Google Fonts DSGVO-konform lokal einbinden – Anleitung von Adrian Thommes, Saarland

Warum Google Fonts ein DSGVO-Problem sind

Google Fonts ist der beliebteste Webfont-Dienst der Welt – über 900 Schriften, kostenlos, einfach einzubinden. Der Standard-Weg: Ein einziger <link>-Tag im HTML-Head, und der Browser lädt die Schrift direkt vom Google-Server.

Genau das ist das Problem. Beim ersten Aufruf deiner Website verbindet sich der Browser deines Besuchers automatisch mit den Google-Servern unter fonts.googleapis.com und fonts.gstatic.com. Dabei wird die IP-Adresse des Besuchers an Google in die USA übertragen – ohne dass dieser eingewilligt hätte.

Nach Art. 4 Abs. 1 DSGVO gilt die IP-Adresse als personenbezogenes Datum. Ihre Übermittlung an einen US-Konzern ohne rechtliche Grundlage ist ein klarer Verstoß – unabhängig davon, ob die Schrift schön ist oder praktisch zu integrieren.

Wichtig: Das Problem liegt nicht bei der Schriftart selbst, sondern beim Übertragungsweg. Wer Google Fonts lokal hostet, ist auf der sicheren Seite – rechtlich und technisch.

Das LG München Urteil und die Abmahnwellen

Am 20. Januar 2022 fällte das Landgericht München I ein Urteil, das die deutsche Web-Branche aufschreckte (Az. 3 O 17493/20): Ein Kläger hatte nachgewiesen, dass eine Website seine IP-Adresse ohne Einwilligung über Google Fonts an US-Server übermittelte. Das Gericht sprach ihm 100 Euro Schadensersatz zu.

100 Euro klingt überschaubar. Das Problem: In den Monaten nach dem Urteil tauchten organisierte Abmahnkampagnen auf, bei denen automatisierte Scanner hunderttausende Websites auf externe Google-Font-Einbindungen prüften. Betroffene Websitebetreiber erhielten Forderungsschreiben – häufig kombiniert mit Abmahngebühren, die das ursprüngliche Bußgeld weit übertrafen.

Hintergrund der Drittstaaten-Problematik: Mit dem Schrems-II-Urteil des EuGH vom Juli 2020 wurde das Privacy Shield zwischen EU und USA für ungültig erklärt. Seither ist jeder Datentransfer in die USA ohne zusätzliche Absicherung rechtlich riskant. Das seit Juli 2023 geltende EU-US Data Privacy Framework (DPF) gibt zwar neuen Spielraum – Datenschützer und Gerichte bewerten die Rechtslage jedoch weiterhin kritisch, erste DPF-Klagen sind bereits eingereicht.

Wer ist betroffen?

  • Alle Websites, die fonts.googleapis.com im Quellcode verlinken
  • WordPress-Installationen mit Themes, die Google Fonts automatisch laden
  • Page-Builder-Seiten (Elementor, Divi, WPBakery) mit eingebauten Font-Loads
  • Websites, die Drittanbieter-Plugins einsetzen, die Fonts nachladen
  • Jede statische HTML-Website mit einem Google Fonts @import-Link

Google Fonts auf deiner Website identifizieren

Bevor du etwas ändern kannst, musst du wissen ob und welche Google Fonts du extern lädst. Es gibt drei zuverlässige Methoden:

Methode 1: Google Fonts Checker (schnellste Variante)

Gib deine Domain in den Google Fonts Checker ein. Das Tool prüft innerhalb von Sekunden, ob externe Font-Verbindungen zu Google-Servern aufgebaut werden – ohne Login, kostenlos.

Methode 2: Chrome DevTools

Öffne deine Website in Chrome, drücke F12 → Tab "Netzwerk" → Filter "Schrift". Lade die Seite neu. Du siehst alle Schriften-Requests. Alles was von fonts.googleapis.com oder fonts.gstatic.com kommt, ist extern eingebunden.

Methode 3: Quellcode-Suche

Öffne den HTML-Quellcode (Rechtsklick → "Seitenquelltext anzeigen") und suche nach diesen Zeichenketten:

/* Typische Fundstellen im Quellcode */
fonts.googleapis.com
fonts.gstatic.com
@import url('https://fonts.googleapis.com/...

In WordPress-Sites lohnt es sich zusätzlich, in der functions.php des aktiven Themes nach wp_enqueue_style mit Google-Fonts-URLs zu suchen.

Schritt für Schritt: Fonts lokal hosten

Hast du externe Google Fonts gefunden, folgen diese sechs Schritte zur DSGVO-konformen lokalen Einbindung:

  1. Font-Namen notieren Merke dir welche Schriften geladen werden (z.B. "Inter", "Roboto", "Open Sans") und welche Gewichte (Regular 400, Bold 700 etc.) genutzt werden.
  2. Google Webfonts Helper öffnen Besuche gwfh.mranftl.com – ein kostenloser Dienst, der alle Google Fonts zum lokalen Download bereitstellt.
  3. Schrift & Gewichte auswählen Suche nach deiner Schrift, wähle die benötigten Schnitte (Regular, Bold, Italic) und setze das Verzeichnis auf den Pfad, wo du die Fonts ablegen willst (z.B. /fonts).
  4. ZIP herunterladen Lade das Paket herunter. Es enthält WOFF2 und WOFF-Dateien sowie ein fertiges CSS-Snippet mit den @font-face-Regeln.
  5. Fonts auf den Server hochladen Lade die Schriftdateien in deinen gewählten Ordner hoch (z.B. /assets/fonts/). Bei WordPress typischerweise in den Theme-Ordner unter /wp-content/themes/dein-theme/fonts/.
  6. CSS anpassen Ersetze den @import-Link zu Google durch die @font-face-Blöcke aus dem Downloaded CSS-Snippet. Wichtig: font-display: swap hinzufügen.

Das fertige @font-face-CSS sieht dann so aus:

/* Vorher (DSGVO-problematisch) */
@import url('https://fonts.googleapis.com/css2?family=Inter:wght@400;700&display=swap');

/* Nachher (DSGVO-konform, lokal) */
@font-face {
  font-family: 'Inter';
  font-style: normal;
  font-weight: 400;
  font-display: swap;
  src: url('/fonts/inter-v13-latin-regular.woff2') format('woff2'),
       url('/fonts/inter-v13-latin-regular.woff') format('woff');
}

@font-face {
  font-family: 'Inter';
  font-style: normal;
  font-weight: 700;
  font-display: swap;
  src: url('/fonts/inter-v13-latin-700.woff2') format('woff2'),
       url('/fonts/inter-v13-latin-700.woff') format('woff');
}

font-display: swap – Performance richtig gemacht

Die Eigenschaft font-display steuert, wie sich der Browser verhält während eine Schrift noch geladen wird. Sie hat direkten Einfluss auf die Core Web Vitals deiner Website – besonders auf den LCP (Largest Contentful Paint).

Die vier wichtigsten Werte im Vergleich:

  • swap (empfohlen): Browser zeigt sofort eine Fallback-Schrift, tauscht sie nach dem Laden. Kein unsichtbarer Text (FOIT). Google PageSpeed bevorzugt diesen Wert.
  • fallback: Kurze Wartezeit (~100ms), dann Fallback, dann Tausch. Kompromiss zwischen swap und block.
  • optional: Schrift wird nur genutzt wenn sie sofort verfügbar ist. Kein Layout-Shift. Ideal für nicht-kritische Dekorations-Fonts.
  • block: Bis zu 3 Sekunden unsichtbarer Text. Nie empfehlenswert außer bei Icon-Fonts.

Für Texte, die Besucher sofort lesen sollen – Überschriften, Body-Text, Navigation – ist font-display: swap die richtige Wahl. Google PageSpeed Insights und Googles eigene Best Practices empfehlen es ausdrücklich.

Preload: Kritische Fonts priorisieren

Selbst lokal eingebundene Fonts können die Ladezeit erhöhen, wenn der Browser sie spät entdeckt. Die Lösung: rel="preload" im <head>. Der Browser lädt die Schrift damit priorisiert, noch bevor das CSS geparst ist.

<!-- Im <head>, vor dem CSS-Link -->
<link rel="preload"
      href="/fonts/inter-v13-latin-regular.woff2"
      as="font"
      type="font/woff2"
      crossorigin>

Wichtig: Das crossorigin-Attribut ist auch bei lokalen Fonts nötig, da Schriften immer im "anonymous" CORS-Modus geladen werden. Ohne crossorigin wird die Schrift doppelt geladen.

Faustregel: Nur die kritischen Schriften preloaden – maximal 2–3 WOFF2-Dateien. Zu viele Preload-Tags kannst du als zu niedrig priorisierten Ressourcen verlangsamen statt beschleunigen.

Systemschriften als vollwertige Alternative

Nicht immer muss es eine Custom-Schrift sein. Das sogenannte System Font Stack nutzt die Schriften, die bereits auf dem Gerät des Besuchers installiert sind – ohne jeden externen Request, ohne DSGVO-Risiko, und mit minimaler Ladezeit.

/* System Font Stack – kein externer Load, DSGVO-sicher */
body {
  font-family: -apple-system, BlinkMacSystemFont, 'Segoe UI',
    Roboto, Oxygen, Ubuntu, Cantarell, sans-serif;
}

Dieser Stack liefert auf macOS/iOS die San Francisco-Schrift, auf Windows Segoe UI und auf Android Roboto. Das Ergebnis ist eine native, vertraute Typografie, die für die jeweilige Plattform optimiert ist – und die Google PageSpeed liebt, weil kein Font-Request ausgelöst wird.

Gerade für professionelle Unternehmenswebsites im Saarland ist der System Font Stack eine ernsthafte Option, sofern keine ausgeprägte Marken-Typografie gefordert ist. Kombiniert mit einer starken Farb- und Layout-Sprache entsteht eine performante, DSGVO-konforme Website ohne Kompromisse.

Website prüfen und dauerhaft absichern

Nach der Umstellung kommt die Verifikation. Drei Checks sind entscheidend:

1. Google Fonts Checker

Erneut den kostenlosen Google Fonts Checker nutzen und deine URL eingeben. Er zeigt dir sofort ob noch externe Verbindungen aufgebaut werden. Das Tool analysiert auch Subseiten-Anfragen und Script-Loads die Fonts nachladen.

2. DSGVO Cookie Scanner

Google Fonts sind häufig nur eine von mehreren DSGVO-Baustellen. Unser DSGVO Cookie Scanner prüft deine Website auf externe Tracker, fehlende Cookie-Banner, unsichere Cookie-Flags und ob Datenschutzerklärung sowie Impressum korrekt verlinkt sind – alles in einer Analyse.

3. Chrome DevTools – finale Kontrolle

DevTools → Netzwerk → Schrift → Seite neu laden. In der Domains-Spalte darf ausschließlich deine eigene Domain erscheinen. Kein fonts.googleapis.com, kein fonts.gstatic.com. Dann ist die Umstellung erfolgreich.

Dauerhaft absichern: WordPress-Sonderfälle

  • Themes die Google Fonts hardcoded in functions.php enqueuen: Fonts per wp_deregister_style() oder Plugin (z.B. OMGF) entfernen
  • Elementor: Einstellungen → Typografie → Google Fonts deaktivieren, Custom Fonts stattdessen verwenden
  • WooCommerce: Eigene Font-Loads in WooCommerce-Templates prüfen
  • Nach Theme-Updates: Checker erneut laufen lassen – Updates können Fonts wieder aktivieren

Für Unternehmen im Saarland die eine starke SEO-Grundlage aufbauen wollen, ist die technische DSGVO-Compliance nicht nur ein rechtliches Muss – sie ist auch ein direkter Rankingfaktor. Google bewertet Vertrauenssignale wie Datenschutz-Konformität, schnelle Ladezeiten und saubere technische Basis zunehmend in seinen Core Web Vitals.

Häufige Fragen zu Google Fonts & DSGVO

Sind Google Fonts 2026 noch erlaubt?

Ja – aber nur lokal eingebunden. Die direkte Einbindung über Googles CDN ohne Einwilligung der Nutzer ist nach wie vor ein DSGVO-Verstoß gemäß den Grundsätzen der Drittstaaten-Übermittlung. Lokal gehostete Google Fonts sind hingegen vollständig DSGVO-konform, da keine Daten an Google übertragen werden.

Hilft ein Cookie-Banner, um Google Fonts extern einzubinden?

Theoretisch ja, wenn die Einwilligung vor dem ersten Font-Load eingeholt wird. In der Praxis ist das technisch komplex und nutzerunfreundlich: Die Seite müsste bis zur Einwilligung ohne die Schrift dargestellt werden. Lokales Hosting ist der weit elegantere und risikoärmere Weg.

Verbessert lokales Font-Hosting die Ladegeschwindigkeit?

In der Regel ja deutlich. Externe Fonts erfordern einen DNS-Lookup zu Google-Servern, einen TLS-Handshake und den eigentlichen Download – alles bevor die Schrift angezeigt werden kann. Lokal gehostete Fonts werden direkt vom eigenen Server geladen, ohne zusätzliche Verbindungsaufbauten. Kombiniert mit Preload und font-display:swap verbessert sich typischerweise der LCP-Wert spürbar.

Was ist der Google Webfonts Helper?

Der Google Webfonts Helper (gwfh.mranftl.com) ist ein kostenloser Open-Source-Dienst von Mario Ranftl, der alle Google Fonts zum Selbsthosten bereitstellt. Er generiert fertige CSS-Snippets und ZIP-Pakete mit WOFF2/WOFF-Dateien – optimiert für lokale Einbindung. Der Dienst wird aktiv gepflegt und enthält alle aktuellen Font-Versionen.

Muss ich auch variable Fonts lokal hosten?

Ja, die DSGVO-Pflicht gilt unabhängig vom Font-Format. Variable Fonts (ein Dateiformat das mehrere Gewichte enthält) sind besonders attraktiv für die lokale Einbindung, da eine einzige WOFF2-Datei alle benötigten Gewichte abdeckt und somit die Dateigröße im Vergleich zu mehreren einzelnen Font-Dateien deutlich sinkt.

Adrian Thommes – Marketing Experte & SEO Spezialist, Saarland

Adrian Thommes

Marketing Experte, SEO & GEO Spezialist aus dem Saarland. Gründer von Vision-Ex. Ausgezeichnet als „Bester SEO Deutschlands 2018". 17+ Jahre Erfahrung, 2.700+ Projekte. Ich helfe Unternehmen dabei, digital sichtbar, sicher und nachhaltig erfolgreich zu werden.