Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Adobe Fonts (ehemals Typekit) ist der Webschriften Abodienst von Adobe. Er liefert Tausende Schriften per JavaScript Einbettung oder CSS Link von use.typekit.net. Bei jedem Aufruf werden die IP Adresse und Browser Metadaten an Adobe Server in den USA übertragen, womit der Dienst unter DSGVO und TTDSG fällt, vergleichbar mit der Lage bei Google Fonts.
Adobe Fonts, früher unter dem Namen Typekit bekannt, ist der Abonnementdienst von Adobe Inc. für Webschriften. Er ist in den meisten Adobe Creative Cloud Tarifen enthalten und stellt Designern Tausende Schriften zur Verfügung, die in Websites eingebunden werden können. Die Auslieferung erfolgt per kleinem JavaScript Snippet oder per CSS Link auf use.typekit.net. Sobald ein Besucher eine Seite mit Adobe Fonts öffnet, lädt sein Browser die Schriftdateien und ein Konfigurationsskript direkt von den Adobe Servern in den USA.
Beim Laden der Schriften werden die IP Adresse des Besuchers, die aufgerufene URL (Referer Header), der User Agent und Anfragemetadaten an Adobe übertragen. Zusätzlich verwendet Adobe ein Tracking Pixel auf p.typekit.net, um die Nutzung für Abrechnung und Reporting zu zählen. Adobe erklärt, dass diese Anfragen nicht zur Bildung von Werbeprofilen genutzt werden, doch die IP Adresse bleibt ein personenbezogenes Datum im Sinne der DSGVO und der Drittlandtransfer wirft dieselben rechtlichen Fragen auf wie die deutschen Google Fonts Entscheidungen.
Artikel 5 Absatz 3 der ePrivacy Richtlinie und der deutsche Paragraf 25 TTDSG verlangen eine Einwilligung, bevor Informationen auf dem Endgerät gespeichert oder ausgelesen werden. Die von Adobe Fonts geladenen CSS und JavaScript Dateien werden vom Browser zwischengespeichert und das p.typekit.net Pixel kann kurzzeitige Identifier setzen, was in vielen EU Jurisdiktionen unter die Cookie Regeln fällt. Unter der DSGVO muss der Drittlandtransfer von IP Adressen in die USA auf einem gültigen Mechanismus nach Artikel 46 beruhen, heute also Standardvertragsklauseln oder die Zertifizierung im EU US Data Privacy Framework, der Adobe im Juli 2023 beigetreten ist.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Die meisten europäischen Datenschutzbehörden behandeln externe Webschriften wie Google Fonts: eine vorherige Einwilligung ist der sicherste Weg, weil der Ladevorgang nicht zwingend für die Darstellung erforderlich ist und die IP Adresse mit einem US Verantwortlichen geteilt wird. In Deutschland gilt das Urteil des LG München I, 3 O 17493/20 vom 20. Januar 2022 weithin als auf alle externen Schriftdienste anwendbar, die IP Adressen übertragen. Die französische CNIL vertritt eine ähnliche Linie. In der Praxis sollte Adobe Fonts blockiert werden, bis der Besucher die passende Kategorie akzeptiert, üblicherweise die Kategorie Funktional oder Präferenzen.
Adobe Inc. hat seinen Sitz in San Jose, Kalifornien, und verarbeitet Adobe Fonts Anfragen über US Infrastruktur. Adobe hat sich im Juli 2023 im EU US Data Privacy Framework selbst zertifiziert, was eine Angemessenheitsentscheidung für Datenflüsse zu zertifizierten US Empfängern bietet. Für Verantwortliche im EWR stellt Adobe zudem Standardvertragsklauseln in seinen Allgemeinen Geschäftsbedingungen für Abonnementdienste bereit. Beide Mechanismen sollten in der Datenschutzerklärung genannt werden, gemeinsam mit den Kategorien der übermittelten Daten (IP, URL, User Agent) und der bei Adobe geltenden Speicherdauer.
Empfohlen wird, die Adobe Fonts Einbettung erst nach erteilter Einwilligung zu laden, Adobe Inc. als Auftragsverarbeiter und US Empfänger in der Datenschutzerklärung auszuweisen und die Nutzung von SCC bzw. DPF zu dokumentieren. Soll die Einwilligungspflicht vermieden werden, beseitigt eine selbst gehostete Alternative den Transfer: Adobe lizenzierte Schriften vom eigenen Server (sofern der Tarif dies erlaubt) oder selbst hostbare freie Schriften wie Inter, Roboto oder IBM Plex. Im Consent Banner sollte Adobe Fonts in einer granularen Präferenzen Kategorie sichtbar sein, damit Nutzer ablehnen können, ohne funktionale Cookies zu verlieren.
Websites using Adobe Fonts (Typekit) must obtain user consent under GDPR regulations.
DPIA considerations
Eine förmliche Datenschutz Folgenabschätzung ist für Adobe Fonts auf einer typischen Website meist nicht erforderlich, der Drittlandtransfer von IP Adressen in die USA muss aber im Verarbeitungsverzeichnis (Art. 30 DSGVO) dokumentiert werden. Wird Adobe Fonts mit weiteren Trackern kombiniert, ist die kumulative Datenschutzwirkung zu bewerten.
Sample consent text
Wir verwenden Adobe Fonts (Typekit), um Schriften auf dieser Website anzuzeigen. Das Laden der Schriften überträgt Ihre IP Adresse an Adobe Inc. in den USA. Möchten Sie zustimmen?
Third-party domains contacted
use.typekit.netp.typekit.netfonts.adobe.comtypekit.comuse.typekit.comdemdex.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| typekit.previewing | session | Session | Indicates that a Typekit preview is being shown for the current session in design tools and during font selection. |
| p.typekit.net request log | pixel/log | Logged on server, no persistent client cookie | Adobe records a server side log of font requests including IP, User Agent and Referer for billing, abuse prevention and usage analytics. No long lived client cookie is set, but the request itself transmits personal data. |
| AMCV_<ID>@AdobeOrg | third party | 2 years | Set on adobe.com sub properties (fonts.adobe.com) by Adobe Experience Cloud when users interact with the Adobe Fonts management UI. Not normally set on third party sites that only embed fonts. |
| s_cc | third party | Session | Adobe Analytics session cookie used on Adobe owned properties to determine whether cookies are enabled in the browser when managing fonts. |
| demdex | third party | 180 days | Adobe Audience Manager identifier set on demdex.net when Adobe Fonts management or marketing pages are visited; not set by the font delivery itself. |
Adobe Fonts (Typekit) ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
Adobe Fonts setzt keine langlebigen First Party Cookies zum Besucher Tracking. Allerdings lädt die Einbettung Skripte und ein Pixel von typekit.net, was zur Zwischenspeicherung von Ressourcen führt und in bestimmten Konfigurationen kurzlebige Identifier setzen kann. Nach den ePrivacy Regeln und Paragraf 25 TTDSG erfordert dies in den meisten EU Ländern eine Einwilligung, da Informationen vom Endgerät gelesen oder dort gespeichert werden.
In der Praxis ja. Adobe Fonts überträgt die IP Adresse des Besuchers an Adobe in den USA, was eine Drittlandübermittlung personenbezogener Daten nach DSGVO darstellt. In Anlehnung an das Münchner Google Fonts Urteil ist es am sichersten, Adobe Fonts zu blockieren, bis der Besucher über ein ordnungsgemäß gestaltetes Banner zustimmt.
Empfohlen wird die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit Paragraf 25 TTDSG für jeden Lese oder Schreibvorgang auf dem Endgerät. Das berechtigte Interesse ist riskant: der Drittlandtransfer in die USA, auch unter DPF, lässt sich gegenüber dem Interesse des Besuchers an der Privatsphäre schwer rechtfertigen, zumal eine selbst gehostete Alternative die Anfrage ersetzen könnte.
Ja. Adobe Inc. ist ein US Unternehmen und verarbeitet Adobe Fonts Anfragen über US Infrastruktur. Seit Juli 2023 ist Adobe im EU US Data Privacy Framework selbst zertifiziert, was eine Angemessenheitsentscheidung für Übermittlungen an zertifizierte Adobe Stellen liefert. Adobe bietet zusätzlich Standardvertragsklauseln für Kunden an, die weitere Schutzmaßnahmen wünschen oder benötigen.
Eine eigenständige DSFA ist für die Einbettung von Adobe Fonts auf einer typischen Informations oder Marketing Website in der Regel nicht erforderlich. Die Verarbeitung ist in Umfang und Risiko begrenzt. Wird Adobe Fonts mit umfassenderem Tracking aus der Adobe Experience Cloud kombiniert oder auf einer Hochrisikoseite (Gesundheit, Behörde, großflächiges Profiling) eingesetzt, kann die kumulative Wirkung dazu führen, das Thema in eine umfassendere DSFA aufzunehmen.
Binden Sie das Adobe Fonts Skript und den CSS Link in einen Consent Gate ein, sodass die Ressourcen erst nach Zustimmung zur passenden Kategorie geladen werden. Nennen Sie Adobe Inc. in der Datenschutzerklärung als Empfänger und beschreiben Sie den Transfer (IP, URL, User Agent) sowie die Grundlage (SCC oder DPF). Führen Sie die typekit.net Domains in der Cookie Richtlinie als einwilligungspflichtige Drittressourcen auf.
Die stärkste Alternative für die DSGVO ist das Self Hosting der Schriften. Viele freie Schriften (Inter, Roboto, IBM Plex, Source Sans, Public Sans) lassen sich herunterladen und vom eigenen Server ausliefern, womit der Drittlandtransfer entfällt. Manche Adobe Fonts Lizenzen erlauben außerdem das Verpacken und Self Hosting bestimmter Schriftdateien. Google Fonts ist keine bessere Alternative, da dieselben rechtlichen Fragen bestehen.
Fügen Sie einen eigenen Eintrag in der Kategorie Funktional oder Präferenzen ein. Nennen Sie den Anbieter (Adobe Inc., 345 Park Avenue, San Jose, CA 95110, USA), die Domains (use.typekit.net, p.typekit.net, fonts.adobe.com), den Zweck (Auslieferung von Webschriften und Nutzungsmessung), den Transfermechanismus (EU US Data Privacy Framework oder SCC) und die von Adobe angewandte Speicherdauer.