegt.

So prüft der AppCore Audit externe Ressourcen

Der AppCore Audit prüft mit der Lösung PrivacyScanner, welche externen Ressourcen eine Seite lädt und ob dabei Daten an Drittserver ohne erkennbare Einwilligung übertragen werden, einschließlich Schriftarten-Diensten wie Google Fonts. Der Befund zeigt, welche externen Aufrufe geprüft werden sollten.

Schadensersatz und Abmahnwelle: die Folgen

Das Münchner Urteil sprach dem Kläger einen Schadensersatz zu, wenn auch in überschaubarer Höhe. Die eigentliche Wirkung lag in der Signalfunktion: Sie löste eine Welle automatisiert generierter Abmahnschreiben aus, die das Problem systematisch bei tausenden Websites aufspürten. Die Kosten pro Fall waren einzeln oft moderat, summierten sich aber durch die schiere Zahl betroffener Seiten.

Diese Serienhaftigkeit macht Google Fonts zu einem besonders lehrreichen Beispiel: Ein technisch einfach behebbares Problem wurde massenhaft zum Abmahn-Anlass, gerade weil es sich automatisiert auffinden ließ und auf sehr vielen Websites gleichzeitig vorlag.

Die eigene Schriftarten-Einbindung prüfen

Die Prüfung ist unkompliziert und schnell erledigt. Drei Fragen helfen bei der Einordnung. Erstens: Lädt die Seite Google Fonts oder eine andere Schriftart über einen externen Verweis, statt die Datei lokal auszuliefern? Zweitens: Bindet das verwendete Theme oder Plugin möglicherweise automatisch externe Ressourcen ein, ohne dass es im Editor sichtbar ist? Drittens: Wurden auch andere extern eingebundene Dienste wie Karten oder Icon-Bibliotheken auf dasselbe Muster geprüft?

Wer diese Fragen ehrlich beantwortet, findet das Problem meist schnell. Extern eingebundene Standard-Schriften, ein Theme mit versteckten externen Aufrufen und unbeachtete andere Drittdienste gehören zu den häufigsten Fundstellen.

Für Seiten mit mehreren Themes, Plugins oder Page-Builder-Blöcken wird die manuelle Prüfung schnell aufwendig. Genau hier setzt der AppCore Audit an: Er prüft die tatsächlich geladenen externen Ressourcen und macht sichtbar, wo Daten ungefragt an Drittserver abfließen.

Das Beheben dieses Problems ist eine der günstigsten und wirksamsten Einzelmaßnahmen gegen Abmahnungen überhaupt: technisch einfach, schnell umgesetzt, und ein Muster, das sich auf jede vergleichbare externe Ressource übertragen lässt.

Wo stehst du gerade?

Dein Weg zu mehr Sicherheit

Vom Befund zur laufenden Prüfung

Drei Schritte, jeder für sich nutzbar.

Schritt 1 · Diagnose

AppCore Audit

kostenfreieinmalige Diagnose

Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.

Kostenfrei starten
Schritt 3 · Dauerpflege

Plan

ab 99,- €pro Monat

Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.

Pläne ansehen

Audit BluePrint / CMS Plan

Nächster Schritt

Compliance-Risiko einschätzen

Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.