Google Fonts und DSGVO: Sind eingebundene Schriften abmahnbar?

Bindet deine Website Google Fonts direkt von Google-Servern ein, wird bei jedem Seitenaufruf die IP-Adresse deiner Besucher ungefragt in die USA übertragen. Genau das gilt seit dem Urteil des LG München I als datenschutzrechtlich problematisch — und löste 2022 eine Welle von Abmahnungen aus. Die gute Nachricht: Das Problem ist in unter einer Stunde behoben.

  • Erkennt externe Font-Aufrufe automatisch
  • Sofort-Report
  • Server in Deutschland 🇩🇪
  • Keine Speicherung deiner Daten

Lädt deine Seite Google Fonts extern? Jetzt prüfen

URL eingeben, in 60 Sekunden siehst du, ob deine Website Schriften direkt von fonts.googleapis.com oder fonts.gstatic.com lädt — kostenlos und ohne Registrierung.

Warum Google Fonts zum DSGVO-Problem wurden

Google Fonts ist die meistgenutzte Webschrift-Bibliothek der Welt. Über 1.700 kostenlose Schriftarten lassen sich mit einer einzigen Zeile Code einbinden — kein Wunder, dass Millionen Websites genau das tun. Der Standard-Weg, den Google selbst vorschlägt, lädt die Schriftdateien aber bei jedem Seitenaufruf direkt von Google-Servern: über die Domains fonts.googleapis.com und fonts.gstatic.com.

Das klingt harmlos, hat aber eine technische Konsequenz: Damit der Browser die Schrift abrufen kann, muss er eine Verbindung zu Google aufbauen — und dabei wird die IP-Adresse des Besuchers automatisch und unvermeidlich an Google übertragen. Diese Server stehen teils in den USA. Die IP-Adresse gilt nach ständiger Rechtsprechung als personenbezogenes Datum im Sinne der DSGVO. Eine Datenübermittlung an einen Dritten in einem Drittland — ohne dass der Besucher gefragt wurde und ohne dass er es verhindern könnte.

Genau hier liegt das Problem. Anders als bei Tracking-Cookies, die man theoretisch erst nach einer Einwilligung setzen könnte, passiert die IP-Übertragung beim direkten Font-Laden bevor der Besucher überhaupt mit einem Cookie-Banner interagieren kann. Sie ist Teil des Rendering-Vorgangs. Damit lässt sie sich nicht durch Einwilligung legitimieren — es bleibt nur, die Schriften gar nicht erst extern zu laden.

Lädt deine Website Google Fonts extern? So erkennst du es

Bevor du irgendetwas änderst, solltest du wissen, ob das Problem deine Seite überhaupt betrifft. Es gibt zwei einfache Wege, das selbst zu prüfen:

1. Quelltext durchsuchen

Öffne deine Seite im Browser und schau dir den Quelltext an (Rechtsklick → „Seitenquelltext anzeigen" oder Strg+U). Suche mit Strg+F nach fonts.googleapis.com. Findest du eine Zeile wie <link href="https://fonts.googleapis.com/css2?family=Roboto"> oder einen @import-Aufruf im CSS, lädt deine Seite Schriften extern.

2. Netzwerk-Analyse in den Entwicklertools

Drücke F12, wechsle auf den Reiter Netzwerk (Network), lade die Seite neu und filtere nach fonts.googleapis oder gstatic. Jede Anfrage, die hier auftaucht, ist ein direkter Aufruf an Google. Das ist auch die Methode, mit der ein Abmahn-Anwalt einen Verstoß dokumentiert — und mit der du nach der Korrektur prüfst, ob wirklich keine Aufrufe mehr stattfinden.

Wer es nicht manuell machen will: Der DSGVO Risk Checker übernimmt beide Prüfungen automatisch und sagt dir in 60 Sekunden, ob deine Seite betroffen ist.

Sicher gehen statt raten

Gib deine URL ein — der Checker durchsucht Quelltext und Netzwerk-Anfragen nach externen Font-Aufrufen und zeigt dir das Ergebnis sofort.

Das Urteil des LG München I — und was es bedeutet

Der Auslöser für die ganze Debatte war ein Urteil des Landgerichts München I vom 20. Januar 2022 (Az. 3 O 17493/20). Ein Websitebesucher hatte geklagt, weil eine Seite seine IP-Adresse durch die direkte Einbindung von Google Fonts ohne seine Einwilligung an Google übermittelt hatte. Das Gericht gab ihm recht: Die Übertragung der IP-Adresse stelle einen Eingriff in das allgemeine Persönlichkeitsrecht dar, für den es keine Rechtsgrundlage gab. Dem Kläger wurden 100 Euro Schadensersatz zugesprochen sowie ein Unterlassungsanspruch.

Wichtig zur Einordnung: Es handelt sich um ein erstinstanzliches Urteil eines Landgerichts, keine höchstrichterliche Grundsatzentscheidung. Es bindet andere Gerichte nicht. Trotzdem ist die rechtliche Bewertung — IP-Adresse ist personenbezogen, ungefragte Übermittlung an Google ist problematisch — bei Datenschützern und in der Fachliteratur breit anerkannt. In der Praxis sollte man die direkte Einbindung daher als vermeidbares Risiko behandeln, nicht als pauschal „illegal" und auch nicht als folgenlos.

Die Abmahnwelle 2022 und das Risiko heute

Kurz nach dem Münchner Urteil begannen einzelne Kanzleien und selbsternannte „Datenschutz-Aktivisten", systematisch Websites zu scannen und massenhaft Abmahnschreiben zu verschicken. Das Muster: ein Schreiben, in dem unter Verweis auf das Urteil Schadensersatz und eine Unterlassungserklärung gefordert wurden — oft mit Beträgen zwischen 100 und 500 Euro pro Fall, plus Anwaltskosten.

Viele dieser Massen-Abmahnungen wurden später als rechtsmissbräuchlich eingestuft, weil sie offensichtlich nur auf das Erzeugen von Gebühren abzielten — etwa wenn dieselbe Person Tausende Seiten automatisiert „besucht" hatte. Mehrere Gerichte haben solche Forderungen abgewiesen. Das heißt aber nicht, dass das zugrunde liegende Problem verschwunden ist: Der Verstoß bleibt ein Verstoß, auch wenn die Abmahnwelle abgeebbt ist. Datenschutzbehörden können Verstöße aufgreifen, und seriöse Betroffene können weiterhin Ansprüche geltend machen.

Praktisch heißt das: Sich auf „die Abmahnwelle ist doch vorbei" zu verlassen, ist die falsche Strategie. Die Korrektur kostet eine knappe Stunde und beseitigt das Risiko dauerhaft — das ist günstiger und sicherer als jede Wette auf das Wohlwollen eines Abmahners oder einer Behörde.

Die Lösung: Google Fonts lokal hosten

Die saubere und allgemein empfohlene Lösung ist denkbar einfach im Prinzip: Statt die Schriften bei jedem Aufruf von Google zu laden, lädst du sie einmal herunter und lieferst sie von deinem eigenen Server aus. Damit findet überhaupt keine Verbindung zu Google mehr statt — keine IP-Übertragung, kein Drittland-Transfer, kein Verstoß.

Der grundsätzliche Ablauf, unabhängig von deinem System:

  1. Schriften herunterladen — die genutzten Schriftarten und Schnitte als Dateien beschaffen (idealerweise im modernen woff2-Format).
  2. Auf den eigenen Server legen — etwa in einen Ordner /fonts/.
  3. Per @font-face einbinden — im eigenen CSS deklarieren, statt die Google-CSS-Datei zu verlinken.
  4. Alle externen Verweise entfernen — jeden <link> und @import, der auf fonts.googleapis.com oder fonts.gstatic.com zeigt.
  5. Ergebnis prüfen — im Netzwerk-Tab dürfen keine Google-Font-Aufrufe mehr erscheinen.

Die konkreten Schritte mit Beispiel-Code beschreibt unsere Anleitung Google Fonts DSGVO-konform einbinden. Wer WordPress nutzt, folgt am besten der spezifischen Anleitung Google Fonts in WordPress DSGVO-konform machen — dort laden Themes und Plugins die Schriften oft an mehreren Stellen gleichzeitig.

Ein wichtiger Hinweis zur Klarstellung: Der DSGVO Risk Checker findet das Problem und ordnet es ein — er hostet die Schriften nicht für dich und ändert deinen Code nicht automatisch. Die Umstellung machst du (oder dein Webentwickler) selbst anhand der Anleitungen. Genau dafür ist der Befund da: damit du weißt, wo du ansetzen musst.

Was der DSGVO Risk Checker bei Google Fonts prüft

Damit du weißt, was du bekommst — ehrlich und ohne Übertreibung: Der Checker durchsucht den HTML-Quelltext deiner Seite und die tatsächlichen Netzwerk-Anfragen nach Aufrufen an fonts.googleapis.com und fonts.gstatic.com. Findet er solche Aufrufe, markiert er die „Google Fonts Direkt-Einbindung" als Verstoß, ordnet sie rechtlich ein (mit Verweis auf das Münchner Urteil) und nennt dir den Lösungsweg. Werden keine externen Font-Aufrufe gefunden, gilt dieser Prüfpunkt als bestanden.

Google Fonts ist dabei nur einer von über 60 technischen Prüfpunkten. Der Checker erkennt auch andere externe Ressourcen und Datenabflüsse — etwa Tracking-Skripte, eingebettete Karten oder Videos —, bei denen Besucherdaten ungefragt an Dritte gehen. Du bekommst einen priorisierten Überblick, was auf deiner Seite ein Risiko darstellt und in welcher Reihenfolge du es angehen solltest.

Prüfe in 60 Sekunden, ob deine Seite betroffen ist

Kostenloser Scan, kein Konto nötig, sofortiges Ergebnis.

  • Erkennt direkte Google-Fonts-Einbindung automatisch
  • Durchsucht Quelltext und echte Netzwerk-Anfragen
  • Rechtliche Einordnung statt nur „Fehler gefunden"
  • Konkreter Lösungsweg zum lokalen Hosten
  • 60+ weitere DSGVO-Prüfpunkte inklusive
  • Server in Deutschland — keine Speicherung deiner Inhalte

Häufige Fragen

Sind Google Fonts wirklich abmahnbar?

Die direkte Einbindung von Google Fonts gilt seit dem Urteil des LG München I (Az. 3 O 17493/20, Januar 2022) als datenschutzrechtlich problematisch. Das Gericht sah in der ungefragten Übermittlung der IP-Adresse an Google in den USA einen Verstoß gegen das Persönlichkeitsrecht und sprach dem Kläger 100 Euro Schadensersatz zu. Auf dieser Basis verschickten Abmahn-Kanzleien 2022 massenhaft Schreiben. Eine pauschale Garantie, dass jede Einbindung abgemahnt wird, gibt es nicht — das Risiko ist aber real und vermeidbar.

Woran erkenne ich, ob meine Website Google Fonts extern lädt?

Suche im Quelltext deiner Seite nach den Domains fonts.googleapis.com und fonts.gstatic.com. Typisch sind <link>-Tags wie <link href="https://fonts.googleapis.com/css2?family=Roboto"> im <head>. Alternativ öffnest du die Entwicklertools des Browsers (F12), gehst auf den Reiter Netzwerk und filterst nach „fonts.googleapis". Erscheinen dort Anfragen, lädt deine Seite Fonts extern. Der DSGVO Risk Checker prüft beides automatisch.

Reicht ein Cookie-Banner, um Google Fonts zu legitimieren?

Nein. Die IP-Übertragung an Google passiert beim direkten Laden der Schrift bereits vor jeder Interaktion mit einem Banner — sie ist technisch unvermeidlich, sobald die Seite rendert. Eine nachträgliche Einwilligung kann diese Übertragung nicht rückgängig machen. Die einzige saubere Lösung ist, die Schriften lokal vom eigenen Server auszuliefern.

Wie behebe ich das Problem?

Die Schriften werden lokal gehostet: herunterladen, auf den eigenen Server legen und per @font-face einbinden. Danach entfällt jeder Aufruf an Google-Server. Die Schritt-für-Schritt-Anleitung findest du auf unserer Seite „Google Fonts DSGVO-konform einbinden"; für WordPress gibt es eine eigene Anleitung.

Was prüft der DSGVO Risk Checker bei Google Fonts genau?

Der Checker durchsucht den HTML-Quelltext und die Netzwerk-Anfragen deiner Seite nach Aufrufen an fonts.googleapis.com und fonts.gstatic.com. Findet er solche Aufrufe, markiert er die direkte Einbindung als Verstoß und zeigt dir die rechtliche Einordnung sowie den konkreten Lösungsweg. Werden keine externen Font-Aufrufe gefunden, gilt die Prüfung als bestanden.

Gilt das auch für Schriften über andere CDNs, etwa Adobe Fonts oder Bootstrap-CDN?

Das Grundproblem ist jeder externe Ressourcen-Aufruf, bei dem die IP-Adresse des Besuchers ungefragt an einen Drittserver geht. Google Fonts ist der bekannteste Fall wegen der Münchner Rechtsprechung, aber dasselbe Prinzip betrifft jedes externe Font- oder Asset-CDN. Im Zweifel gilt: alles, was die Seite zum Rendern braucht, vom eigenen Server ausliefern.

Weiterführende Anleitungen

Google Fonts DSGVO-konform einbinden — Schritt für Schritt → Google Fonts in WordPress DSGVO-konform machen → Verwandt: Google Tag Manager und DSGVO → Verwandt: Google Maps und DSGVO → Verwandt: Google Analytics und DSGVO → Pillar: vollständiger DSGVO Check →