blueredix logo
SCAN Schwachstellenscans auf Abruf ab 149 €
high gdpr-google-fonts-embedded

Google Fonts vom Google-Server geladen

Werden Google Fonts direkt von Google geladen, geht die IP-Adresse jeder Besucherin ohne Einwilligung an Google. Das LG München I hat 100 € Schadensersatz für einen einzigen Request verhängt. Lösung: selbst hosten.

Worum es geht

Ihre Seite bindet Google Fonts auf die Art ein, die Googles Dokumentation empfiehlt:

<link href="https://fonts.googleapis.com/css?family=Inter" rel="stylesheet">

Oder per @import url('https://fonts.googleapis.com/css...') im CSS. Beides führt dazu, dass der Browser jeder Besucherin die Stylesheet-Datei und anschließend die Schriftdateien von Googles Servern lädt. IP-Adresse, User-Agent und Referrer gehen damit ohne Einwilligung an Google.

Warum das wichtig ist

Das ist der meistzitierte DSGVO-Befund der deutschen Zivilrechtsprechung der letzten Jahre. Leitfall: LG München I, 3 O 17493/20 (Urteil vom 20. Januar 2022). Das Gericht hat dem Seitenbetreiber 100 € Schadensersatz, Unterlassung und Anwaltskosten für einen einzigen Besuch auferlegt, bei dem Google Fonts vom Google-Server nachgeladen wurden.

Begründung des Gerichts:

  • Das Nachladen der Schrift überträgt die IP-Adresse an Google, einen Dritten in den USA.
  • Die IP-Adresse ist personenbezogenes Datum (entschieden in Breyer).
  • Ohne Einwilligung fehlt die Rechtsgrundlage für die Übertragung.
  • Eine “Anonymisierung durch Google nach Empfang” ist für die Rechtmäßigkeit der Übertragung selbst irrelevant.
  • Die Besucherin erlitt einen immateriellen Schaden, ersatzfähig nach Art. 82 DSGVO.

Massenhafte Abmahnwellen folgten kurz darauf. Die meisten wurden vor Gericht als rechtsmissbräuchlich abgewiesen, die rechtliche Grundlage hat sich aber in der Folgerechtsprechung bestätigt.

So beheben Sie das

Schriften selbst hosten. Das sind zehn Minuten.

  1. Auf google-webfonts-helper oder dem Bunny.net-Mirror unter fonts.bunny.net gehen.
  2. Familie und Schnitte wählen, die Sie wirklich benutzen.
  3. ZIP-Datei mit den WOFF2-Dateien herunterladen.
  4. Dateien nach /public/fonts/ (oder wo Sie statische Assets ausliefern) kopieren.
  5. Im CSS den @import durch @font-face-Deklarationen ersetzen, die auf die lokalen Dateien zeigen.

Typischer Block:

@font-face {
  font-family: 'Inter';
  font-style: normal;
  font-weight: 400;
  src: url('/fonts/Inter-Regular.woff2') format('woff2');
  font-display: swap;
}

Oder Bunny Fonts als Drop-in nutzen. Wer wirklich nicht selbst hosten möchte, kann auf den Bunny.net-Fonts-CDN unter fonts.bunnycdn.com ausweichen. Er liefert dieselbe Google-Fonts-Bibliothek aus europäischer Infrastruktur ohne Logging und mit öffentlicher Privacy-Zusicherung. URL von fonts.googleapis.com auf fonts.bunny.net umstellen, und die deutsche Rechtsexposition entfällt.

WordPress-Nutzer:innen mit Avada, Divi, Astra, GeneratePress oder OceanWP aktivieren im Theme den Schalter “Schriften lokal laden” oder “Google Fonts selbst hosten”. Jede aktuelle Theme-Version hat ihn.

Mehr dazu