Google Fonts DSGVO-konform einbinden – und Abmahnungen vermeiden

Die Google-Fonts-Abmahnwelle – was war da los?

Den Stein ins Rollen brachte ein Urteil des Landgerichts München I vom 20. Januar 2022 (Az. 3 O 17493/20). Das Gericht sprach einem Webseitenbesucher 100 Euro Schadensersatz zu, weil eine Webseite Google Fonts „dynamisch“ eingebunden hatte – also direkt von einem Google-Server geladen. Dabei wurde die IP-Adresse des Besuchers ungefragt an Google in die USA übertragen. Das Gericht wertete das als Verstoß gegen die DSGVO und das allgemeine Persönlichkeitsrecht.

Findige Akteure machten daraus ein Geschäftsmodell: Mit automatisierten Skripten riefen sie zehntausende Webseiten auf, protokollierten die Google-Verbindung und verschickten anschließend massenhaft Schreiben mit Schadensersatzforderungen – meist rund 100 bis 170 Euro pro Fall. Viele Webseitenbetreiber zahlten aus Angst vorschnell, obwohl mehrere Gerichte solche provozierten Massenabmahnungen später als rechtsmissbräuchlich einstuften.

Warum Google Fonts ein Datenschutzproblem sein können

Google Fonts ist eine riesige, kostenlose Schriftensammlung. Der von Google empfohlene Weg, sie einzubinden, ist bequem: Man fügt eine Zeile in den Code ein, die die Schrift bei jedem Seitenaufruf frisch von fonts.googleapis.com lädt. Praktisch – aber datenschutzrechtlich heikel.

Dynamisch vs. lokal – der entscheidende Unterschied

Bei der dynamischen Einbindung baut der Browser deines Besuchers für jede Schrift eine direkte Verbindung zu Google auf. Technisch notwendig wird dabei immer die IP-Adresse übertragen – und die gilt nach überwiegender Auffassung als personenbezogenes Datum. Eine Übermittlung in die USA ohne Einwilligung lässt sich kaum auf ein „berechtigtes Interesse“ stützen.

Bei der lokalen Einbindung liegen die Schriftdateien auf deinem eigenen Server (oder deinem CDN). Der Browser lädt sie von derselben Adresse wie die übrige Webseite – „same-origin“. Es entsteht kein Kontakt zu Google, keine IP wandert in die USA, und es gibt nichts, wofür du eine Einwilligung einholen müsstest.

Konkret passiert bei der dynamischen Variante bei jedem Seitenaufruf Folgendes:

• Der Browser kontaktiert einen Google-Server, um die Schrift zu laden.
• Dabei übermittelt er unter anderem die IP-Adresse des Besuchers.
• Die Verbindung geht in der Regel an Server in den USA – ein Drittland ohne automatisch gleichwertiges Datenschutzniveau.
• All das geschieht ohne Einwilligung und meist, ohne dass der Besucher es merkt.

Aktuelle Rechtslage (Stand: Juni 2026)

Die Lage ist in einem entscheidenden Punkt noch nicht endgültig geklärt. Der Bundesgerichtshof hat mit Beschluss vom 28. August 2025 (Az. VI ZR 258/24) ein Verfahren ausgesetzt und zentrale Fragen dem Europäischen Gerichtshof (EuGH) zur Klärung vorgelegt. Eine endgültige Entscheidung des EuGH steht noch aus.

Dem EuGH liegen dabei im Kern drei Fragen vor:

1. Sind dynamische IP-Adressen generell „personenbezogene Daten“ im Sinne der DSGVO?
2. Besteht ein Anspruch auf Schadensersatz auch dann, wenn jemand den Verstoß bewusst und gezielt provoziert, um anschließend zu kassieren?
3. Lässt sich ein solcher Anspruch wegen Rechtsmissbrauchs ausschließen, wenn er allein dem Geldverdienen dient?

Für die Praxis heißt das: Ob provozierte Massenabmahnungen künftig noch Geld bringen, ist offen – hier dürfen Webseitenbetreiber auf mehr Klarheit hoffen. Am grundlegenden Punkt ändert das aber nichts: Eine dynamische Einbindung ohne Einwilligung bleibt rechtlich angreifbar. Wer auf Nummer sicher gehen will, wartet nicht auf den EuGH, sondern beseitigt die Ursache.

Die sichere Lösung: Schriften selbst hosten

Das Prinzip ist einfach: Du lädst die gewünschte Schrift einmalig herunter und lieferst sie von deinem eigenen Server aus. Damit fällt jeder Kontakt zu Google weg – das Datenschutzproblem ist behoben, und die Schrift sieht exakt gleich aus.

Schritt für Schritt: Google Fonts lokal einbinden

1. Die gewünschte Schrift herunterladen (z. B. direkt bei Google Fonts über „Download family“ oder mit einem Webfont-Generator, der gleich browseroptimierte .woff2-Dateien erzeugt).
2. Die Schriftdateien in einen Ordner deiner Webseite legen, etwa /fonts/.
3. In deinem CSS die Schrift per @font-face einbinden und dabei auf die lokale Datei verweisen (statt auf einen Google-Link).
4. Die Schrift wie gewohnt über font-family verwenden.
5. Den alten, dynamischen Google-Verweis entfernen – also jede Zeile, die auf fonts.googleapis.com oder fonts.gstatic.com zeigt.
6. Zum Schluss prüfen, dass wirklich keine Verbindung zu Google mehr aufgebaut wird (z. B. mit den Entwicklertools des Browsers im Reiter „Netzwerk“ oder einem Online-Checker).

Noch einfacher geht es mit System-Schriften: Schriften, die ohnehin auf den Geräten installiert sind (wie Arial, Helvetica oder die modernen System-Fonts von Apple und Windows). Sie müssen gar nicht erst geladen werden, sind blitzschnell und völlig unbedenklich – dafür ist die Auswahl kleiner.

Wie Pageship das von Haus aus löst

Bei Pageship musst du dich um all das nicht kümmern – weil es bei uns gar nicht erst zum Problem kommen kann. Wir laden alle Schriften einmalig beim Erstellen der Seite herunter und liefern sie anschließend same-origin von deiner eigenen Domain aus. Zur Laufzeit gibt es keinen einzigen Aufruf an einen Google-Server – die IP-Adresse deiner Besucher verlässt ihren Browser nicht.

Das ist kein nachträglicher Trick, sondern Teil unseres Grundprinzips: Pageship-Seiten sind statisch, cookie-frei und ohne Tracker gebaut. Genau deshalb brauchen sie auch kein Cookie-Banner. Mehr dazu in unserem Beitrag „DSGVO-konforme Webseite ohne Cookie-Banner“ und dazu, warum dieser Ansatz auch technisch überzeugt, in „Warum statische Webseiten für kleine Unternehmen oft die bessere Wahl sind“.

Schon eine Abmahnung erhalten? Ruhe bewahren

Falls bereits ein Schreiben mit einer Schadensersatzforderung im Briefkasten lag: nicht in Panik geraten und nichts vorschnell unterschreiben oder überweisen. Viele dieser Forderungen sind rechtlich umstritten, und übereilte Zahlungen lassen sich kaum zurückholen. Sinnvoll ist, das Schreiben in Ruhe von fachkundiger Stelle prüfen zu lassen – etwa von einer auf IT-Recht spezialisierten Anwaltskanzlei oder der Verbraucherzentrale.

Unabhängig davon gilt: Stell deine Webseite auf lokal gehostete Schriften um. Damit ist die Ursache beseitigt – und neue Forderungen laufen ins Leere.