Die Nutzung von Google Fonts ist für viele Webseitenbetreiber eine einfache und praktische Lösung, um Schriftarten schnell und kostenlos einzubinden. Nach dem Urteil des Landgerichts München von 2022 stellt sich aber die konkrete Frage: Wie geht das datenschutzkonform?
Das Gericht entschied, dass die Einbindung über Google-Server ohne Zustimmung der Nutzenden gegen die DSGVO verstösst — beim Laden der Schriften wird die IP-Adresse an Google übermittelt. Dieser Beitrag erklärt, was das Urteil bedeutet und welche Optionen du hast.
Was sind Google Fonts?
Google Fonts ist eine von Google betriebene Plattform, die Webentwicklern und Designern eine grosse Sammlung von Schriftarten kostenlos zur Verfügung stellt. Gegründet 2010, basieren alle angebotenen Schriften auf Open-Source-Lizenzen.
Die Plattform hat die Typografie im Web demokratisiert: Statt eigene Schriftdateien zu hosten, reicht ein einzelner Code-Schnipsel. In einem früheren Beitrag auf unserem Blog — Google Fonts: Plattform für Schriftarten mit niedrigem Bekanntsheitsgrad — haben wir das Potenzial dieser Plattform früh aufgezeigt.
Heute gehören Google Fonts zu den meistgenutzten Schriftquellen im Web. Die einfache Implementierung bleibt der Hauptvorteil — und genau das ist auch das Problem.
Wie funktioniert die Implementierung der Schriftarten?
Die Integration ist denkbar einfach: Ein Link im Seitencode verweist auf die Google-Server. Sobald jemand die Webseite aufruft, lädt der Browser die Schriftdateien von dort — keine eigenen Dateien nötig, kein manuelles Hochladen.
Anschliessend lässt sich die Schriftart auf beliebige Textelemente anwenden: Überschriften, Fliesstext, Buttons. Das funktioniert nahezu automatisch und spart Aufwand.
Doch genau diese Bereitstellung über Googles CDN ist rechtlich heikel. Beim Laden der Schriften wird die IP-Adresse der Besuchenden an Google übertragen — in vielen Fällen ohne deren Zustimmung.
Urteil des Landesgerichts München im Jahr 2022
Das Landgericht München hat dieses Problem 2022 direkt adressiert. Das vollständige Urteil ist hier abrufbar: Verletzung des Persönlichkeitsrechts durch Datenschutzverstoss
Das Gericht stellte fest: Die Einbindung von Google Fonts ohne ausdrückliche Zustimmung der Nutzenden verstösst gegen die DSGVO. Die Übertragung der IP-Adresse an Google erfolgte ohne ausreichende rechtliche Grundlage.
Die Leitsätze aus dem Urteil im Wortlaut:
- 1. Eine Verletzung des Rechts auf informationelle Selbstbestimmung und des Persönlichkeitsrechts stellt es dar, wenn der Inhaber einer Webseite bei Aufruf dieser Webseite durch einen Dritten dessen dynamische IP-Adresse automatisiert und ohne Zustimmung des Dritten an Google weiterleitet. (Rn. 6 – 7) (redaktioneller Leitsatz)
- 2. Ein Rechtfertigungsgrund für die Weitergabe einer IP-Adresse liegt nicht vor, da das Angebot von Google Fonts auch genutzt werden kann, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet. (Rn. 8) (redaktioneller Leitsatz)
Das Urteil hat die Verantwortung klar verschoben: Webseitenbetreiber sind nun direkt haftbar für die datenschutzkonforme Einbindung.
Rechtssichere Einbindung von Google Fonts auf Ihrer Website
Es gibt mehrere Wege, Google Fonts rechtssicher zu verwenden. Welcher für dich passt, hängt von deinen technischen Möglichkeiten und dem Aufwand ab, den du bereit bist zu investieren.
Lokale Einbindung
Der direkteste Weg: Schriftdateien auf dem eigenen Server speichern, statt sie von Google zu laden. Keine Verbindung zu Google-Servern, keine Übertragung von IP-Adressen.
Das funktioniert auch ohne tiefe Webentwicklungskenntnisse — mit einem CMS wie WordPress ist es ein überschaubarer Eingriff. Wenn du dein Webdesign outsourcest, reicht eine kurze Anweisung an den Entwickler.
So funktioniert die lokale Einbindung:
- Download der Schriftarten: Auf der Google Fonts-Webseite die gewünschten Fonts auswählen und die Schriftdateien (TTF oder WOFF) herunterladen.
- Integration in den Webcode: Die Dateien auf den eigenen Server hochladen und im Webcode den Pfad zu den lokal gespeicherten Dateien angeben — nicht den Verweis auf Google-Server.
Datenschutzfreundliches „Self-Hosting“ mittels Plugin
Wer die manuelle Einbindung scheut, kann auf ein Plugin zurückgreifen. Für WordPress hat sich „OMGF“ (Optimize Google Fonts) bewährt: Das Plugin lädt die Schriften automatisch auf den eigenen Server und unterbindet damit die Verbindung zu Google.
Link zum Plugin: https://wordpress.org/plugins/host-webfonts-local/
Datenschutzkonforme Alternativen zu Fonts von Google
Wer Google Fonts grundsätzlich ersetzen möchte, findet Alternativen ohne externe Datenübertragung. Font Squirrel bietet eine vergleichbare Sammlung kostenloser Schriften — ebenfalls zum Selbst-Hosten, ebenfalls ohne Verbindung zu Drittservern.
Einwilligung der Nutzer einholen
Wer trotzdem auf die externe Einbindung setzt, braucht eine ausdrückliche Einwilligung der Nutzenden. Das lässt sich über ein Consent-Management-Tool lösen: Beim ersten Besuch der Seite wählt die Person aus, welche Datenübertragungen sie erlaubt — erst danach werden Google Fonts geladen.