Google Fonts & DSGVO: Abmahnwelle vermeiden — Prüfung und Umstellung in 30 Minuten

Seit dem LG-München-Urteil vom Januar 2022 (Az. 3 O 17493/20) hat sich Google Fonts zum teuersten DSGVO-Problem für deutsche Website-Betreiber entwickelt. Anwaltskanzleien haben zehntausende Abmahnungen verschickt — jeweils mit Schadenersatzforderungen von 100 bis 500 Euro pro Betroffener. So prüfen und beheben Sie das Problem.

Was ist das Problem?

Wenn Sie Google Fonts über die Standard-Einbindung fonts.googleapis.com laden, passiert bei jedem Seitenaufruf Folgendes:

1. Der Browser des Besuchers sendet eine Anfrage an Google-Server
2. Google erhält dabei die IP-Adresse des Besuchers
3. Die IP-Adresse wird an Google LLC in den USA übermittelt
4. Dies geschieht ohne Einwilligung und ohne Rechtsgrundlage

Das LG München urteilte: Die IP-Adresse ist ein personenbezogenes Datum. Die Übermittlung an Google ohne Einwilligung verstößt gegen Art. 6 Abs. 1 DSGVO. Dem Kläger wurden 100 Euro Schadenersatz zugesprochen.

Wie prüfen Sie, ob Ihre Website betroffen ist?

Schnelltest (30 Sekunden)

1. Öffnen Sie Ihre Website in Chrome
2. Drücken Sie F12 (Entwickler-Tools)
3. Wechseln Sie zum Tab „Netzwerk" (Network)
4. Laden Sie die Seite neu (F5)
5. Filtern Sie nach „fonts.googleapis" oder „fonts.gstatic"

Wenn Ergebnisse erscheinen, laden Sie Google Fonts remote — und sind betroffen.

Wo Google Fonts häufig versteckt ist

Achtung: Google Maps lädt Roboto automatisch — auch wenn Sie die Schriftart nirgendwo eingebunden haben. Eine 2-Klick-Lösung für Maps behebt auch dieses Problem.

Die Lösung: Google Fonts lokal hosten

Schritt 1: Schriftarten herunterladen

Besuchen Sie google-webfonts-helper — ein kostenloses Tool, das die Schriftdateien und den passenden CSS-Code generiert:

1. Schriftart auswählen (z.B. „Open Sans")
2. Gewünschte Schriftschnitte auswählen (regular, bold, italic)
3. Zeichensatz: „latin" reicht für deutsche Websites
4. CSS-Code und Schriftdateien herunterladen

Schritt 2: Dateien auf dem eigenen Server ablegen

Laden Sie die WOFF2-Dateien in einen Ordner wie /fonts/ auf Ihrem Server hoch. Passen Sie die Pfade im CSS-Code an.

Schritt 3: Alte Einbindung entfernen

Entfernen Sie alle Referenzen zu Google-Servern:

• HTML: <link href="fonts.googleapis.com/..."> entfernen
• CSS: @import url('fonts.googleapis.com/...') entfernen
• WordPress: Plugin „OMGF" (Optimize My Google Fonts) automatisiert den Prozess
• Elementor: Einstellungen → Erweitert → „Google Fonts laden" → „Lokal"

Schritt 4: Verifizieren

Wiederholen Sie den Netzwerk-Test. Es dürfen keine Anfragen anfonts.googleapis.com oder fonts.gstatic.com mehr erscheinen.

Was tun bei einer Abmahnung?

• Nicht ignorieren: Auch wenn viele Abmahnungen rechtsmissbräuchlich sind, ist der zugrundeliegende Verstoß real
• Sofort beheben: Stellen Sie Google Fonts auf lokales Hosting um, bevor Sie auf die Abmahnung reagieren
• Anwalt einschalten: Viele der Massenabmahnungen wurden von Gerichten als rechtsmissbräuchlich eingestuft — aber das erfordert eine qualifizierte Verteidigung
• Nicht vorschnell zahlen: Unterlassungserklärungen binden Sie langfristig. Lassen Sie diese vor Unterzeichnung prüfen

Weitere externe Ressourcen prüfen

Neben dem manuellen Browser-Test können Sie Ihre Website auch automatisiert prüfen lassen: Der DSGVO Website-Check erkennt remote geladene Google Fonts und andere externe Ressourcen, die ohne Einwilligung Daten übermitteln.

Google Fonts ist der bekannteste Fall, aber das gleiche Problem betrifft alle externen Ressourcen, die ohne Einwilligung geladen werden:

• Bootstrap/jQuery von CDNs (cdnjs, jsdelivr, unpkg)
• Font Awesome von externen Servern
• Gravatar-Bilder in Kommentaren
• Emoji-Sets von externen Servern
• Adobe Fonts (Typekit)

Faustregel: Jede externe Ressource, die beim Seitenaufruf geladen wird, überträgt die IP-Adresse des Besuchers. Entweder lokal hosten oder hinter eine Einwilligung setzen.