Google Fonts abgemahnt?
Dein DSGVO-Leitfaden für 2026.

Am 20.01.2022 sprach das Landgericht München I (Az. 3 O 17493/20) ein Urteil, das bis heute die Abmahn-Landschaft prägt: Die dynamische Einbindung von Google Fonts über fonts.googleapis.com ohne Einwilligung verstößt gegen die DSGVO. Seitdem gab es tausende Abmahnschreiben — die meisten mit Forderungen zwischen 100 – 170 € plus Anwaltskosten. Der Hype ist abgeebbt, das rechtliche Risiko ist geblieben.

Das LG-München-Urteil im Klartext

Worum ging es konkret: Eine Privatperson besuchte eine Website, die Google Fonts dynamisch einband (also per <link href="fonts.googleapis.com">). Beim Laden der Schrift wurde die IP-Adresse des Besuchers an Google in die USA übertragen — ohne Einwilligung, ohne berechtigtes Interesse, ohne Anonymisierung. Das Gericht sah darin einen Verstoß gegen Art. 6 DSGVO und sprach der Klägerin 100 € Schadenersatz zu.

Die technische Kernfrage — wird bei der dynamischen Einbindung eine IP-Adresse übertragen oder nicht — ist unstrittig: Ja, wird sie. Google bestätigt das in der eigenen Dokumentation. Damit ist der juristische Fall für die meisten deutschen Gerichte klar: Ohne Einwilligung des Nutzers ist die Einbindung unzulässig.

Warum Google Fonts ein Problem bleibt

Drei Gründe, warum das Thema 2026 noch relevant ist:

1. Abmahn-Industrie: Spezialisierte Anwaltskanzleien scannen systematisch Websites nach fonts.googleapis.com-Calls und versenden Serienbriefe. Die Beträge sind niedrig genug (100 – 170 €), dass viele lieber zahlen als klagen.
2. Privacy Framework ≠ Freifahrtschein: Das EU-US Data Privacy Framework (2023) hat zwar den Datentransfer formell wieder zulässig gemacht — aber die Rechtsprechung unterscheidet weiterhin zwischen „zulässig" und „ohne Einwilligung zulässig". Ohne Einwilligung bleibt Google Fonts riskant.
3. Aufsichtsbehörden aktiv: Bayerisches Landesamt für Datenschutzaufsicht und andere Behörden haben Muster-Bußgeld-Drohungen im Umlauf. Besonders Versicherungsmakler, Ärzte und Rechtsanwälte stehen im Fokus — alles Branchen mit besonders sensiblen Kundendaten.

Drei Wege aus dem Problem

Weg 1 — Self-Hosting (empfohlen)

Du lädst die Schriften einmal von fonts.google.com herunter, speicherst die .woff2-Dateien auf deinem eigenen Server und bindest sie lokal ein. Kein Request an Google, keine IP-Übertragung, keine DSGVO-Problematik. Performance ist sogar besser, weil kein externer Roundtrip.

Weg 2 — EU-CDN (z. B. Bunny Fonts)

Einige CDNs haben Google Fonts-kompatible EU-Endpoints. Bunny Fonts ist der bekannteste Anbieter — läuft auf EU-Servern, ist DSGVO-konform, und als Drop-In-Replacement nutzbar: fonts.googleapis.com → fonts.bunny.net. Vorteil: Ein-Zeilen-Änderung. Nachteil: Du vertraust weiterhin einem externen Dienst, auch wenn er EU-basiert ist.

Weg 3 — System-Fonts

Kein Font-Request überhaupt. Du nutzt nur die Schriftarten, die auf dem Gerät des Nutzers bereits installiert sind: San Francisco (Apple), Segoe UI (Windows), Roboto (Android). Absolut DSGVO-safe, schnellste Performance, aber Design-Konsistenz leidet — jedes OS sieht anders aus.

Self-Hosting Schritt für Schritt

1. Schriften identifizieren. Öffne deine Website, Rechtsklick → „Untersuchen" → Netzwerk-Tab → filtere auf „font". Liste alle Font-Files und ihre Varianten (Regular, Bold, Italic).
2. Download bei google-webfonts-helper. Die Seite gwfh.mranftl.com ist das Standard-Tool für diesen Zweck. Wähle deine Fonts, wähle „Modern Browsers" (nur woff2), lade das ZIP herunter.
3. Dateien auf den Server. Leg die .woff2-Files in einen Ordner wie /assets/fonts/. Ca. 10 – 40 KB pro Font-Variante.
4. CSS-Einbindung umschreiben. Statt <link href="fonts.googleapis.com/..."> schreibst du @font-face-Regeln am Anfang deiner style.css:

@font-face {
  font-family: 'Inter';
  font-weight: 400;
  font-display: swap;
  src: url('/assets/fonts/inter-regular.woff2') format('woff2');
  unicode-range: U+0000-00FF;
}

5. Preload für den kritischen Path. Im <head> deiner Seiten: <link rel="preload" href="/assets/fonts/inter-regular.woff2" as="font" type="font/woff2" crossorigin>
6. Alle Google-Fonts-Links entfernen. Grep durch den Quellcode nach „googleapis" und „gstatic" — alle Treffer rauswerfen.
7. Testen. Netzwerk-Tab erneut öffnen, Seite laden — es darf kein einziger Request mehr an fonts.googleapis.com oder fonts.gstatic.com gehen.

Bonus: Variable Fonts nutzen

Wenn du Fonts mit mehreren Gewichten brauchst (Regular, Medium, Bold), lade nicht 3 einzelne Files — lade stattdessen eine einzige Variable-Font-Datei. Eine Variable-Font-Datei deckt oft alle Gewichte zwischen 100 und 900 ab, bei vergleichbarer Dateigröße wie eine einzelne statische Variante. Inter, Geist, Roboto Flex — alles verfügbar als Variable Fonts.

Datenschutz-Text anpassen

Nach der Umstellung musst du deine Datenschutzerklärung aktualisieren. Typischer Text unter einem Abschnitt „Schriftarten":

„Diese Website verwendet ausschließlich lokal auf unserem Server gespeicherte Schriftarten. Es findet keine Verbindung zu Google Fonts oder vergleichbaren externen Anbietern statt. Ihre IP-Adresse wird beim Laden der Schriften nicht an Dritte übertragen."

Was du sonst noch prüfen solltest

Google Fonts ist nicht das einzige Problem. Die gleiche DSGVO-Logik greift bei:

• YouTube-Einbettungen — nutze „YouTube no-cookie" (youtube-nocookie.com) oder eine Consent-Hürde.
• Google Maps — gleiches Muster, IP geht zu Google. Alternativen: OpenStreetMap, Leaflet, statische Karte.
• Google reCAPTCHA — überträgt Daten an Google. Alternativen: hCaptcha (EU), Cloudflare Turnstile.
• Google Analytics — das komplette Thema für einen eigenen Artikel. Tl;dr: Matomo oder Plausible als EU-Alternative.

Fazit

Google Fonts auf einer DSGVO-sensiblen Website ist 2026 ein unnötiges Risiko. Die Umstellung kostet 20 – 60 Minuten, die Performance wird sogar besser, und das Abmahn-Risiko ist weg. Wenn du gerade eine neue Website baust oder aktualisierst: Self-Hosting ist der Default. Keine Diskussion.