Zum Inhalt springen
Unabhängiges Tool. Nicht von Google LLC. „Google" und „Google Fonts" sind Marken der Google LLC und werden ausschließlich beschreibend verwendet.
Lösung: Consenta

Warum Web-Schriften ein DSGVO-Thema sind

Web-Schriften wie sie über fonts.googleapis.com ausgeliefert werden, sind technisch elegant gelöst — und genau diese Eleganz ist das Problem. Hier die ausführliche Einordnung, warum, mit welchen Risiken, und was die Aufsichtsbehörden seit Jahren dazu sagen.

Was beim Schrift-Aufruf technisch passiert

Sobald ein Browser ein <link href="https://fonts.googleapis.com/...">-Element findet, läuft folgender Ablauf:

  1. DNS-Auflösung von fonts.googleapis.com — bei diesem Schritt bekommt schon der DNS-Provider die Anfrage zu sehen.
  2. TLS-Handshake mit dem Google-Server. Hier wird die IP-Adresse des Besuchers offengelegt.
  3. HTTP-Request mit User-Agent, Referer (= deine Website-URL) und Accept-Headers.
  4. Die Antwort enthält @font-face-Regeln, die auf fonts.gstatic.com verweisen — die WOFF2-Dateien werden dann von dort geholt, wieder mit Übertragung der IP-Adresse.

Bei jedem dieser Schritte werden mindestens IP-Adresse + User-Agent + Referer an Google übermittelt. Google selbst dokumentiert in seinen offiziellen Fonts-FAQ, dass dabei ein „kleines Set technischer Logs" entsteht — diese Logs würden laut Google nicht für Werbe-Profile verwendet, aber die Übertragung selbst findet statt.

Warum das DSGVO-relevant ist

Die DSGVO-Bewertung hängt nicht davon ab, was Google mit der IP-Adresse tut, sondern dass die Übertragung überhaupt erfolgt:

  • IP-Adressen sind personenbezogene Daten — der EuGH hat das in mehreren Urteilen bestätigt (insbesondere C-582/14, „Breyer"). Das gilt auch für dynamisch zugewiesene IPs.
  • Übermittlung in Drittland — Google-Server stehen primär in den USA. Übermittlungen dorthin brauchen eine Rechtsgrundlage nach Kapitel V DSGVO. Seit Juli 2023 existiert das EU-US Data Privacy Framework wieder als Angemessenheitsbeschluss; das löst aber nicht das Grundproblem fehlender Einwilligung.
  • Fehlende Erforderlichkeit — Schriften können auch lokal ausgeliefert werden. Damit fehlt einer der zentralen Bausteine für ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO.

Welche Risiken bestehen praktisch?

Abmahnungen

Spezialisierte Kanzleien versenden seit 2022 serienweise Abmahnungen mit Schadensersatz-Forderungen zwischen 100 € und 170 € pro Fall, plus Anwaltskosten. Die Welle hat sich seit 2024 abgeschwächt, weil mehrere Gerichte Massenabmahnungen als rechtsmissbräuchlich eingestuft haben — sie ist aber nicht verschwunden.

Bußgelder

Aufsichtsbehörden können Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes verhängen (Art. 83 DSGVO). In der Praxis sind diese Maximalbeträge bei reinen Schriften-Verstößen unrealistisch — typisch sind Bußgelder im niedrigen vier- bis fünfstelligen Bereich, falls überhaupt. Behörden setzen meist auf Beratung und Selbstkorrektur.

Schadensersatz nach Art. 82 DSGVO

Direkt klagen können Betroffene auch — bislang sind die zugesprochenen Beträge moderat (typisch 100 €), aber jede Folgeentscheidung des EuGH oder BGH kann das nachjustieren. Die Schwelle für „spürbare Beeinträchtigung" ist nach EuGH-Rechtsprechung niedrig.

Was Aufsichtsbehörden sagen

Die deutschen Datenschutz-Aufsichtsbehörden vertreten seit Jahren übereinstimmend die Position, dass das dynamische Einbinden externer Schriften ohne Einwilligung gegen Art. 6 DSGVO verstößt:

  • Bayerisches Landesamt für Datenschutzaufsicht (LDA Bayern) — eigenes Hinweisblatt seit 2022.
  • Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI).
  • Berliner Beauftragte für Datenschutz und Informationsfreiheit.
  • Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW).

Auch die Datenschutzkonferenz (DSK) — das gemeinsame Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden — hat sich in mehreren Beschlüssen zu Drittdienst-Einbindungen positioniert, die analog auf Schrift-Aufrufe anwendbar sind.

Warum Schriften nur die Spitze des Eisbergs sind

Der Schrift-Aufruf ist das sichtbarste Beispiel — aber nicht das einzige Problem auf den meisten Websites. Vergleichbare Übermittlungen entstehen bei:

  • Google Maps Embeds
  • YouTube-Videos im klassischen Embed
  • Tracking-Pixel (Google Analytics, Facebook Pixel, etc.)
  • externe Chat-Widgets, Fonts-CDNs anderer Anbieter, eingebundene Werbe-Tags

Wer das Schrift-Problem behebt, aber Maps oder YouTube ohne Einwilligung weiter laufen lässt, hat nur die sichtbarste Spitze entschärft. Eine Consent-Lösung mit Auto-Blocker (Consenta) deckt alle nicht-essentiellen Drittdienste in einem System ab.

Hinweis: Dieser Beitrag ist eine fachliche Einordnung, keine Rechtsberatung.

Eigene Seite jetzt prüfen → Zum LG-München-Urteil