SC ShopCompliance
Im App Store öffnen
← Alle Beiträge
DSGVOGoogle FontsShopifyDatenschutz

Google-Fonts-Abmahnung vermeiden: lokale Einbindung in Shopify

03. Juli 2026 · Max Benz

Eine Google-Fonts-Abmahnung ist eine Zahlungsaufforderung, die Shopify-Händler erhalten, wenn ihr Onlineshop Schriftarten direkt von den Servern von Google lädt und dabei die IP-Adresse der Besucher ohne Rechtsgrundlage an Google in die USA überträgt. Der Auslöser war ein Urteil des Landgerichts München I aus dem Jahr 2022, seitdem verschicken Kanzleien und private Absender massenhaft Schreiben mit Forderungen zwischen 100 und rund 190 Euro. Die gute Nachricht: Der technische Fix ist in einem Shopify-Theme in wenigen Schritten erledigt, ganz ohne dass Sie Entwickler beauftragen müssen.

Was ist eine Google-Fonts-Abmahnung?

Bei einer Google-Fonts-Abmahnung handelt es sich um ein Schreiben, in dem behauptet wird, dass beim Besuch Ihres Shops personenbezogene Daten unrechtmäßig an Google übertragen wurden, weil die Website Schriftarten über die Google-Fonts-API nachlädt. Der Absender fordert dafür Schadensersatz, häufig verbunden mit einer Unterlassungserklärung und manchmal mit einem Auskunftsgesuch nach Artikel 15 DSGVO.

Google Fonts selbst ist eine kostenlose Bibliothek mit mehreren tausend Schriftarten, die viele Shopify-Themes standardmäßig verwenden, weil sie professionell wirken und schnell einzubinden sind. Technisch gibt es dabei zwei grundverschiedene Wege: Entweder die Schriftdatei liegt bereits auf dem eigenen Server beziehungsweise dem Shopify-CDN, dann findet kein Kontakt zu Google statt. Oder die Website bindet lediglich einen Verweis auf Googles Server ein, sodass der Browser jedes Besuchers bei jedem Seitenaufruf erneut eine Verbindung zu Google aufbaut, um die Schriftdatei zu laden. Nur der zweite Weg ist rechtlich problematisch, und genau dieser Weg ist bei vielen Shopify-Standardthemes werkseitig voreingestellt.

Ausgelöst hat die Welle ein einzelnes Zivilurteil, seither haben sich zahlreiche Trittbrettfahrer auf automatisierte Scans spezialisiert: Sie durchsuchen Zehntausende Websites systematisch nach dem technischen Merkmal fonts.googleapis.com im Quellcode und verschicken anschließend Serienbriefe, oft ohne dass die Website je von einer echten Person besucht wurde. Für Shopify-Händler ist das relevant, weil viele Themes Google Fonts standardmäßig über die Google-Server laden, ohne dass die Shopbetreiber das aktiv eingerichtet haben.

Die Schreiben folgen meist einem ähnlichen Muster: Sie berufen sich auf einen angeblichen Besuch der Website zu einem bestimmten Datum, verweisen auf das Urteil des LG München I und fordern eine pauschale Schadensersatzsumme, häufig kombiniert mit einer strafbewehrten Unterlassungserklärung. Manche Schreiben kommen von Privatpersonen per E-Mail, andere von Kanzleien auf Briefpapier. Beide Varianten wirken zunächst offiziell, unterscheiden sich aber erheblich in ihrer rechtlichen Durchsetzbarkeit und im Umgang, den Sie wählen sollten.

Warum ist das Einbinden von Google Fonts über die DSGVO ein Problem?

Das Problem liegt nicht bei Google Fonts selbst, sondern beim Bezugsweg. Wird eine Schriftart dynamisch von fonts.googleapis.com oder fonts.gstatic.com geladen, überträgt der Browser jedes Besuchers automatisch dessen IP-Adresse an Google. Die IP-Adresse gilt datenschutzrechtlich als personenbezogenes Datum, ihre Übermittlung benötigt daher eine Rechtsgrundlage nach Artikel 6 Absatz 1 DSGVO, etwa eine wirksame Einwilligung. Diese liegt beim automatischen Laden von Schriftarten praktisch nie vor, da die Fonts schon geladen werden, bevor ein Besucher überhaupt auf ein Cookie-Banner reagieren kann.

Erschwerend kommt hinzu, dass die Daten an Google-Server in die USA übertragen werden, ein Land ohne durchgängig angemessenes Datenschutzniveau im Sinne der DSGVO. Gerichte werten diesen Drittlandtransfer zusammen mit der fehlenden Einwilligung als Verletzung des allgemeinen Persönlichkeitsrechts der Websitebesucher. Genau diese Kombination aus fehlender Rechtsgrundlage und Datenübertragung in die USA ist der rechtliche Kern jeder Google-Fonts-Abmahnung.

Das Urteil des LG München I und seine Folgen

Das Landgericht München I entschied am 20.01.2022 (Az. 3 O 17493/20), dass die dynamische Einbindung von Google Fonts ohne Einwilligung der Nutzer rechtswidrig ist. Die Richter sprachen dem Kläger 100 Euro Schadensersatz nach Artikel 82 DSGVO zu, weil durch die ungefragte Übermittlung der IP-Adresse an Google dessen Recht auf informationelle Selbstbestimmung verletzt worden sei. Das Gericht verwies dabei ausdrücklich auf das mangelnde Datenschutzniveau in den USA.

Dieses Urteil war der Startschuss für eine bis heute anhaltende Abmahnwelle. Wichtig für Shopify-Händler: Die meisten Schreiben stammen nicht von tatsächlich geschädigten Website-Besuchern, sondern von automatisierten Scannern, die kein Interesse an einem echten Rechtsstreit haben, sondern auf schnelle Zahlungen aus sind. Das ändert nichts daran, dass die zugrunde liegende Rechtslage ernst zu nehmen ist, es bedeutet aber, dass eine überstürzte Zahlung selten der richtige erste Schritt ist.

Ist mein Shopify-Shop betroffen? So prüfen Sie es

Bevor Sie etwas ändern, sollten Sie in unter zwei Minuten feststellen, ob Ihr Shop überhaupt betroffen ist:

  • Öffnen Sie Ihren Shop in Chrome oder Firefox, öffnen Sie die Entwicklertools (F12) und wechseln Sie zum Netzwerktab.
  • Laden Sie die Seite neu und filtern Sie die Anfragen nach “font”. Erscheinen Einträge zu fonts.googleapis.com oder fonts.gstatic.com, lädt Ihr Shop Schriftarten von Googles Servern.
  • Prüfen Sie zusätzlich den Theme-Code: Gehen Sie im Shopify Admin auf Onlineshop, dann Themes, dann Aktionen und Code bearbeiten, und suchen Sie im Layout-Ordner nach “fonts.googleapis”. Auch einzelne Apps oder Drittanbieter-Embeds können Google Fonts nachladen, prüfen Sie also auch aktive App-Skripte.

Finden Sie einen dieser Treffer, ist Ihr Shop technisch betroffen und sollte umgestellt werden, unabhängig davon, ob bereits eine Abmahnung eingegangen ist.

Google Fonts lokal einbinden in Shopify: Schritt-für-Schritt

Der zuverlässigste Fix ist, Schriftdateien lokal zu hosten, sodass beim Seitenaufruf keine Verbindung mehr zu Google aufgebaut wird. In Shopify lässt sich das ohne externe Entwickleragentur umsetzen. Die folgende Übersicht zeigt die vier Schritte im Zusammenhang, bevor jeder Schritt einzeln erklärt wird.

Infografik: Google Fonts in 4 Schritten lokal in Shopify einbinden

Font-Dateien hochladen

Laden Sie die benötigten Schriftschnitte einmalig als WOFF2-Dateien von Google Fonts herunter. Die folgende Ansicht zeigt die offizielle Google-Fonts-Quellseite am Beispiel der Schriftart Inter, von der die Dateien heruntergeladen werden.

Google Fonts Website mit der Schriftfamilie Inter, von der die Schriftdateien für die lokale Einbindung heruntergeladen werden

Gehen Sie anschließend im Shopify Admin auf Inhalte, dann Dateien, und laden Sie die Font-Dateien dort hoch. Alternativ können Sie die Dateien direkt im Theme-Code-Editor im Ordner Assets ablegen, dort sind sie ebenfalls über die Shopify-eigene CDN-Domain erreichbar, nicht mehr über Google.

@font-face referenzieren

Legen Sie im Theme-Code-Editor eine neue CSS-Datei an, etwa custom-fonts.css im Assets-Ordner, und definieren Sie darin die Schriftart mit einer @font-face-Regel, die auf die hochgeladene Datei verweist. Binden Sie diese Datei anschließend im Layout, meist theme.liquid, über das asset_url-Filter ein, sodass sie bei jedem Seitenaufruf mitgeladen wird.

Theme-Schrifteinstellungen ohne Google-CDN nutzen

Viele moderne Shopify-Themes im Online-Store-2.0-Format bieten im Theme-Editor unter Design eine eigene Schriftauswahl an. Schriften, die Sie dort über die integrierte Schriftbibliothek auswählen, werden in der Regel bereits über die Shopify-eigene Infrastruktur ausgeliefert statt über Google-Server. Das ist häufig der einfachste Weg ganz ohne Code, prüfen Sie aber trotzdem anschließend mit dem Netzwerktab, ob wirklich keine Google-Anfragen mehr auftauchen, da einzelne Theme-Versionen abweichen können.

Mit dem Netzwerktab prüfen

Wiederholen Sie die Prüfung aus dem vorherigen Abschnitt nach der Umstellung. Erscheinen keine Anfragen mehr an fonts.googleapis.com oder fonts.gstatic.com, ist die Umstellung abgeschlossen und Ihr Shop lädt Schriftarten vollständig lokal.

Google Fonts über CDN vs. lokal gehostet: der Unterschied

Der Unterschied liegt allein darin, woher der Browser die Schriftdatei bezieht, nicht in der Schriftart selbst.

MerkmalGoogle-CDN (Standard)Lokal gehostet (Fix)
Datenübertragung an GoogleJa, bei jedem SeitenaufrufNein
IP-Adresse wird an Google gesendetJaNein
Rechtsgrundlage nach Art. 6 DSGVO nötigJa, meist nicht vorhandenNein, da keine Drittübermittlung
AbmahnrisikoVorhandenPraktisch ausgeschlossen
LadegeschwindigkeitAbhängig von Google-ServernÜber Shopify-eigenes CDN, meist stabil
EinrichtungsaufwandKeiner, ist oft Theme-StandardEinmalig, siehe Anleitung oben

Der lokale Weg entfernt das rechtliche Risiko vollständig, weil während des Seitenaufrufs schlicht keine Verbindung mehr zu einem Google-Server aufgebaut wird. Es gibt damit keinen Datentransfer, der eine Einwilligung erfordern würde.

Bereits eine Abmahnung erhalten? So reagieren Sie richtig

Ist bereits ein Schreiben eingegangen, gilt vor allem: nicht überstürzt zahlen. Prüfen Sie zunächst, ob Ihr Shop zum genannten Zeitpunkt tatsächlich Google Fonts von Googles Servern geladen hat, technische Nachweise wie Screenshots oder Quellcode-Ausdrucke werden nicht immer sauber erbracht. Fordern Sie bei anwaltlichen Schreiben die Vollmacht im Original an und prüfen Sie, ob der Absender überhaupt glaubhaft macht, Ihre Website tatsächlich besucht zu haben.

Enthält das Schreiben ein Auskunftsgesuch nach Artikel 15 DSGVO, sollten Sie dieses nicht ignorieren, aber auch nicht unüberlegt vollständig beantworten. Nutzen Sie parallel die Gelegenheit, die technische Ursache umgehend zu beheben, denn eine Unterlassungserklärung ohne begleitende Umstellung auf lokale Fonts bringt Sie in eine schlechtere Position. Bei höheren Forderungen, gerichtlichen Mahnbescheiden oder Unsicherheit über die Rechtslage im Einzelfall ist der Gang zu einer auf IT- und Datenschutzrecht spezialisierten Kanzlei sinnvoll, insbesondere wenn eine Klage oder ein Verfügungsverfahren im Raum steht.

Wichtig ist zudem, wer den Absender darstellt. Schreiben von Privatpersonen, häufig per einfacher E-Mail, bergen in der Praxis ein geringeres Risiko einer tatsächlichen gerichtlichen Auseinandersetzung als anwaltliche Schreiben mit Fristsetzung. Kommt die Forderung aus dem Ausland oder ohne nachvollziehbare Kontaktdaten, ist grundsätzliche Zurückhaltung angebracht, da hier weder die Ernsthaftigkeit noch die rechtliche Durchsetzbarkeit verlässlich einzuschätzen ist. Dokumentieren Sie in jedem Fall den Eingang des Schreibens und den Zeitpunkt, zu dem Sie die technische Umstellung auf lokale Fonts vorgenommen haben, das erleichtert eine spätere Argumentation erheblich.

Die Rechtslage ist derzeit sogar in Bewegung: Der Bundesgerichtshof hat am 28.08.2025 (Az. VI ZR 258/24) das Verfahren ausgesetzt und dem Europäischen Gerichtshof mehrere Fragen zu Google-Fonts-Massenabmahnungen vorgelegt. Im Kern geht es darum, ob ein bewusst und automatisiert massenhaft provozierter Datenschutzverstoß überhaupt einen Schadensersatzanspruch begründet, und ob ein Anspruch wegen Rechtsmissbrauchs ausscheiden kann, wenn die Voraussetzungen dafür künstlich herbeigeführt wurden. Bis der EuGH entschieden hat, bleibt unklar, ob rein automatisiert gescannte und nie wirklich besuchte Shops überhaupt eine wirksame Grundlage für eine Forderung liefern, ein weiteres Argument dafür, eine Forderung nicht überstürzt zu begleichen.

Weitere DSGVO-Fallstricke im Shopify-Theme

Google Fonts ist nur ein Beispiel für eine ganze Klasse ähnlicher Probleme. Auch eingebettete Google-Maps-Karten, YouTube-Videos ohne Consent-Layer oder Google-Analytics-Skripte, die vor einer Einwilligung feuern, übertragen personenbezogene Daten an Dritte und bergen ein vergleichbares Abmahnrisiko. Da diese Elemente oft über Apps oder Theme-Sections eingebunden werden, lohnt sich ein einmaliger Rundum-Check des gesamten Themes statt einer isolierten Betrachtung der Schriftarten. Einen vollständigen Überblick über alle Pflichten rund um DSGVO-konforme Shops finden Sie in unserem Grundlagenartikel.

Ein weiterer häufiger Fallstrick sind Schriftarten und Icons, die über Drittanbieter-Apps nachgeladen werden, etwa Bewertungs-Widgets, Chat-Tools oder Icon-Bibliotheken. Diese Apps binden gelegentlich eigene externe Ressourcen ein, auf die Sie als Shopbetreiber keinen direkten Code-Zugriff haben. Prüfen Sie in solchen Fällen zunächst, ob der App-Anbieter eine lokale oder DSGVO-konforme Alternative anbietet, und kontaktieren Sie andernfalls den Support des Anbieters. Da Sie als Websitebetreiber gegenüber Ihren Besuchern verantwortlich bleiben, reicht der Verweis auf eine fremde App allein rechtlich nicht aus. Werkzeuge wie shopcompliance.net können dabei helfen, solche Drittanbieter-Einbindungen laufend zu überwachen, statt sie nur einmalig manuell zu prüfen, und schlagen Alarm, sobald ein neues Skript unbemerkt personenbezogene Daten an einen externen Dienst überträgt.

Startseite von shopcompliance.net mit Übersicht der Compliance-Module für Shopify-Shops

Checkliste: Google-Fonts-Compliance in 5 Schritten

  1. Netzwerktab öffnen und prüfen, ob Anfragen an fonts.googleapis.com oder fonts.gstatic.com auftreten.
  2. Theme-Code und aktive Apps nach “fonts.googleapis” durchsuchen.
  3. Benötigte Schriftdateien herunterladen und über Inhalte, Dateien oder den Assets-Ordner hochladen.
  4. @font-face-Regel anlegen und im Layout einbinden, oder die integrierte Theme-Schriftbibliothek nutzen.
  5. Netzwerktab erneut prüfen, um die vollständige Umstellung zu bestätigen.

Häufige Fragen

Muss ich bei einer Google-Fonts-Abmahnung sofort zahlen? Nein. Prüfen Sie zunächst die Berechtigung des Absenders und den technischen Sachverhalt, bevor Sie auf eine Zahlungsaufforderung reagieren. Erfahrungswerte aus der bisherigen Abmahnwelle zeigen zudem, dass eine schnelle Zahlung häufig weitere Forderungen nach sich zieht, weil zahlende Adressaten als besonders reagible Ziele gelten.

Reicht es, Google Fonts einfach zu entfernen? Ein vollständiges Entfernen ist nicht nötig, es reicht, die dynamische Verbindung zu Googles Servern zu entfernen. Die Schriftart selbst können Sie weiterverwenden, solange sie lokal über Shopifys eigene Infrastruktur ausgeliefert wird.

Ist mein Shop auch betroffen, wenn ich nur wenig Traffic habe? Ja. Das Risiko hängt vom technischen Vorhandensein der Google-Fonts-Einbindung ab, nicht von der Besucherzahl, da viele Abmahnungen auf automatisierten Scans statt auf echten Besuchen beruhen.

Kann ich Google Fonts stattdessen über eine Einwilligung nutzen? Technisch möglich, in der Praxis aber unpraktikabel, weil Schriftarten meist geladen werden, bevor ein Nutzer über ein Cookie-Banner überhaupt entscheiden konnte. Die lokale Einbindung ist der zuverlässigere Weg.

Was mache ich, wenn eine Abmahnung aus dem Ausland kommt? Reagieren Sie nicht sofort mit einer Zahlung und unterschreiben Sie keine vorgefertigte Unterlassungserklärung. Stellen Sie stattdessen zügig auf lokal gehostete Fonts um und lassen Sie das Schreiben von einer auf IT- und Datenschutzrecht spezialisierten Kanzlei prüfen, bevor Sie reagieren. Der BGH prüft im laufenden EuGH-Vorlageverfahren (Az. VI ZR 258/24) ausdrücklich auch, ob ein Anspruch wegen Rechtsmissbrauchs ausscheidet, wenn die Voraussetzungen dafür gezielt und automatisiert herbeigeführt wurden, ein Aspekt, der bei Auslandsschreiben besonders relevant ist, da diese häufig auf denselben automatisierten Scans beruhen.

Wie lange dauert die Umstellung auf lokale Fonts in Shopify? Für ein Standard-Theme mit ein bis zwei Schriftfamilien ist der technische Wechsel meist innerhalb von 15 bis 30 Minuten erledigt, inklusive abschließender Prüfung über den Netzwerktab.

Betrifft das Problem auch andere eingebettete Google-Dienste? Ja, grundsätzlich betrifft das Risiko jeden eingebetteten Google-Dienst, der Daten dynamisch von US-Servern nachlädt. Eingebettete Google-Maps-Karten laden externe Ressourcen nach und können dabei Nutzerdaten übertragen, Google Analytics und der Google Tag Manager senden Tracking-Daten und benötigen eine Einwilligung, bevor sie feuern, und eingebettete YouTube-Videos bauen beim Laden ebenfalls eine Verbindung zu Google-Servern auf. Ein einmaliger Rundum-Check des gesamten Shopify-Themes auf solche Drittanbieter-Einbindungen ist wirksamer als eine isolierte Prüfung nur der Schriftarten.

EU-Pflichten automatisch im Shop erfüllen

ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.

Module & Preise ansehen

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.