§DSGVO.pro
Zum Blog
Datenschutz10. April 2026 · 4 Min. Lesezeit

Google Fonts und DSGVO: Warum CDN-Einbindung ein Verstoß ist — und wie Sie ihn schließen

Google Fonts via CDN überträgt IP-Adressen ans Google in die USA. LG München I 2022 hat das als DSGVO-Verstoß bestätigt. Wie Sie Google Fonts lokal hosten — Schritt für Schritt.

Google Fonts und DSGVO: Warum CDN-Einbindung ein Verstoß ist — und wie Sie ihn schließen

Google Fonts ist der beliebteste Schriftarten-Dienst im Web — und eine der häufigsten DSGVO-Fallen für deutsche Website-Betreiber. Das Problem: Wer Google Fonts direkt von Googles Servern lädt, überträgt automatisch die IP-Adresse jedes Besuchers an Google in den USA — ohne Einwilligung des Nutzers.

Was passiert technisch

Wenn Sie in Ihrem CSS oder HTML fonts.googleapis.com verwenden, lädt jeder Besucher Ihrer Website die Schriftart direkt von Googles Servern. Dabei überträgt der Browser automatisch:

  • Die IP-Adresse des Besuchers
  • Den User-Agent (Browser und Betriebssystem)
  • Die aufgerufene Seite Ihrer Website
  • Den Referrer, sofern gesetzt

Das ist eine Datenübermittlung in ein Drittland (USA) — nach DSGVO Art. 44 ff. nur unter bestimmten Bedingungen (SCC, EU-US Data Privacy Framework, ausdrückliche Einwilligung) erlaubt.

Das Urteil des LG München I

Im Januar 2022 entschied das Landgericht München I (Urteil vom 20.01.2022, Az. 3 O 17493/20): Der Einsatz von Google Fonts ohne Einwilligung des Nutzers verletzt das Recht auf informationelle Selbstbestimmung. Das Gericht sprach dem Kläger einen Schadensersatz in Höhe von 100 Euro zu.

Nach der Entscheidung kursierten in Deutschland zahlreiche Abmahnschreiben mit Forderungen zwischen €100 und €170 pro betroffener Website.

Die Lösung: Lokales Hosting

Die einfachste und sicherste Lösung ist, Google Fonts lokal zu hosten — also die Schriftdateien auf Ihrem eigenen Server zu speichern und von dort auszuliefern.

Schritt 1: Schriftart herunterladen

Nutzen Sie google-webfonts-helper — dort laden Sie jede Google Font mit dem passenden CSS-Snippet herunter.

Schritt 2: Dateien hochladen

Legen Sie die .woff2-Dateien in Ihrem Projekt ab, z. B. unter /fonts/.

Schritt 3: CSS anpassen

Ersetzen Sie den Google-Link durch eine lokale @font-face-Deklaration:

@font-face {
  font-family: 'Inter';
  font-style: normal;
  font-weight: 400;
  src: url('/fonts/inter-400.woff2') format('woff2');
}

Schritt 4: Google-Link entfernen

Entfernen Sie alle <link>-Tags zu fonts.googleapis.com aus Ihrem HTML. Auch alle Aufrufe an fonts.gstatic.com müssen verschwinden — das ist die zweite Google-Domain für Font-Auslieferung.

Was ist mit anderen externen Ressourcen

Das gleiche Prinzip gilt für alle externen Drittanbieter-Ressourcen, die User-Daten ins Drittland übertragen:

  • Google reCAPTCHA — Lokale Alternativen (Friendly Captcha, hCaptcha mit DACH-Hosting) oder Consent-Gate
  • YouTube-Embedsyoutube-nocookie.com Variante oder Consent-Gate
  • Facebook Pixel / Meta Pixel — Consent-pflichtig nach TDDDG + DSGVO
  • CDN-gehostete Bibliotheken (jsDelivr, cdnjs, unpkg) — lokal hosten oder durch self-hosted Build ersetzen

Im Gesetzestext nachlesen

Häufige Fragen

Ist Google Fonts über das CDN ein DSGVO-Verstoß?

Ja, wenn die Schriften ohne Einwilligung direkt von Googles Servern geladen werden. Dabei wird die IP-Adresse des Besuchers in die USA übertragen. Das LG München I hat das 2022 als Verletzung des Rechts auf informationelle Selbstbestimmung gewertet.

Wie hoste ich Google Fonts lokal?

Lade die Schriftdateien herunter — etwa über google-webfonts-helper —, lege die .woff2-Dateien auf deinem eigenen Server ab und binde sie per lokaler @font-face-Deklaration ein. Anschließend entfernst du alle Links zu fonts.googleapis.com und fonts.gstatic.com.

Was hat das LG München I entschieden?

Mit Urteil vom 20.01.2022 (Az. 3 O 17493/20) sprach das Gericht einem Kläger 100 € Schadensersatz zu, weil eine Website Google Fonts ohne Einwilligung über das CDN eingebunden hatte. Danach folgten zahlreiche Abmahnschreiben mit Forderungen zwischen 100 und 170 €.

Reicht ein Cookie-Banner, um Google Fonts zu erlauben?

Nur eingeschränkt — und nur mit echter vorheriger Einwilligung, bevor die Schrift geladen wird. Sicherer und wartungsärmer ist das lokale Hosting, weil dann gar keine Daten an Google übertragen werden.

Betrifft das nur Google Fonts?

Nein. Dasselbe gilt für alle externen Ressourcen, die Nutzerdaten ins Drittland übertragen — etwa Google reCAPTCHA, YouTube-Embeds, Meta Pixel oder über ein CDN geladene JavaScript-Bibliotheken. Lokales Hosting oder ein Consent-Gate lösen das Problem.

Tipp: Unser Scanner detektiert alle externen Ressourcen Ihrer Website inklusive Google Fonts und liefert die Quelle pro Verstoß. Jetzt kostenlos prüfen →

Verwandte Themen

Ab 19. Juni 2026 gilt die Widerrufsbutton-Pflicht (§ 356a BGB) — fehlende Umsetzung ist abmahnfähig. Prüfen Sie Ihre Website, bevor es ein Wettbewerber tut.

Ähnliche Artikel

Weiterlesen

Datenschutzerklärung-Vollständigkeit: Wie Sie Ihre /datenschutz-Seite mit der technischen Realität abgleichen
Datenschutz3. Mai 2026 · 6 Min.

Datenschutzerklärung-Vollständigkeit: Wie Sie Ihre /datenschutz-Seite mit der technischen Realität abgleichen

DSGVO Art. 13/14 verlangt vollständige Auflistung aller Datenverarbeiter in der Datenschutzerklärung. Wer Google Analytics nutzt, aber nicht erwähnt, riskiert Bußgelder durch die Datenschutzaufsicht. Wie Sie Ihre /datenschutz-Seite mit der technischen Realität abgleichen.

Weiterlesen
Die 6 Gesetze, die jede deutsche Website kennen muss
Datenschutz16. April 2026 · 4 Min.

Die 6 Gesetze, die jede deutsche Website kennen muss

DSGVO, BDSG, TDDDG, DDG, KI-VO, BFSG — sechs Gesetze, die jeden deutschen Website-Betreiber betreffen. Wir erklären, welchen Bereich jedes Gesetz regelt und welche Pflichten daraus für Ihre Website konkret folgen.

Weiterlesen
Newsletter · monatlich

Compliance-Neuigkeiten per E-Mail

Updates zu Gesetzes­änderungen, Urteilen und Datenschutz-Tipps.