Google Fonts, Analytics & Co.: Die 5 häufigsten Abmahnfallen externer Dienste — und wie ihr sie entschärft

Google Fonts extern eingebunden, Analytics ohne Consent, Maps ohne Klick-Lösung — das sind die drei häufigsten DSGVO-Verstöße auf deutschen Unternehmenswebsites. Dieser Artikel zeigt für fünf Drittdienste das genaue Risiko, die technische Lösung und den realistischen Umsetzungsaufwand.

Von Sascha Braun··8 Min LesezeitFortgeschritten

Teil 3 von 5: DSGVO-Checkliste

Teil 1Teil 2Teil 3

Externe Dienste wie Google Fonts, Google Analytics 4 oder der Meta Pixel gehören zum Standard-Repertoire von Websites — und gleichzeitig zu den häufigsten Quellen für DSGVO-Verstöße. Seit dem LG-München-Urteil von 2022 zu Google Fonts ist klar: Die technisch bequemste Einbindung ist oft die rechtlich riskanteste. Dieser Artikel behandelt fünf der meistgenutzten Drittdienste, erklärt jeweils das konkrete Risiko und beschreibt die technische Lösung mit realistischem Aufwand.

Das LG-München-Urteil: Warum externe Dienste zur Abmahnfalle werden

Das Landgericht München I hat am 20. Januar 2022 (Az. 3 O 17493/20) entschieden, dass die dynamische Einbindung von Google Fonts ohne Einwilligung gegen die DSGVO verstößt. Die Begründung: Bei jedem Seitenaufruf wird die IP-Adresse des Besuchers an Google-Server in den USA übertragen — ohne dass der Besucher dem zugestimmt hat. Das Gericht sprach dem Kläger 100 Euro Schadensersatz zu (Art. 82 Abs. 1 DSGVO). Das klingt nach wenig, löste aber eine Abmahnwelle aus — mit geforderten Beträgen zwischen 150 und 500 Euro pro Schreiben.

Das zugrundeliegende Prinzip gilt nicht nur für Schriftarten. Jeder Dienst, der beim Laden einer Seite eine Verbindung zu externen Servern herstellt und dabei personenbezogene Daten überträgt, erfordert eine Rechtsgrundlage. Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO scheidet aus, sobald derselbe Zweck auch ohne die Drittübertragung erreichbar wäre — und das ist bei Google Fonts, Maps und YouTube in allen Fällen der Fall.

Google Fonts: Lokal hosten ist die einzige saubere Lösung

Das Risiko

Bei der externen Einbindung über fonts.googleapis.com baut der Browser des Besuchers eine direkte Verbindung zu Google-Servern in den USA auf. Dabei überträgt er die IP-Adresse, den User-Agent und die angefragte Schriftart. Die IP-Adresse gilt nach Art. 4 Nr. 1 DSGVO als personenbezogenes Datum, da der Webseitenbetreiber abstrakt über Mittel verfügt, die dahinterstehende Person zu identifizieren. Ein AV-Vertrag mit Google löst das Problem nicht — es handelt sich nicht um Auftragsverarbeitung, sondern um eine eigenständige Drittübermittlung. Das Gericht ließ auch den Einwand nicht gelten, Nutzer könnten ihre IP per VPN verschleiern: Das würde den Schutzzweck des Datenschutzrechts umkehren.

Ein weiterer Punkt: Das LG München I stellte 2023 (Az. 4 O 13063/22) klar, dass automatisierte Massenabmahnungen per Webcrawler rechtsmissbräuchlich sein können. Das reduziert das Risiko von Abmahnwellen spürbar — nimmt aber nicht das Grundrisiko einer berechtigten Einzelabmahnung.

Die Lösung: Lokales Hosting

Google Fonts steht unter offener Lizenz und lässt sich vollständig auf dem eigenen Server hosten. Damit entfällt jede Verbindung zu Google-Servern beim Seitenaufruf.

Schritt-für-Schritt:

  1. Gewünschte Fonts unter google-webfonts-helper.herokuapp.com herunterladen (WOFF2 + WOFF)

  2. Font-Dateien im Projekt ablegen (z. B. /fonts/)

  3. CSS per @font-face einbinden:

@font-face {
  font-family: 'Inter';
  src: url('/fonts/inter-v13-latin-regular.woff2') format('woff2');
  font-weight: 400;
  font-style: normal;
  font-display: swap;
}

  1. Den <link>-Tag zu fonts.googleapis.com aus dem <head> entfernen

In WordPress übernimmt das Plugin OMGF (Optimize My Google Fonts) die Automatisierung. Wichtig: Nach Theme-Updates prüfen, ob externe Font-Links wieder eingebaut wurden — das passiert regelmäßig.

Aufwand: Niedrig. In statischen Projekten ist das eine Aufgabe von 20–30 Minuten.

Bonus: Lokale Fonts sparen einen DNS-Lookup und verbessern den First Contentful Paint (FCP) — ein Bestandteil der Core Web Vitals.

Google Analytics 4: Consent-Pflicht und das US-Transfer-Problem

Das Risiko

GA4 erfasst standardmäßig IP-Adressen, Browser-Fingerprints, Geolocation-Daten und Nutzungsverhalten. Diese Daten werden auf Google-Servern in den USA gespeichert, wo sie theoretisch dem Zugriff nach Section 702 FISA oder Executive Order 12333 unterliegen. Die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe vom März 2024 klargestellt: Server-Side Tagging und IP-Anonymisierung sind wichtige Bausteine — eliminieren das US-Transfer-Risiko aber nicht vollständig. Eine pauschale Freigabe von GA4 durch eine Datenschutzbehörde gibt es bis heute nicht.

Zusätzlich gilt seit März 2026 der Consent Mode v2 als Pflicht für alle Google-Dienste: GA4 darf personenbezogene Daten erst nach erteilter Einwilligung verarbeiten.

Die Lösung: Drei Maßnahmen im Verbund

1. Consent Mode v2 Die Konfiguration erfolgt über das Consent Management Platform (CMP) des Cookie-Banners. Ohne korrekten Consent Mode verarbeitet GA4 Daten auch ohne Zustimmung — was gegen Art. 6 DSGVO und das TDDDG verstößt.

2. IP-Anonymisierung In GA4 ist die IP-Anonymisierung seit 2022 standardmäßig aktiv (anders als in Universal Analytics). Kontrollieren lässt sich das in der GA4-Property unter Datenverwaltung → Datenerfassung.

3. Server-Side Tagging Beim serverseitigen Tracking wird die Datenerfassung vom Browser auf einen vom Betreiber kontrollierten Server verlagert. Dieser anonymisiert und filtert Rohdaten, bevor sie über das Measurement Protocol an GA4 weitergeleitet werden. IP-Adressen werden bereits serverseitig gekürzt (letztes Oktet entfernt), bevor sie Google erreichen. Nebeneffekt: Ad-Blocker und Safari-ITP können das Tracking nicht mehr blockieren — die Datenqualität steigt.

Aufwand: Server-Side Tagging ist mittel bis hoch. Consent Mode v2 ist in 1–2 Stunden konfiguriert. Ein Tagging-Server (z. B. über Stape.io oder einen deutschen Cloud-Anbieter) und Kenntnisse im Google Tag Manager sind Voraussetzung.

Alternative: Wer das US-Transfer-Risiko vollständig ausschließen will, wechselt auf Matomo (selbst gehostet auf deutschem Server) oder Plausible (EU-Hosting). Beide sind ohne Cookie-Einwilligung nutzbar, wenn keine personenbezogenen Daten erhoben werden — was ihre Integration deutlich einfacher macht.

Google Maps: Die 2-Klick-Lösung

Das Risiko

Eingebettete Google Maps-Karten stellen beim Laden der Seite eine direkte Verbindung zu Google-Servern her — unabhängig davon, ob der Nutzer mit der Karte interagiert. Dabei werden IP-Adresse, Browser-Informationen und Standortdaten übertragen. Das Datenschutzrisiko ist strukturell identisch mit dem von Google Fonts: Kein berechtigtes Interesse, da die Karte auch ohne Google oder mit einer Alternative eingebunden werden könnte.

Die Lösung: Platzhalter + explizite Einwilligung

Die etablierte Methode ist die 2-Klick-Lösung: Statt der echten Karte wird ein lokal gehostetes Platzhalterbild angezeigt, das beim Laden der Seite keine externen Verbindungen aufbaut. Erst nach einem aktiven Klick des Nutzers — verbunden mit einem klaren Hinweis auf die Datenübertragung an Google — wird die eigentliche Karte nachgeladen.

Technisch lässt sich das entweder manuell umsetzen oder über CMP-Tools wie Borlabs Cookie oder Usercentrics automatisieren, die einen integrierten Content-Blocker für iFrames mitliefern.

Alternative: OpenStreetMap (OSMF, UK-Sitz) ist für viele Anwendungsfälle eine funktional gleichwertige Option mit deutlich geringeren Datenschutzrisiken.

Aufwand: Niedrig bis mittel. Mit einem CMP-Plugin ist es eine Konfigurationsaufgabe von unter einer Stunde.

YouTube: Nocookie allein reicht nicht

Das Risiko

Bei der Standard-Einbindung über youtube.com setzt YouTube bereits beim Laden der Seite Cookies — auch ohne dass das Video abgespielt wird. Dabei werden IP-Adresse und weitere Daten an Google-Server in den USA übertragen. Eine automatisierte Prüfung der Bundesbeauftragten für Datenschutz hat im ersten Quartal 2025 auf rund 200 Bundeswebseiten 40 solche Verstöße festgestellt.

Die Lösung: Nocookie + Consent-Layer

YouTube bietet den erweiterten Datenschutzmodus an: Videos werden über youtube-nocookie.com statt youtube.com geladen. Der Einbettungscode ändert sich dadurch zu:

<iframe
  src="https://www.youtube-nocookie.com/embed/VIDEO_ID"
  width="560" height="315"
  frameborder="0" allowfullscreen>
</iframe>

Die Option wird im YouTube-Einbettungsdialog unter Erweiterten Datenschutzmodus aktivieren gesetzt.

Wichtig: Die nocookie-Domain allein ist kein vollständiger DSGVO-Schutz. Auch im erweiterten Datenschutzmodus werden beim Abspielen Verbindungen zu Google-Servern hergestellt und personenbezogene Daten übertragen. Die sicherere Variante kombiniert die nocookie-URL mit einem Consent-Layer oder einer 2-Klick-Lösung — entweder über das CMP oder über WordPress-Plugins wie WP YouTube Lyte (lädt Vorschaubilder lokal zwischen) oder Real Cookie Banner (blockiert iFrame bis zur Einwilligung).

Aufwand: Niedrig (nocookie: 5 Minuten pro Video). Mit CMP: einmalige Konfiguration. Hinweis: YouTube speichert die Datenschutzmodus-Einstellung nicht global — jedes Video muss einzeln angepasst werden.

Meta Pixel: Das Schrems-II-Dilemma

Das Risiko

Der Meta Pixel ist das rechtlich komplexeste Element auf dieser Liste. Zwei Risiken überlagern sich:

1. Fehlende Einwilligung: Das Pixel darf erst geladen werden, nachdem der Nutzer ausdrücklich eingewilligt hat. Eine Rechtfertigung über berechtigtes Interesse ist ausgeschlossen — es handelt sich um ein reines Tracking-Tool für Werbezwecke.

2. Schrems II: Selbst bei vorliegender Einwilligung überträgt das Pixel personenbezogene Daten an Meta Platforms Inc. in den USA. Die österreichische Datenschutzbehörde (DSB) hat in einer Grundsatzentscheidung festgestellt, dass die Nutzung des Facebook-Pixels die DSGVO und das Schrems-II-Urteil direkt verletzt: Die übertragenen Daten sind dem Zugriff durch US-Geheimdienste nach FISA 702 ausgesetzt.

Der aktuelle Stand: Data Privacy Framework 2026

Am 10. Juli 2023 trat das EU-US Data Privacy Framework (DPF) in Kraft — der dritte Versuch nach Safe Harbor (2015 gekippt) und Privacy Shield (2020 durch Schrems II gekippt). Das EU-Gericht erster Instanz bestätigte das DPF im September 2025 in einer ersten direkten Klage. Die Entscheidung ist jedoch nicht endgültig: NOYB (Max Schrems) hat weitere Klagen angekündigt und sieht das DPF als strukturell gefährdet — insbesondere angesichts von Exekutivanordnungen unter der Trump-Administration, die die Unabhängigkeit des Datenschutz-Überprüfungsgerichts (DPRC) in Frage stellen.

Konsequenz für Website-Betreiber: Das DPF liefert aktuell eine formale Rechtsgrundlage für Datentransfers an DPF-zertifizierte US-Unternehmen — Meta ist zertifiziert. Das politische und juristische Restrisiko bleibt. Wer den Meta Pixel einsetzt:

  1. Einwilligung vor dem Laden sicherstellen (CMP korrekt konfigurieren)

  2. DPF-Zertifizierung von Meta unter dataprivacyframework.gov verifizieren

  3. US-Transfer und Schrems-II-Risiken in der Datenschutzerklärung benennen

  4. Datenschutz-Folgenabschätzung (DSFA) erwägen

Aufwand: Mittel. Die technische Einbindung über ein CMP ist überschaubar. Das rechtliche Setup erfordert Zeit oder Rechtsberatung.

Externe Dienste systematisch erkennen

Eine der häufigsten Ursachen für DSGVO-Verstöße ist schlicht Unkenntnis: Viele Website-Betreiber wissen nicht, welche externen Verbindungen ihre Seite beim Laden aufbaut. WordPress-Themes, Countdown-Timer oder Social-Media-Embeds laden still Ressourcen von Drittservern nach.

Tools zur Diagnose:

  • Browser DevTools → Network-Tab: Zeigt alle Requests beim Seitenaufruf, inklusive Herkunft. Filter auf 3rd-party eingrenzen.

  • Blacklight (The Markup): Automatisierter Scan auf Tracker und Drittanbieter-Ressourcen — kostenlos, keine Registrierung.

  • Cookie-Audit eines CMP: Borlabs, Usercentrics und Cookiebot generieren beim ersten Setup eine Übersicht der erkannten Dienste.

Die DSGVO-Checkliste für Websites 2026 gibt einen vollständigen Überblick über alle rechtlichen Pflichten. Wie der Cookie-Banner dabei korrekt umgesetzt wird — gleichwertige Buttons, Consent Logging, Widerruf — erklärt Teil 2 dieser Serie.

Zusammenfassung: Risiko und Aufwand auf einen Blick

Dienst

Hauptrisiko

Lösung

Aufwand

Google Fonts

IP-Transfer an Google (USA)

Lokal hosten

Niedrig

Google Analytics 4

US-Transfer + fehlender Consent

Consent Mode v2 + Server-Side Tagging

Mittel–Hoch

Google Maps

IP-Transfer ohne Interaktion

2-Klick-Lösung oder CMP-Content-Blocker

Niedrig–Mittel

YouTube

Cookies vor Einwilligung

Nocookie-Domain + Consent-Layer

Niedrig

Meta Pixel

Schrems II + fehlender Consent

CMP + DPF-Prüfung + DSFA

Mittel

Kein Dienst lässt sich dauerhaft ignorieren — aber keiner ist technisch unlösbar. Der erste Schritt ist immer die Bestandsaufnahme: Welche externen Verbindungen baut deine Seite auf, bevor der Besucher überhaupt eine Einwilligung erteilt hat? Ein automatisierter Website-Check scannt deine Domain auf eingebundene externe Ressourcen und zeigt konkret, wo Handlungsbedarf besteht.

Teilen:
Inhalt

Der nächste Artikel direkt in dein Postfach

Kein Spam — nur neue Artikel, kompakt zusammengefasst.

Du kannst dich jederzeit abmelden. Datenschutz

Sascha Braun

Sascha Braun

Lead Web Architect & Infrastructure Engineer

Gründer von Zyntix Labs und leidenschaftlicher Entwickler mit Schwerpunkt auf Webentwicklung, Hosting-Infrastruktur und Automatisierung. Arbeitet täglich an performanten Webseiten, stabilen Serverarchitekturen und effizienten Entwicklungsworkflows, um Unternehmen moderne und zuverlässige Weblösungen bereitzustellen.

LinkedInInstagramMehr Posts ↗