Google Fonts und DSGVO in Österreich: lokal hosten

Über 50 Millionen Websites nutzen Google Fonts. Die meisten laden die Schriftarten extern, direkt von den Google-Servern. Das ist bequem, aber im DACH-Raum nach einem Urteil des LG München I aus 2022 juristisch heikel, und das Argument ist auch in Österreich tragfähig.

Das Problem ist simpel: Wenn Ihr Browser eine Schriftart von fonts.googleapis.com abruft, übermittelt er dabei die IP-Adresse der Besucher:in an Google. Ohne Einwilligung ist das eine Datenübermittlung ohne Rechtsgrundlage, also ein Verstoß gegen Art. 6 DSGVO.

Das LG-München-Urteil als DACH-weiter Ankerfall

Das Landgericht München I entschied am 20. Januar 2022 (Aktenzeichen 3 O 17493/20):

Eine Website-Betreiberin hatte Google Fonts extern eingebunden. Beim Besuch der Website wurde die IP-Adresse einer Nutzerin an Google-Server in den USA übermittelt. Die Nutzerin erhielt EUR 100 Schadensersatz.

Die entscheidende Begründung des Gerichts: Das externe Laden von Google Fonts ist nicht „unbedingt erforderlich" im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DSGVO (berechtigtes Interesse), weil die Schriftarten genauso gut lokal gehostet werden können. Es gibt keinen technischen Grund, die Verbindung zu Google herzustellen. Also fehlt die Rechtsgrundlage für die IP-Übermittlung.

Warum das auch für Österreich relevant ist: Das Urteil eines deutschen Landgerichts bindet österreichische Gerichte nicht. Aber die Begründung beruht ausschließlich auf der DSGVO, also Unionsrecht, das in beiden Ländern gleich gilt. Eine vergleichbare OGH-Entscheidung steht aus, aber das Risiko, dass ein österreichisches Gericht denselben Argumentationsweg geht, ist real. Sicherheitsorientierte österreichische Datenschutz-Anwält:innen empfehlen seit 2022 grundsätzlich lokales Hosten.

Ist eine „Abmahnwelle" in Österreich möglich?

In Deutschland entstanden nach dem Urteil Massenabmahnungen. Anwält:innen und Abmahnorganisationen scannten systematisch Websites auf extern geladene Google Fonts und verschickten automatisierte Forderungsschreiben über EUR 100 bis 170 pro Besucher:in.

In Österreich ist eine vergleichbare Welle bislang nicht entstanden. Die Gründe sind strukturell:

• Das österreichische Rechtssystem kennt die deutsche Mitbewerber-Abmahnung nach § 8 UWG nicht in derselben Intensität. Mitbewerber-Klagen nach § 1 UWG sind möglich, aber kein Massen­phänomen.
• Die DSGVO-Hauptdurchsetzung in Österreich liegt bei der DSB, einer Behörde mit begrenzter Kapazität und Schwerpunkt auf systemischen Verstößen, nicht auf Massen-Sachverhalten.
• Verbraucherschutzorganisationen wie der VKI und der Klagsverband können nach § 28a KSchG bzw. § 12 BGStG vorgehen, tun das aber gezielt und nicht in Form automatisierter Massen­schreiben.

Das bedeutet: Das Risiko für eine „Massenabmahnung" ist in AT geringer als in DE. Das ursprüngliche Problem der fehlenden Rechtsgrundlage für die IP-Übermittlung bleibt aber für die DSB-Spruchpraxis und für Schadensersatzklagen einzelner Betroffener relevant.

In Deutschland hat das LG München I im März 2023 (Az. 4 O 13063/22) entschieden, dass die automatisierten Massenabmahnungen Rechtsmissbrauch darstellen. Das nimmt der DE-Welle die Wucht. Das österreichische Risikobild war aber von Anfang an anders strukturiert.

Das EU-US Data Privacy Framework: Ändert sich etwas?

Seit Juli 2023 gibt es das EU-US Data Privacy Framework (DPF) als neues Transferabkommen zwischen der EU und den USA. Google ist unter dem DPF zertifiziert.

Das DPF schafft grundsätzlich eine Rechtsgrundlage für Datentransfers zu zertifizierten US-Unternehmen. Für Google Fonts bedeutet das: Die Übermittlung der IP-Adresse kann jetzt theoretisch auf das DPF gestützt werden.

Allerdings bestehen weiterhin Risiken:

• Das DPF steht, wie seine Vorgänger Safe Harbor und Privacy Shield, unter rechtlichem Druck. NOYB hat bereits Klagen vorbereitet
• Die DSB hat sich zur DPF-Konformität von Google Fonts noch nicht geäußert. Der Januar-2022-NOYB-Bescheid (zu Google Analytics) zeigt aber, dass die DSB Drittlandtransfers konservativ beurteilt
• Die einfachste und rechtssicherste Lösung bleibt: lokal hosten und das Problem vollständig beseitigen

Wie Sie prüfen, ob Ihre Website betroffen ist

Methode 1: Browser-Entwicklertools

1. Öffnen Sie Ihre Website in Chrome oder Firefox
2. Drücken Sie F12 und gehen Sie zum Tab Netzwerk
3. Laden Sie die Seite neu
4. Filtern Sie nach „googleapis" oder „gstatic"

Erscheinen Einträge für fonts.googleapis.com oder fonts.gstatic.com, werden Schriftarten extern geladen.

Methode 2: Quelltext-Suche

Öffnen Sie Ihre Website, klicken Sie mit rechts auf „Seitenquelltext anzeigen" (oder Strg+U). Suchen Sie mit Strg+F nach „fonts.googleapis". Ein <link>-Tag, der auf Google verweist, bedeutet externes Laden.

Methode 3: Automatischer Scanner

Scannen Sie Ihre Website. Der TrustYourWebsite-Scanner erkennt externe Google-Fonts-Verbindungen automatisch und zeigt, von welchen Seiten sie geladen werden.

Die Lösung: Schriftarten lokal hosten

Schritt 1: Schriftart herunterladen

Besuchen Sie google-webfonts-helper. Suchen Sie Ihre Schriftart (z.B. „Inter" oder „Open Sans"). Wählen Sie die benötigten Gewichte. Laden Sie das ZIP mit WOFF2-Dateien herunter. WOFF2 reicht für alle modernen Browser.

Schritt 2: Dateien hochladen

Erstellen Sie einen Ordner /fonts/ auf Ihrem Webserver. Laden Sie die WOFF2-Dateien dorthin hoch. In WordPress ist das häufig /wp-content/themes/ihr-theme/fonts/.

Schritt 3: CSS anpassen

Entfernen Sie den <link>-Tag zu Google:

<!-- ENTFERNEN -->
<link href="https://fonts.googleapis.com/css2?family=Inter:wght@400;700&display=swap" rel="stylesheet">

Fügen Sie stattdessen eine lokale @font-face-Regel in Ihre CSS-Datei ein:

@font-face {
  font-family: 'Inter';
  font-style: normal;
  font-weight: 400;
  font-display: swap;
  src: url('/fonts/inter-v13-latin-regular.woff2') format('woff2');
}

CMS-spezifische Lösungen

WordPress: Das kostenlose Plugin OMGF (Optimize My Google Fonts) erledigt alles automatisch. Es scannt Ihr Theme und Ihre Plugins, lädt alle Google Fonts lokal und entfernt die Google-Verbindungen. Installieren, aktivieren, fertig.

TYPO3: Das Extension Repository enthält „sg_cookie_optin" und ähnliche Tools, die auch Google Fonts behandeln. Alternativ über TypoScript lösen.

Shopify: Prüfen Sie theme.liquid auf Links zu fonts.googleapis.com. Laden Sie Schriftarten unter Settings > Files hoch und passen Sie das Liquid-Template an.

Next.js: Seit Version 13 gibt es next/font/google. Diese Funktion lädt Schriftarten beim Build herunter und hostet sie automatisch lokal. Kein Laufzeit-Aufruf zu Google.

Datenschutzfreundliche Alternative

Wenn Sie nicht selbst hosten möchten: fonts.bunny.net ist ein europäischer Font-CDN ohne Tracking. Es ist ein Drop-in-Ersatz, ersetzen Sie fonts.googleapis.com durch fonts.bunny.net in Ihrer CSS-Datei. Datenschutzerklärung trotzdem anpassen, um den neuen Dienst zu erwähnen.

Auswirkungen auf Datenschutzerklärung und Cookie-Banner

Sobald Sie Google Fonts lokal hosten, fällt die Google-Verbindung weg. Das hat zwei positive Folgen:

1. Datenschutzerklärung: Entfernen Sie den Abschnitt zu Google Fonts (oder aktualisieren Sie ihn, um lokales Hosting zu bestätigen)
2. Cookie-Banner: Google Fonts setzt keine Cookies. Wenn das Laden lokal erfolgt, fällt dieser Punkt aus Ihrer Cookie-Konfiguration heraus

Prüfen Sie anschließend Ihre Website erneut mit unserem DSGVO-Scanner. In der Regel zeigt der erneute Scan keine Google-Fonts-Verbindung mehr.

Zusammenfassung

Google Fonts extern laden ist eine lösbare Compliance-Lücke. Das LG München hat 2022 klargestellt, dass die IP-Übermittlung an Google ohne Einwilligung eine DSGVO-Verletzung ist. Diese Argumentation bleibt auf Österreich übertragbar. Eine deutsche Massenabmahnungs­welle hat es in Österreich nicht gegeben, das Grundrisiko (DSB-Bescheid, individuelle Schadensersatzklage) bleibt aber.

Die Lösung kostet 10 bis 30 Minuten und beseitigt das Risiko dauerhaft. Für WordPress ist es mit dem OMGF-Plugin sogar eine Fünf-Minuten-Aufgabe.

Prüfen Sie jetzt, ob Ihre Website Google Fonts extern lädt. Kostenloser DSGVO-Scanner.

---

Dieser Artikel ist technische Analyse, kein Rechtsrat. Für Fragen zu Ihrer konkreten Situation wenden Sie sich an eine Datenschutzfachperson oder Rechtsanwältin in Österreich.