Wenige Datenschutzthemen haben in der DACH-Region so viel Verunsicherung ausgelöst wie die Einbindung von Google Fonts. Ausgangspunkt war ein Urteil des Landgerichts München I aus dem Jahr 2022, das einer Website-Besucherin Schadenersatz zusprach, weil ihre IP-Adresse durch das dynamische Nachladen einer Google-Schriftart ohne Einwilligung an einen Google-Server in den USA übertragen worden war. In der Folge verschickten Abmahnkanzleien und einzelne Akteure tausende Schreiben mit Schadenersatzforderungen. Unabhängig davon, wie man die Massenabmahnungen rechtlich bewertet: Das technische Risiko ist real und vollständig vermeidbar.
Das technische Problem in einem Satz
Wenn Sie Google Fonts über die klassische Methode einbinden — einen Link auf fonts.googleapis.com im HTML oder ein @import in der CSS — lädt der Browser jedes Besuchers die Schriftdatei direkt von einem Google-Server. Dabei übermittelt er zwangsläufig die IP-Adresse des Besuchers an Google. Die IP-Adresse ist nach gefestigter Rechtsprechung ein personenbezogenes Datum. Es findet also eine Datenübermittlung an einen Drittanbieter — und in ein Drittland — statt, bevor der Besucher irgendetwas zustimmen konnte. Genau hier liegt der DSGVO-Verstoss.
Die Lösung: Schriften lokal selbst hosten
Die saubere und endgültige Lösung heisst Self-Hosting. Statt die Schrift von Google laden zu lassen, legen Sie die Schriftdateien auf Ihren eigenen Server und liefern sie von dort aus. Damit verlässt keine Besucher-IP Ihre eigene Infrastruktur, und das Problem verschwindet vollständig — kein Cookie-Banner, keine Einwilligung, keine Drittlandübermittlung für die Schrift.
Praktisch gehen Sie so vor: Laden Sie die benötigten Schriftschnitte als WOFF2-Dateien herunter. Tools wie der google-webfonts-helper erzeugen Ihnen das passende CSS mit @font-face-Regeln und die Dateien in einem Paket. Legen Sie die Dateien in ein Verzeichnis Ihres Projekts, binden Sie das lokale CSS ein und entfernen Sie jeden Verweis auf fonts.googleapis.com und fonts.gstatic.com. Beschränken Sie sich auf die Schnitte, die Sie wirklich nutzen — jeder zusätzliche Schnitt kostet Ladezeit.
Moderne Frameworks erledigen das automatisch
Wer auf einem modernen Framework baut, bekommt Self-Hosting praktisch geschenkt. Next.js etwa lädt mit dem next/font-Modul Google-Schriften zur Build-Zeit herunter und liefert sie selbst gehostet aus, inklusive automatischer Optimierung. Es findet zur Laufzeit keine Anfrage an Google statt. Wichtig ist nur, dass im fertigen Build tatsächlich keine externen Font-Requests mehr auftauchen — das prüfen Sie mit einem Blick in den Netzwerk-Tab der Browser-Entwicklertools: Es darf keine Anfrage an eine Google-Domain für Schriften erscheinen.
Was sonst noch zu prüfen ist
Google Fonts ist selten allein. Dieselbe Logik gilt für alles, was Ihre Seite ungefragt von Dritt-Servern nachlädt: eingebettete YouTube-Videos im Standardmodus, Google Maps, externe Icon-Bibliotheken, CDN-gehostete JavaScript-Bibliotheken, Schriftdienste anderer Anbieter. Erstellen Sie eine kurze Inventarliste aller externen Ressourcen Ihrer Startseite und Ihrer meistbesuchten Unterseiten. Alles, was vor der Einwilligung lädt und personenbezogene Daten übermittelt, gehört entweder self-hosted, hinter eine Einwilligung oder in eine datenschutzfreundliche Variante (etwa YouTube im erweiterten Datenschutzmodus, Karten als statisches Bild mit Klick-Ladung).
Fazit
Die Google-Fonts-Frage ist kein juristisches Glücksspiel, sondern eine technische Aufgabe mit einer eindeutigen Lösung. Hosten Sie Schriften lokal, prüfen Sie den Netzwerkverkehr Ihrer Seite und dokumentieren Sie in Ihrer Datenschutzerklärung ehrlich, welche externen Dienste Sie noch einsetzen. Wer das einmal sauber aufsetzt, nimmt sich nicht nur das Abmahnrisiko, sondern verbessert nebenbei die Ladezeit und die Datensouveränität der eigenen Website. Privacy by Design ist hier kein Schlagwort, sondern die billigste verfügbare Versicherung.
Schritt-für-Schritt-Checkliste
So gehen Sie das Thema strukturiert an. Erstens: Bestandsaufnahme — öffnen Sie die Entwicklertools Ihres Browsers, laden Sie Ihre wichtigsten Seiten und filtern Sie die Netzwerkanfragen nach Schriften und externen Domains. Notieren Sie jede Anfrage an fonts.googleapis.com, fonts.gstatic.com oder andere Drittanbieter. Zweitens: Schriften lokalisieren — laden Sie die benötigten Schnitte als WOFF2 herunter und binden Sie sie über lokale @font-face-Regeln ein. Drittens: alle externen Verweise entfernen und den Build erneut prüfen, bis keine Google-Schrift-Anfrage mehr erscheint. Viertens: dasselbe für andere externe Ressourcen wiederholen. Fünftens: die Datenschutzerklärung aktualisieren, sodass sie den tatsächlichen Zustand abbildet.
Rechtlich ist die Lage zweigeteilt. Dass das dynamische Laden ohne Einwilligung problematisch ist, ist breit anerkannt. Ob jede der versendeten Massenabmahnungen berechtigt war und ob der geforderte Schadenersatz Bestand hat, ist eine andere Frage — viele Gerichte haben rechtsmissbräuchliche Massenabmahnungen kritisch gesehen. Für Sie als Website-Betreiber ist die Konsequenz dennoch eindeutig: Die billigste und sicherste Reaktion ist nicht der Streit über die Abmahnung, sondern die technische Beseitigung der Ursache. Eine self-hosted Schrift kann nicht abgemahnt werden.
Wer eine konkrete Abmahnung erhält, sollte sie nicht ignorieren, aber auch nicht vorschnell zahlen — eine kurze anwaltliche Einschätzung ist hier sinnvoll, weil pauschale Forderungen oft überhöht sind. Parallel beseitigen Sie umgehend die technische Ursache, damit der Verstoss für die Zukunft ausgeschlossen ist. Diese Einordnung ist eine fachliche Orientierung und ersetzt keine Rechtsberatung im Einzelfall.
Als angenehmen Nebeneffekt verbessert das Self-Hosting fast immer die Performance. Externe Schrift-Requests blockieren das Rendering und kosten kostbare Millisekunden in den Core Web Vitals; selbst ausgelieferte, auf die genutzten Schnitte reduzierte WOFF2-Dateien laden schneller und vermeiden einen zusätzlichen DNS-Lookup. Wer das einmal sauber aufsetzt, gewinnt also doppelt: rechtliche Sicherheit und messbar bessere Ladezeiten. Richten Sie zur Kontrolle eine wiederkehrende Prüfung ein — etwa nach jedem grösseren Relaunch ein Blick in den Netzwerk-Tab — damit sich nicht über ein neues Plugin oder ein eingebettetes Drittelement unbemerkt wieder ein externer Schrift-Request einschleicht.