Aktualisiert: Marz 2026 · Lesezeit: 9 Min.
Alle reden uber Google Fonts. Verstandlich — das Munchner Urteil hat Wellen geschlagen, die Abmahnwelle hat den Rest erledigt. Aber hier ist die Sache: Google Fonts ist nicht das einzige Problem. Jede Schrift, die von einem externen Server geladen wird, ubertragt die IP-Adresse des Besuchers. Und damit unterliegt jede externe Schrift denselben DSGVO-Regeln.
Ich hab letztens eine Website auditiert, bei der der Betreiber stolz erzahlt hat: "Google Fonts hab ich entfernt, ist alles sauber." Ein Blick in die DevTools zeigte: Font Awesome von einem CDN, eine Premium-Schrift von MyFonts Cloud, und die Icons von Material Icons — alles extern. Drei DSGVO-Baustellen statt einer.
Die DSGVO-Problematik bei externen Schriften lasst sich in einem Satz zusammenfassen: Wenn der Browser eines Besuchers eine Verbindung zu einem fremden Server aufbaut, wird dabei die IP-Adresse ubertragen. Die IP-Adresse ist ein personenbezogenes Datum. Fur diese Ubertragung brauchen Sie eine Rechtsgrundlage.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) fallt meistens weg, weil man Schriften problemlos lokal hosten kann. Bleibt die Einwilligung — aber die haben Sie typischerweise nicht, wenn die Fonts schon beim ersten Seitenaufruf geladen werden.
Das gilt nicht nur fur Google Fonts. Das gilt fur jeden externen Font-Dienst.
Font Awesome ist uberall. Hamburger-Menus, Social-Media-Icons, Pfeilsymbole — gefuhlt die Halfte aller Websites nutzt Font Awesome. Und die Standard-Einbindung geht uber ein CDN:
<!-- So sieht die typische Einbindung aus --> <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/font-awesome/6.5.1/css/all.min.css"> <!-- Oder uber Font Awesome's eigenes CDN --> <script src="https://kit.fontawesome.com/XXXXXXXX.js" crossorigin="anonymous"></script>
Beide Varianten: externe Verbindung, IP-Ubertragung, DSGVO-Problem.
Font Awesome lasst sich genauso lokal hosten wie Google Fonts. Laden Sie das Package von fontawesome.com herunter (die kostenlose Version reicht meistens) und binden Sie es lokal ein:
/fonts/ ├── fa-solid-900.woff2 ├── fa-regular-400.woff2 └── fa-brands-400.woff2 /css/ └── fontawesome-local.min.css
Oder — mein bevorzugter Ansatz — ersetzen Sie Font Awesome komplett durch SVG-Icons. Dann haben Sie gar keine Schriftdatei mehr, sondern einzelne SVG-Grafiken. Leichter, schneller, keine Font-Rendering-Probleme. Libraries wie Heroicons oder Feather Icons sind exzellente Alternativen.
Adobe Fonts ladt Schriften von use.typekit.net. Das ist ein externer Server, der IP-Adressen verarbeitet. Adobe hat zwar einen AVV und ist unter dem EU-US Data Privacy Framework zertifiziert, aber streng genommen brauchen Sie trotzdem eine Rechtsgrundlage fur die Datenweitergabe.
Die sauberste Losung: Adobe Fonts gar nicht uber das CDN laden, sondern die Fonts uber das Creative Cloud Desktop-Tool herunterladen und selbst hosten. Das geht allerdings nur bei bestimmten Lizenzen — prufen Sie die Nutzungsbedingungen Ihrer Schrift.
Googles Material Icons werden haufig so eingebunden:
<link href="https://fonts.googleapis.com/icon?family=Material+Icons" rel="stylesheet">
Rate mal, wohin diese Anfrage geht. Richtig: fonts.googleapis.com. Exakt das gleiche Problem wie bei Google Fonts — nur dass es oft ubersehen wird, weil man bei "Material Icons" nicht an Fonts denkt.
Losung: Material Icons als WOFF2 herunterladen und lokal hosten. Oder auf SVG-Icons umsteigen. Google stellt die Icons auch als SVG-Dateien auf GitHub bereit.
Wer Premium-Schriften uber MyFonts Cloud oder Fonts.com Webfont-Service nutzt, hat dasselbe Thema. Die Fonts werden von externen Servern geladen, IP-Adressen werden ubertragen.
Hier ist die Losung etwas komplizierter, weil die Lizenzbedingungen variieren. Manche Premium-Font-Lizenzen erlauben Self-Hosting, manche nicht. Bei MyFonts gibt es zwei Lizenztypen:
Offnen Sie die DevTools (F12), gehen Sie auf Network, laden Sie die Seite neu und filtern Sie nach "Font" im Typ-Filter. Dann schauen Sie sich jeden einzelnen Request an. Typische externe Domains:
fonts.googleapis.com / fonts.gstatic.com — Google Fontsuse.typekit.net — Adobe Fontscdnjs.cloudflare.com — oft Font Awesomekit.fontawesome.com — Font Awesome Kitfast.fonts.net — Fonts.comfonts.bunny.net — Bunny Fonts (EU-basiert, weniger problematisch)use.fontawesome.com — altere Font Awesome VersionAlles, was nicht von Ihrer eigenen Domain kommt, ist potenziell problematisch.
Ehrlich gesagt empfehle ich meinen Kunden mittlerweile eine einfache Regel: Keine externen Font-Requests. Gar keine. Alles lokal hosten. Kein CDN, kein Cloud-Dienst, kein "aber die sind ja in der EU". Das ist die einzige Variante, bei der Sie 100% sicher sind.
Der Performance-Nachteil ist vernachlassigbar — mit HTTP/2 und Preload-Hints laden lokale Fonts genauso schnell wie CDN-Fonts. Und Sie sparen sich den DNS-Lookup fur die externe Domain, was die Sache sogar schneller machen kann.
<!-- Preload fur lokale Fonts -->
<link rel="preload" href="/fonts/roboto-v30-latin-regular.woff2"
as="font" type="font/woff2" crossorigin>