Zum Inhalt springen
Unabhängiges Tool. Nicht von Google LLC. „Google" und „Google Fonts" sind Marken der Google LLC und werden ausschließlich beschreibend verwendet.
Lösung: Consenta

Adobe Fonts (Typekit) und DSGVO — die ehrliche Bewertung

· DSGVO

TL;DR: Adobe Fonts ist nicht die DSGVO-Lösung, als die es oft beworben wird. Adobe-Server stehen ebenfalls in den USA, ein Adobe-Fonts-Aufruf überträgt die Besucher-IP genauso an einen US-Anbieter wie Google Fonts. Adobe ist DPF-zertifiziert, das deckt aber nur den Drittland-Transfer ab — die Einwilligungspflicht für externe Schrift-Aufrufe bleibt. Echte DSGVO-Lösung: lokal hosten, oder eine EU-/Open-Source-Alternative wie Bunny Fonts.

Sobald jemand merkt, dass Google Fonts ein DSGVO-Problem ist, taucht in den Diskussionen erstaunlich oft Adobe Fonts (ehemals Typekit) als „die saubere Alternative“ auf. Die Argumentation klingt plausibel: Adobe ist eine Software-Firma, kein Werbenetzwerk, also weniger Tracking-affin. In der Praxis bewertet sich das anders.

Was Adobe Fonts technisch ist

Adobe Fonts liefert Schriften per CSS-Aufruf von use.typekit.net aus. Die Einbindung in einer Website sieht typischerweise so aus:

<link rel="stylesheet" href="https://use.typekit.net/PROJECT_ID.css">

Beim Page-Load löst der Browser DNS, TLS und einen HTTP-Request an use.typekit.net aus. Das CSS wird zurückgeliefert, und mit dem CSS folgt sofort ein zweiter Request an die Adobe-Schrift-CDN-Domain (use.typekit.net oder p.typekit.net) für die WOFF2-Dateien.

Aus DSGVO-Sicht ist die Mechanik identisch zu Google Fonts: ein Drittland-Datentransfer (IP-Übermittlung an einen US-Anbieter) ohne aktive Einwilligung des Besuchers.

Server-Standorte und Datenfluss

Adobe ist seit Jahrzehnten US-amerikanisch und betreibt seine Cloud-Infrastruktur primär auf AWS. Die Typekit-Schrift-CDNs werden global ausgespielt — in Europa landet ein Schrift-Request auf einem CDN-Knoten in Frankfurt, London oder Amsterdam, die Steuerung läuft aber über US-Backends. Der Verarbeitungs-Verantwortliche ist die Adobe Inc. mit Sitz in San José, Kalifornien.

Adobe ist DPF-zertifiziert — und?

Adobe Inc. ist im Data Privacy Framework gelistet (Adobe Inc., recertified 2024). Das bedeutet: der reine Datentransfer in die USA ist nach Art. 45 DSGVO mit einer Angemessenheits-Grundlage versehen — vergleichbar mit dem Status von Google.

Was DPF nicht tut (siehe auch unseren Beitrag zu Meta Pixel und Google Analytics): es ersetzt nicht die Einwilligungspflicht für die Verarbeitung als solche. Für Schrift-Aufrufe an einen externen US-Server ist die einzige tragfähige Rechtsgrundlage die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Berechtigtes Interesse trägt hier nicht — das ist seit dem LG-München-Urteil zu Google Fonts (Az. 3 O 17493/20) und mehreren Folge-Entscheidungen klar.

Konsequenz: Auch ein Adobe-Fonts-Aufruf braucht entweder ein Consent-Banner-Klick davor — oder die Schriften müssen lokal gehostet werden.

Was Adobe Fonts erlaubt: Self-Hosting

Im Gegensatz zu Google Fonts erlaubt die Adobe-Fonts-Lizenz das nicht für die meisten Schriften — die meisten Adobe-Fonts-Schriften sind kommerzielle Schriften (Source-Sans, Source-Serif und Source-Code Pro sind Ausnahmen, sie liegen unter SIL OFL). Wer eine Adobe-Fonts-Schrift selbst hostet, braucht eine separate Desktop- oder Web-Lizenz direkt vom Foundry, was finanziell oft unattraktiv ist.

Praktisch heißt das: Adobe Fonts ist entweder mit Consent-Block einsetzbar (CDN-Aufruf erst nach Banner-Klick) oder du wechselst auf eine Schrift, die unter freier Lizenz steht und die du lokal hosten darfst.

Echte DSGVO-Alternativen

  • Lokal gehostete Open-Source-Schriften. Inter, Source Sans, IBM Plex, Manrope, Geist und hunderte mehr stehen unter freien Lizenzen (SIL OFL, Apache 2.0). WOFF2-Datei lokal ablegen, @font-face-Regel schreiben — kein Drittdienst-Aufruf, keine Consent-Pflicht.
  • Bunny Fonts (fonts.bunny.net). Die Bunny-CDN-Variante des Google-Fonts-Katalogs. Bunny.net hat seinen Sitz in Slowenien (EU), liefert von EU-Servern aus und überträgt nach eigener Aussage keine personenbezogenen Daten über die Schrift-Auslieferung hinaus. Drop-in-Ersatz für Google Fonts (gleiche URL-Struktur, gleicher Schrift-Katalog), kein Code-Umbau nötig.
  • Schriften vom eigenen CDN. Wer ohnehin ein CDN für Bilder/Assets nutzt, kann Schriften dort mit ausliefern — mit AVV unter Art. 28 DSGVO und ohne separate Einwilligung.

Wie du prüfst, ob deine Seite Adobe Fonts oder andere CDNs lädt

Der Scanner erkennt im Schrift-Scan zunächst Google-Fonts-Aufrufe. Im Erweiterten DSGVO-Scan kommen weitere Schrift-CDNs dazu: use.typekit.net (Adobe Fonts), fast.fonts.net (MyFonts) und kit.fontawesome.com (Font Awesome Kit). Wenn dort ein Treffer auftaucht, gilt für die Schrift-CDN dieselbe Einwilligungspflicht wie für Google Fonts.

Fazit

Adobe Fonts ist nicht die DSGVO-Lösung, als die es bisweilen verkauft wird. Es ist technisch derselbe Mechanismus wie Google Fonts, nur mit einem anderen Anbieter. Wer den Wechsel von Google Fonts zu Adobe Fonts allein aus DSGVO-Gründen erwägt, sollte stattdessen lokal hosten oder auf Bunny Fonts wechseln — das löst das Problem an der Wurzel statt es zu verschieben.

Schriften lokal hosten + Drittdienste blocken — beides mit Consenta

Seit v1.13 erledigt Consenta zwei Probleme in einem Plugin: Der Site-wide Font-Localizer scannt deine Seite, lädt alle gefundenen Google-Schriften automatisch herunter und liefert sie ab dann lokal aus — ohne WOFF2-Handarbeit. Der Auto-Blocker stoppt zusätzlich Maps, Videos, Tracking-Pixel und andere Drittdienste vor der Einwilligung des Besuchers.

Consenta ansehen →

Themen: Adobe Fonts, Schrift-CDN, Self-Hosting, Typekit