Google Fonts
AppCore InFocus
Art. 6 DSGVO
Externe Ressourcen
Bekannt seit — Tagen
Google Fonts extern einzubinden überträgt die IP-Adresse jedes Besuchers an Google-Server, ohne dass er zustimmt. Ein Münchner Gerichtsurteil löste deswegen 2022 eine der größten Abmahnwellen im deutschen Web aus.
Was beim externen Einbinden von Google Fonts passiert
Google Fonts ist ein beliebter Dienst, um Schriftarten kostenlos in Websites einzubinden. Der gängige Weg bindet die Schriftdatei per Verweis auf einen Google-Server ein: Der Browser des Besuchers lädt die Schrift direkt von dort, sobald die Seite aufgerufen wird.
Dabei überträgt der Browser automatisch die IP-Adresse des Besuchers an den Google-Server, als technische Notwendigkeit des Ladevorgangs. Die IP-Adresse gilt als personenbezogenes Datum. Diese Übertragung geschieht ohne Einwilligung und ohne dass der Besucher davon erfährt, allein durch den Aufruf der Seite.
Das Problem betrifft nicht die Schriftart selbst, sondern den Übertragungsweg. Dieselbe Schrift lokal gehostet, also als Datei auf dem eigenen Server ausgeliefert, wirft dieses Problem nicht auf, weil dann keine Verbindung zu einem Drittserver entsteht.
Die Rechtsgrundlage: Art. 6 DSGVO und das Münchner Urteil
Rechtlich braucht jede Verarbeitung personenbezogener Daten, auch die Übertragung einer IP-Adresse an einen Drittserver, eine Rechtsgrundlage nach Art. 6 DSGVO. Für das externe Laden von Google Fonts fehlt diese in aller Regel: Es liegt weder eine Einwilligung vor, noch lässt sich ein überwiegendes berechtigtes Interesse begründen, wenn dieselbe Schrift auch lokal ausgeliefert werden könnte.
Das Landgericht München I entschied am 20. Januar 2022, dass die Übertragung der IP-Adresse durch externes Einbinden von Google Fonts ohne Einwilligung einen Verstoß gegen die DSGVO darstellt und sprach dem Kläger einen Unterlassungs- und Schadensersatzanspruch zu. Das Urteil löste eine Welle automatisierter Abmahnschreiben aus, viele davon von Privatpersonen und teils zweifelhafter Seriosität.
Lokales Hosting als Lösung
Die gängige Lösung ist unkompliziert: Die Schriftdateien werden heruntergeladen und zusammen mit den eigenen Website-Dateien auf dem eigenen Server abgelegt. Der Browser des Besuchers lädt die Schrift dann von der eigenen Domain, ohne dass eine Verbindung zu einem Google-Server entsteht. Die Schrift sieht optisch identisch aus, das Problem der Datenübertragung entfällt vollständig.
Das Problem reicht über Google Fonts hinaus
Dasselbe Muster gilt für jede extern eingebundene Ressource, die beim Laden automatisch Daten an einen Drittserver sendet: externe Icon-Bibliotheken, eingebettete Karten, Video-Player und ähnliche Dienste. Wer eine dieser Ressourcen extern lädt, ohne vorherige Einwilligung, riskiert ein vergleichbares Problem wie bei Google Fonts.
Bindest du Google Fonts extern ein?
Schalte ein, was auf deine Website zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.
Trifft mich das?
Woran sich eine saubere Schriftarten-Einbindung misst
Was eine datenschutzkonforme Einbindung externer Ressourcen ausmacht, in vier Prinzipien.
Vier Anforderungen, zum Durchtippen
Schriftdateien liegen auf dem eigenen Server.
Lokales Hosting vermeidet jede Verbindung zu einem Drittserver beim Laden der Schrift und damit die ungefragte Übertragung der IP-Adresse.
Hilft Font-Dateien im eigenen Projektordner, per @font-face eingebunden.
Stolperfalle Verweis auf fonts.googleapis.com im Quellcode.
Der eigene Code-Bestand wurde kontrolliert.
Viele Themes und Page-Builder binden Google Fonts automatisch extern ein, ohne dass es im Seiten-Editor sichtbar wird. Eine Quellcode-Prüfung deckt das auf.
Hilft Quellcode gezielt nach externen Google-Verweisen durchsucht.
Stolperfalle Nie geprüft, ob das Theme Schriften automatisch extern lädt.
Auch andere externe Ressourcen sind erfasst.
Das Problem des ungefragten Datenabflusses gilt für jede extern eingebundene Ressource, nicht nur für Schriftarten.
Hilft Icon-Bibliotheken, Karten und Player ebenfalls auf externe Aufrufe geprüft.
Stolperfalle Nur Google Fonts behoben, andere externe Dienste unbeachtet.
Die Umstellung ist nachvollziehbar festgehalten.
Eine nachvollziehbare Dokumentation der Umstellung erleichtert es, im Streitfall zu belegen, seit wann die Schrift lokal ausgeliefert wird.
Hilft Änderung im Code-Repository oder CMS-Änderungsprotokoll vermerkt.
Stolperfalle Umstellung ohne jede Dokumentation, schwer nachvollziehbar im Streitfall.
Der häufigste Irrtum: „Das macht doch mein Theme automatisch“
Ein verbreiteter Irrtum ist die Annahme, moderne Themes oder Page-Builder würden Schriftarten automatisch datenschutzkonform einbinden. Tatsächlich laden viele verbreitete Systeme Google Fonts standardmäßig extern, ohne dass das im Editor sichtbar wird. Wer sich allein auf die Voreinstellung verlässt, übernimmt das Problem ungeprüft.
Ein zweiter Irrtum ist, das Problem für erledigt zu halten, sobald Google Fonts einmal behoben wurde. Wurden seither neue Plugins, ein neues Theme oder ein neuer Page-Builder-Block hinzugefügt, kann das Problem unbemerkt zurückkehren, weil viele Erweiterungen eigene externe Ressourcen mitbringen.
Wie steht es um deine Schriftarten-Einbindung?
Wähle die Situation, die deiner aktuellen Website am nächsten kommt.
Trifft eine der folgenden Situationen auf dich zu?
Zeitleiste
Vom Komfort-Dienst zum Abmahn-Klassiker
Wie aus einer beliebten Schriftarten-Bibliothek einer der größten deutschen Abmahn-Anlässe wurde.
- 2010
Google Fonts wird veröffentlicht
Google startet den kostenlosen Schriftarten-Dienst, schnell einer der meistgenutzten im Web.
- 20.01.2022
Das Münchner Urteil
Das Landgericht München I stuft die externe Einbindung ohne Einwilligung als DSGVO-Verstoß ein und spricht Schadensersatz zu.
- 2022
Die große Abmahnwelle
Tausende automatisiert generierte Abmahnschreiben treffen deutsche Website-Betreiber, viele davon von Privatpersonen.
- laufend
Externe Ressourcen bleiben im Fokus
Über Google Fonts hinaus geraten weitere extern eingebundene Dienste wie Karten oder Icons zunehmend in den Blick.
Die Rechtslage: Art. 6 DSGVO und die Gerichtspraxis
Rechtlich braucht jede Übertragung personenbezogener Daten an einen Drittserver eine Rechtsgrundlage nach Art. 6 DSGVO. Für die externe Einbindung von Google Fonts fehlt diese typischerweise, weil das Ziel, eine Schriftart anzuzeigen, ebenso durch lokales Hosting erreichbar ist, ohne die IP-Adresse an einen Drittserver zu übertragen. Das Münchner Urteil von 2022 hat diese Bewertung gerichtlich bestätigt und ist seither die meistzitierte Referenz zu diesem Thema.
Für die Praxis kommt es auf eine einfache Unterscheidung an: Wird die Ressource lokal ausgeliefert, entsteht das Problem gar nicht erst. Wird sie extern geladen, braucht es entweder eine Einwilligung oder eine belastbare Rechtsgrundlage, die in der Praxis selten vorliegt.
So prüft der AppCore Audit externe Ressourcen
Der AppCore Audit prüft mit der Lösung PrivacyScanner, welche externen Ressourcen eine Seite lädt und ob dabei Daten an Drittserver ohne erkennbare Einwilligung übertragen werden, einschließlich Schriftarten-Diensten wie Google Fonts. Der Befund zeigt, welche externen Aufrufe geprüft werden sollten.
Schadensersatz und Abmahnwelle: die Folgen
Das Münchner Urteil sprach dem Kläger einen Schadensersatz zu, wenn auch in überschaubarer Höhe. Die eigentliche Wirkung lag in der Signalfunktion: Sie löste eine Welle automatisiert generierter Abmahnschreiben aus, die das Problem systematisch bei tausenden Websites aufspürten. Die Kosten pro Fall waren einzeln oft moderat, summierten sich aber durch die schiere Zahl betroffener Seiten.
Diese Serienhaftigkeit macht Google Fonts zu einem besonders lehrreichen Beispiel: Ein technisch einfach behebbares Problem wurde massenhaft zum Abmahn-Anlass, gerade weil es sich automatisiert auffinden ließ und auf sehr vielen Websites gleichzeitig vorlag.
Die eigene Schriftarten-Einbindung prüfen
Die Prüfung ist unkompliziert und schnell erledigt. Drei Fragen helfen bei der Einordnung. Erstens: Lädt die Seite Google Fonts oder eine andere Schriftart über einen externen Verweis, statt die Datei lokal auszuliefern? Zweitens: Bindet das verwendete Theme oder Plugin möglicherweise automatisch externe Ressourcen ein, ohne dass es im Editor sichtbar ist? Drittens: Wurden auch andere extern eingebundene Dienste wie Karten oder Icon-Bibliotheken auf dasselbe Muster geprüft?
Wer diese Fragen ehrlich beantwortet, findet das Problem meist schnell. Extern eingebundene Standard-Schriften, ein Theme mit versteckten externen Aufrufen und unbeachtete andere Drittdienste gehören zu den häufigsten Fundstellen.
Für Seiten mit mehreren Themes, Plugins oder Page-Builder-Blöcken wird die manuelle Prüfung schnell aufwendig. Genau hier setzt der AppCore Audit an: Er prüft die tatsächlich geladenen externen Ressourcen und macht sichtbar, wo Daten ungefragt an Drittserver abfließen.
Das Beheben dieses Problems ist eine der günstigsten und wirksamsten Einzelmaßnahmen gegen Abmahnungen überhaupt: technisch einfach, schnell umgesetzt, und ein Muster, das sich auf jede vergleichbare externe Ressource übertragen lässt.
Wo stehst du gerade?
Binde Schriftarten von Anfang an lokal ein. Das ist schneller, unabhängiger und vermeidet, dass IP-Adressen an Dritte gehen, bevor jemand eingewilligt hat.
Themes und Plugins laden Schriftarten oft still von externen Servern nach, auch wenn du das nie eingerichtet hast. Der AppCore Audit zeigt, welche externen Ressourcen deine Seite lädt.
Dein Weg zu mehr Sicherheit
Vom Befund zur laufenden Prüfung
Drei Schritte, jeder für sich nutzbar.
AppCore Audit
Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.
Kostenfrei startenBluePrint oder CMS
Offene Befunde werden behoben, technisch direkt oder über ExpertSeal.
Plan
Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.
Pläne ansehenAudit → BluePrint / CMS → Plan
Nächster Schritt
Compliance-Risiko einschätzen
Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.