Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Die Google Font API ist ein kostenloser Webschriftdienst von Google, der über 1.400 Open-Source-Schriftfamilien über ein globales CDN bereitstellt. Jede Schriftanforderung überträgt die IP-Adresse des Besuchers an Google-Server in den USA und löst DSGVO- sowie ePrivacy-Pflichten aus. Ein deutsches Gericht urteilte 2022, dass das Laden von Google Fonts ohne Einwilligung gegen die DSGVO verstößt. Website-Betreiber können die Konformität durch lokales Hosting der Schriften oder konsentbasiertes Laden sicherstellen.
Die Google Font API ist ein kostenloser Webschriftdienst von Google LLC, der Zugang zu über 1.400 Open-Source-Schriftfamilien über ein globales CDN bietet. Entwickler binden einen Stylesheet-Link zu fonts.googleapis.com ein, und der Browser lädt die eigentlichen Schriftdateien von fonts.gstatic.com herunter. Der Dienst unterstützt variable Schriften, Teilmengen und Darstellungsoptimierungsparameter, die Layout-Verschiebungen minimieren und die Seitenleistung verbessern. Seine einfache Integration hat ihn zu einer der meistgenutzten Drittanbieterressourcen im Web gemacht.
Die Google Font API setzt keine Browser-Cookies. Jede Schriftanforderung überträgt jedoch technische Metadaten an Google-Server: die IP-Adresse des Besuchers, die angeforderte Schriftfamilie und -stärke, den Browser-User-Agent-String, den HTTP-Referrer und einen Zeitstempel. Unter der DSGVO gelten IP-Adressen als personenbezogene Daten, da sie zur Identifizierung von Personen herangezogen werden können. Google erklärt, sie nicht dauerhaft zu speichern, doch die Übertragung selbst löst europäische Datenschutzpflichten aus, wie der EuGH in mehreren Entscheidungen bestätigt hat.
Im Januar 2022 urteilte das Landgericht München I (Az. 3 O 17493/20), dass die Einbindung von Google Fonts ohne Einwilligung gegen Art. 6 DSGVO verstößt, da sie eine unnötige Übertragung der IP-Adresse des Besuchers an Google in den USA verursacht. Das Gericht sprach 100 EUR immateriellen Schadensersatz zu. Dieses Urteil ist ein Referenzpunkt für Datenschutzbehörden in ganz Europa. Nach dem deutschen TTDSG erfordert das Laden jeder Drittanbieterressource, die identifizierende Daten überträgt, entweder eine Einwilligung oder eine Ausnahme der strikten Notwendigkeit.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Die Einwilligung muss eingeholt werden, bevor der Browser eine Anfrage an fonts.googleapis.com oder fonts.gstatic.com stellt. Sowohl die Stylesheet-Anfrage als auch der Schriftdaten-Download müssen blockiert werden, bis der Besucher über eine Consent-Management-Plattform aktiv zustimmt. Der einfachste konforme Ansatz ist die Definition eines System-Schrift-Fallbacks in CSS und das Laden von Google Fonts erst nach Einwilligung. Das Stützen auf berechtigtes Interesse ist nach dem Münchner Urteil rechtlich riskant. Die Einwilligung muss gemäß Art. 7 DSGVO freiwillig, spezifisch, informiert und unmissverständlich sein.
Jede Google-Fonts-Anfrage wird an Google-Infrastruktur in den USA geleitet. Google stützt sich auf Standardvertragsklauseln im Rahmen des EU-US Data Privacy Framework für diese Übertragungen. Die Angemessenheit dieser Klauseln für Google-Dienste wird jedoch von nationalen Aufsichtsbehörden fortlaufend überprüft, und mehrere EU-Behörden haben bestimmte Google-Transfers für rechtswidrig befunden. Website-Betreiber, die vollständige Sicherheit über die Datenresidenz wünschen, sollten Schriften lokal hosten.
Option 1 ist das Self-Hosting: Schriftdateien herunterladen und auf dem eigenen Server hosten, ohne jede Anfrage an Google. Option 2 ist das Consent-gesteuerte Laden: alle Anfragen an fonts.googleapis.com und fonts.gstatic.com standardmäßig blockieren und das Stylesheet erst nach Einwilligung injizieren. Option 3 ist der Wechsel zu datenschutzfreundlichen Schrift-CDNs wie Bunny Fonts, die denselben Katalog ohne IP-Protokollierung anbieten. Aktualisieren Sie in jedem Fall Ihre Cookie-Richtlinie und Datenschutzerklärung, um Ihre Schriftladestrategie korrekt zu beschreiben.
Websites using Google Font API must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA sollte bewerten: (1) die Notwendigkeit der US-Übertragung, da Self-Hosting eine verfügbare Alternative ist, (2) die Rechtmäßigkeit von berechtigtem Interesse vs. Einwilligung nach dem LG-München-Urteil 2022, (3) TTDSG-Implikationen für deutsche Besucher, (4) die Angemessenheit der Standardvertragsklauseln zum Schutz der Daten von EU-Bürgern.
Sample consent text
Ich stimme zu, dass Schriften von Google-Servern geladen werden. Dies überträgt meine IP-Adresse in die USA. Ich kann meine Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.
Third-party domains contacted
fonts.googleapis.comfonts.googleapis.comfonts.gstatic.comfonts.gstatic.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| No cookies | none | n/a | Google Fonts does not set cookies on the visitor browser. The privacy concern is the connection to fonts.googleapis.com and fonts.gstatic.com, which transmits the IP address to Google in the United States. The German Munich court ruling of January 2022 considers this a personal data transfer that requires consent or a self hosted alternative. |
Google Font API ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
Google Fonts setzt keine Cookies direkt. Wenn Ihre Website Schriftarten von Googles Servern lädt, werden jedoch die IP-Adresse und Browserinformationen des Besuchers an Google übermittelt. Dies stellt eine Verarbeitung personenbezogener Daten im Sinne der DSGVO dar, auch ohne den Einsatz von Cookies.
Ja. Gemäß der DSGVO und dem Urteil des Landgerichts München I von 2022 ist das Einbinden von Google Fonts über ein externes CDN ohne Einwilligung rechtswidrig. Sie müssen entweder eine vorherige Einwilligung über eine CMP einholen oder die Schriftarten auf Ihrem eigenen Server hosten.
Beim Laden von Schriftarten über das CDN von Google werden die IP-Adresse, der Browser-User-Agent und die Referrer-URL des Besuchers an die US-amerikanischen Server von Google übermittelt. IP-Adressen gelten gemäß DSGVO als personenbezogene Daten, was diese Aktivität meldepflichtig macht.
Ja. Die Server der Google Font API befinden sich in den USA. Dies stellt eine internationale Datenübermittlung gemäß Kapitel V der DSGVO dar. Google stützt sich auf Standardvertragsklauseln und seinen Datenverarbeitungszusatz zur Legitimierung dieser Übermittlungen, doch sollten zusätzliche Maßnahmen geprüft werden.
Im Januar 2022 entschied das Landgericht München I (Az. 3 O 17493/20), dass die Einbindung von Google Fonts über ein externes CDN ohne Einwilligung gegen die DSGVO verstößt, da Besucher-IP-Adressen an Google in den USA übermittelt werden. Das Gericht sprach 100 Euro Schadensersatz zu und verpflichtete den Betreiber, Schriftarten selbst zu hosten oder eine Einwilligung einzuholen.
Der sicherste Ansatz ist, die Schriftartdateien herunterzuladen und auf Ihrer eigenen Domain zu hosten. Damit entfällt die Datenübermittlung an Google vollständig. Alternativ können Sie Google Fonts nur nach Einholung einer gültigen Einwilligung über eine konforme CMP laden und externe Anfragen bis zur Zustimmung blockieren.
Ja. Bunny Fonts ist eine DSGVO-konforme Alternative, die in der EU gehostet wird und die Google Fonts-Bibliothek spiegelt, ohne Daten an Google zu senden. Sie können auch Systemschriften oder selbst gehostete Open-Source-Schriften nutzen und damit jeglichen Drittanbieter-Datentransfer vermeiden.
Ja. Auch wenn Google Fonts keine Cookies setzt, muss Ihre Datenschutzerklärung die Verarbeitung von IP-Adressen und die Datenübermittlung in die USA offenlegen. Führen Sie die Google Font API als Drittanbieterdienst auf, beschreiben Sie die übermittelten Daten, die Rechtsgrundlage und die Schutzmaßnahmen für US-Übermittlungen.