Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Google Fonts

Was macht Google Fonts?

Google Fonts ist ein kostenloser Schriftarten-Hosting-Dienst von Google. Werden Schriften über das Google-Fonts-CDN geladen, werden die IP-Adressen der Besucher an Server von Google in den USA übermittelt. Das Landgericht München I hat diese Praxis im Januar 2022 als DSGVO-widrig eingestuft. Die Lösung ist einfach: Schriftartdateien herunterladen und auf dem eigenen Server selbst hosten. Selbst gehostete Google Fonts haben keinerlei DSGVO-Auswirkungen. Tools wie google-webfonts-helper machen Download und CSS-Einrichtung trivial.

Was sind Google Fonts?

Google Fonts ist ein kostenloser Webfont-Dienst von Google mit mehr als 1.500 Schriftfamilien. Webentwickler binden die Schriften traditionell über ein HTML-Link-Tag ein, das auf fonts.googleapis.com zeigt. Bei jedem Seitenaufruf ruft der Browser des Besuchers die Schriftartdateien direkt von Googles Content-Delivery-Network ab. Diese Anfrage überträgt dabei automatisch die IP-Adresse des Besuchers an Google-Server in den USA.

Das DSGVO-Problem mit CDN-geladenen Schriften

Wenn Google Fonts vom CDN geladen werden, wird die IP-Adresse des Besuchers an Google-Server in den USA übermittelt. Eine IP-Adresse gilt nach der DSGVO als personenbezogenes Datum. Diese Übermittlung erfolgt ohne Einwilligung des Nutzers und ohne angemessene Rechtsgrundlage für den Drittlandtransfer. Das Landgericht München I hat in seinem Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) diese Praxis ausdrücklich als DSGVO-widrig eingestuft und dem Websitebetreiber 100 Euro Schadensersatz auferlegt.

Das Münchner Urteil und seine Folgen

Das Urteil des Landgerichts München I hat weitreichende Konsequenzen für deutsche und europäische Websitebetreiber ausgelöst. Abmahnwellen folgten dem Urteil, und mehrere deutsche Datenschutzbehörden haben ihre Empfehlung bekräftigt, Google Fonts stets selbst zu hosten. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) und weitere Aufsichtsbehörden haben klargestellt, dass der Einsatz von CDN-geladenen Google Fonts ohne Einwilligung rechtswidrig ist. Das Urteil hat Zehntausende europäische Websites dazu veranlasst, auf selbst gehostete Schriften umzusteigen.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Google Fonts selbst hosten: Schritt für Schritt

Die technische Umsetzung ist einfach: Besuchen Sie google-webfonts-helper, wählen Sie die gewünschten Schriften und Schnitte aus und laden Sie das ZIP-Archiv herunter. Laden Sie die Schriftartdateien auf Ihren eigenen Server hoch (z. B. in ein Verzeichnis /fonts/). Kopieren Sie den generierten @font-face-CSS-Code in Ihr Stylesheet. Entfernen Sie alle Link-Tags und preconnect-Hinweise auf fonts.googleapis.com und fonts.gstatic.com aus Ihrem HTML. Überprüfen Sie anschließend in den Browser-Entwicklertools, dass keinerlei Anfragen mehr an Google-Domains gesendet werden.

Datentransfers und Rechtsgrundlage

CDN-geladene Google Fonts übermitteln IP-Adressen in die USA, ohne dass Standardvertragsklauseln (SCCs) oder eine Einwilligung die Übermittlung abdecken. Die selbst gehostete Variante eliminiert diesen Transfer vollständig. Selbst gehostete Google Fonts senden keinerlei Daten an Google, da alle Schriftdateien vom eigenen Server ausgeliefert werden. Dies ist die einzige Methode, die eine vollständige DSGVO-Konformität ohne Einwilligungsbanner gewährleistet.

Praktische Compliance-Maßnahmen

Empfohlene Vorgehensweise: Wechseln Sie sofort auf selbst gehostete Schriften, denn das ist die einfachste und sauberste Lösung. Verwenden Sie das WOFF2-Format für optimale Komprimierung und Browserunterstützung. Setzen Sie font-display: swap, um unsichtbaren Text während des Ladens zu verhindern. Fügen Sie rel=preload für kritische Schriften hinzu, um die Performance zu optimieren. Führen Sie nach der Umstellung einen Cookie-Scan durch, um sicherzustellen, dass keine Anfragen mehr an Google-Domains gesendet werden. Aktualisieren Sie Ihre Datenschutzerklärung entsprechend.

GDPR consent category

Essenziell

Websites using Google Fonts must obtain user consent under GDPR regulations.

Legal basisSelf-hosted Google Fonts: no consent required, no GDPR implications. CDN-loaded Google Fonts: the Munich court ruled consent is required before fonts load from Google CDN. Legitimate interest was rejected as the legal basis. Self-hosting is the recommended compliant approach — download font files and serve from your own domain.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive. Landgericht München I January 2022 ruling. German DPA guidance on Google Fonts.

DPIA considerations

Für selbst gehostete Google Fonts ist keine Datenschutz-Folgenabschätzung (DSFA) erforderlich. Für CDN-geladene Google Fonts zeigt das Münchner Urteil die Nichtkonformität ohne Einwilligung. Self-Hosting ist die empfohlene Lösung ohne Einwilligungsanforderung.

Sample consent text

Diese Website lädt Schriftarten vom Google-Fonts-CDN. Google kann Ihre IP-Adresse auf US-Servern verarbeiten, wenn diese Schriftarten geladen werden. Akzeptieren Sie funktionale Cookies, um Google Fonts zu laden, oder die Website verwendet stattdessen Systemschriftarten.

Technical details

Tracking methodGoogle Fonts CDN API request, IP address logging by Google servers, browser metadata collection

Server locationUnited States (Google CDN infrastructure)

Cookieless tracking availableYes

Data transferred outside the EUWhen fonts are loaded from the Google Fonts CDN (fonts.googleapis.com), visitor IP addresses are transmitted to and logged by Google servers in the US. This constitutes personal data transfer under GDPR. Self-hosting font files on your own server eliminates this transfer entirely. The Landgericht München I ruled in January 2022 that loading Google Fonts via CDN without consent violates GDPR.

Third-party domains contacted

fonts.googleapis.comfonts.gstatic.com

Cookies placed

Name	Type	Duration	Purpose
NID	persistent	6 months	Google NID cookie set when loading fonts from Google Fonts CDN — eliminated by self-hosting fonts

Google Fonts ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Sind Google Fonts DSGVO-konform, wenn sie vom CDN geladen werden?

Nein, gemäß dem Urteil des Landgerichts München I vom Januar 2022 und mehreren Leitlinien deutscher Datenschutzbehörden. Das Laden von Google Fonts über das CDN überträgt die IP-Adressen der Besucher ohne Rechtsgrundlage an US-Server von Google. Self-Hosting ist die konforme Lösung.

Was besagt das Münchner Urteil zu Google Fonts?

Das Landgericht München I hat am 20. Januar 2022 (Az. 3 O 17493/20) entschieden, dass das dynamische Laden von Google Fonts aus dem CDN von Google gegen die DSGVO verstößt. Das Gericht stellte fest, dass die IP-Adressen-Übermittlung eine rechtswidrige Übertragung personenbezogener Daten darstellt und sprach 100 Euro Schadensersatz zu. Das Urteil hat Zehntausende europäische Websites dazu veranlasst, auf selbst gehostete Schriften umzustellen.

Wie kann ich Google Fonts selbst hosten?

1) Besuchen Sie google-webfonts-helper, wählen Sie Schriften und Schnitte, laden Sie das ZIP herunter. 2) Laden Sie die Schriftdateien auf Ihren Server hoch (z. B. /fonts/). 3) Kopieren Sie den generierten @font-face-CSS in Ihr Stylesheet. 4) Entfernen Sie alle Google-Fonts-Link-Tags und Preconnect-Tags aus Ihrem HTML. 5) Überprüfen Sie in den Browser-Entwicklertools, dass keine Anfragen mehr an fonts.googleapis.com oder fonts.gstatic.com gesendet werden.

Beeinträchtigt das Self-Hosting von Google Fonts die Performance?

Selbst gehostete Schriften laden typischerweise gleich schnell oder schneller als CDN-Schriften, da ein domainübergreifender DNS-Lookup und TLS-Handshake entfallen. Verwenden Sie das WOFF2-Format für beste Komprimierung, font-display: swap zur Vermeidung unsichtbaren Texts und rel=preload für kritische Schriften. Das Performance-Argument für die Nutzung des CDN ist weitgehend ein Mythos.

Setzen Google Fonts Cookies?

CDN-geladene Google Fonts setzen keine Cookies, übermitteln jedoch IP-Adressen an Google. Das DSGVO-Problem ist die IP-Adressen-Übermittlung an US-Server von Google, nicht die Cookie-Setzung. Selbst gehostete Schriften haben keinerlei Datenübermittlung an Google.

Was ist, wenn ich Google Fonts nach Einwilligung laden möchte?

Technisch ist das Laden von Google Fonts nach einer funktionalen Einwilligung konform. Dies führt jedoch zu einer schlechten Nutzererfahrung (Schriften erscheinen nicht oder wechseln nach Einwilligung) und ist operativ komplex. Self-Hosting ist wesentlich einfacher und liefert dasselbe visuelle Ergebnis.

Gilt dieses Urteil außerhalb Deutschlands?

Das Münchner Urteil ist eine deutsche Gerichtsentscheidung, spiegelt aber DSGVO-Grundsätze wider, die in der gesamten EU gelten. Deutsche Datenschutzbehörden haben Leitlinien im Einklang mit dem Urteil veröffentlicht. Die CNIL (Frankreich), AP (Niederlande) und DSB (Österreich) kommen bei Third-Party-Schrift-CDNs zu ähnlichen Schlussfolgerungen. Self-Hosting wird unabhängig vom Rechtsgebiet empfohlen.

Gibt es andere Schrift-CDNs mit demselben DSGVO-Problem?

Ja. Jede Schrift, die von einem Drittanbieter-CDN geladen wird, das IP-Adressen protokolliert, schafft ein ähnliches DSGVO-Problem: Adobe Fonts (Typekit), Font Awesome CDN und andere. Bunny Fonts bietet als CDN-Alternative einen Drop-in-Ersatz für Google Fonts ohne IP-Protokollierung an. Self-Hosting bleibt die sauberste Lösung.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note