Zum Inhalt springen
Unabhängiges Tool. Nicht von Google LLC. „Google" und „Google Fonts" sind Marken der Google LLC und werden ausschließlich beschreibend verwendet.
Lösung: Consenta

Google Fonts Scanner — DSGVO-Test ohne Anmeldung

Der Scanner ruft deine Website server-seitig ab, parst HTML und alle verlinkten Stylesheets und meldet jeden Aufruf an fonts.googleapis.com oder fonts.gstatic.com — exakt das Verhalten, das das LG München I (Az. 3 O 17493/20) als DSGVO-Verstoß eingestuft hat. Kein Login, kein Cookie, keine dauerhafte Speicherung der geprüften URL.

Jetzt scannen →

Was der Scanner prüft

Der Scan lädt das HTML deiner URL einmal komplett und sucht in vier Quellen nach Schrift-Aufrufen — nicht nur im rohen HTML-Source, sondern auch dort, wo Page-Builder ihre Schrift-Einbindungen meist verstecken:

  • Stylesheet-Links — klassisches <link rel="stylesheet" href="https://fonts.googleapis.com/...">, wie es viele Themes ab Werk einbinden.
  • Inline-<style>-Blöcke und @import-Regeln — oft von Page-Buildern wie Elementor, Divi oder Gutenberg-Custom-Blocks gesetzt. Werden von simplen HTML-Source-Greppern regelmäßig übersehen.
  • Verlinkte CSS-Dateien — der Scanner lädt bis zu sechs externe Stylesheets nach und sucht darin nach @font-face-Regeln, @import-Anweisungen und direkten URL-Verweisen auf fonts.gstatic.com — die WOFF2-CDN-Domain steht nicht im HTML, sondern erst im verlinkten CSS.
  • Resource-Hints — preconnect-Tags öffnen TCP+TLS-Verbindungen zu Google und übermitteln die IP des Besuchers, selbst wenn das eigentliche CSS bereits lokal liegt. WordPress generiert diese Hints automatisch über wp_resource_hints() — viele Localizer-Plugins räumen sie nicht auf.

Hinweis zur Methode: Der Scan parst statisch — er rendert die Seite nicht in einem echten Browser. Schriften, die ausschließlich per JavaScript nach dem Document-Ready nachgeladen werden, sind damit nicht garantiert erkennbar. Für die übergroße Mehrheit der WordPress-Setups (Theme + Page-Builder + üblichen Plugins) ist die statische Analyse ausreichend, weil dort fast alle Schrift-Aufrufe im HTML oder verlinkten CSS landen.

Erweiterter Scan: Tracker, Embeds, Chat-Widgets & weitere Schrift-CDNs

Schriften sind die häufigste DSGVO-Stolperstelle, aber selten die einzige. Nach dem Schrift-Scan kannst du im Ergebnis-Bereich einen Erweiterten Scan starten — er sucht zusätzlich nach über 50 verbreiteten Drittdiensten, die ohne aktive Einwilligung des Besuchers nicht laden dürfen, gegliedert in vier Kategorien:

  • Tracker & Analytics (~25): Google Analytics, Google Tag Manager, Meta Pixel (Skript + Tracking-Bild), TikTok Pixel, LinkedIn Insight Tag, X/Twitter Pixel, Snap Pixel, Pinterest Tag, Hotjar, Microsoft Clarity, Bing UET, HubSpot, Matomo Cloud, Mixpanel, Heap, Segment, Amplitude, Yandex Metrica, Cloudflare Web Analytics, New Relic, Sentry, Taboola, Outbrain, Criteo, ActiveCampaign, Klaviyo.
  • Eingebettete Inhalte (~16): YouTube-Embeds (ohne -nocookie-Variante), Vimeo, Wistia, TikTok-Embeds, Google Maps API + Iframe, Mapbox, Bing Maps, X/Twitter-Widgets, Instagram-Embeds, LinkedIn-Embeds, SoundCloud, Spotify, Disqus, Calendly, Typeform.
  • Chat- & Support-Widgets (~7): Intercom, Zendesk Web Widget, Tawk.to, Crisp, Tidio, LiveChat, Freshchat — alle mit Visitor-Tracking, das vor dem ersten Klick aufs Widget startet.
  • Andere Schrift-CDNs (~5): Adobe Fonts (Typekit), MyFonts, Font Awesome Kit, Hoefler&Co Cloud.typography, Type Network — Schriften und Icon-Sets, die extern aus den USA nachgeladen werden.

Der Erweiterte Scan ist optional und nutzt dieselbe Datenschutz-Disziplin wie der Schrift-Scan: keine Anmeldung, keine dauerhafte Speicherung der URL.

Scanner oder Checker — gibt es einen Unterschied?

Beide Begriffe meinen dasselbe Werkzeug. „Scanner" betont den technischen Vorgang (das Tool durchsucht systematisch), „Checker" betont das Prüf-Ergebnis (DSGVO-konform oder kritisch). Beide Varianten tauchen in den Suchanfragen auf — du landest in beiden Fällen auf demselben Scan.

Was den Scanner von anderen Online-Tools unterscheidet

  • CSS-Tiefe statt nur HTML-Source-Grep — Viele Online-Checker laden nur das rohe HTML und suchen nach „fonts.googleapis.com". Damit übersehen sie Schriften, die per @import in einer verlinkten CSS-Datei stecken oder als WOFF2-URL auf fonts.gstatic.com erst beim CSS-Parsing aufgelöst werden. Dieser Scanner lädt die verlinkten Stylesheets nach und sucht auch dort.
  • Sauberes Findings-Schema mit Severity-Klassifizierung — preconnect-Tags öffnen tatsächlich eine Verbindung zu Google und werden als kritisch markiert. dns-prefetch-Tags lösen nur einen DNS-Lookup aus und werden bewusst ignoriert — viele Localizer-Plugins lassen sie als harmlosen Rest stehen, andere Tools erzeugen daraus ein falsches „rotes" Ergebnis.
  • Keine dauerhafte Speicherung der URL — Im Detail-Modus benötigen wir eine E-Mail-Adresse für den Report. Die geprüfte URL selbst wird nach dem Scan nicht öffentlich gelistet und nicht weiterverwendet.
  • Ohne Anmeldung nutzbar — Der Schnell-Scan auf der Startseite läuft ohne Konto, ohne E-Mail, ohne Cookie. E-Mail wird nur abgefragt, wenn du den vollständigen Detail-Befund per Mail bekommen möchtest.
  • Made in Germany — Server stehen in der EU, Anbieter ist die Marcze Media UG aus Berlin. Kein US-Cloud-Backend, keine Datenübermittlung in Drittländer.

Was der Scanner bewusst auslässt

Damit du das Ergebnis richtig einordnen kannst — auch der Erweiterte Scan ist HTTP-fokussiert. Folgende DSGVO-Themen sind separat zu prüfen:

  • Schriften und Skripte, die rein per JavaScript nach dem Document-Ready nachgeladen werden — der Scanner parst statisch, ohne JS-Ausführung.
  • Server-zu-Server-Verbindungen (z. B. CRM-Webhooks aus Kontaktformularen). Der Scanner sieht nur, was im Browser des Besuchers ankommt.
  • Cookie-Inhalte und Local-Storage-Einträge — der Scanner lädt die Seite, führt aber kein JavaScript aus und hat damit keinen Cookie-Jar.
  • Auftragsverarbeitungs-Verträge (AVV) mit Hostern und Diensten — das ist Vertrags- und Dokumentations-Arbeit, kein Scan-Thema.

Wenn der Scanner rot meldet — wie weiter?

Schriften lokal hosten und alle externen Schrift-Aufrufe entfernen. Den vollständigen Vergleich (manueller Workflow vs. automatischer Site-wide-Localizer) findest du auf der Lösungsseite.

Hintergrund zum LG-München-Urteil zu Google Fonts und der DSGVO-Begründung dahinter — kompakt aufbereitet.

Jetzt scannen → Technisches im Detail