Google Fonts und die heimliche Datensammlung mit Schriftarten

Google trackt Euch mit Schriftarten: Google Fonts – einer populären Web-Font-Bibliothek, die von Millionen von Websites verwendet wird – betreibt heimliche Datensammlung von Usern. Viele Web-Entwickler und Website-Betreiber setzen Google Fonts ein, weil sie eine einfache und effiziente Möglichkeit bieten, die Ästhetik und Lesbarkeit einer Website zu verbessern. Was viele jedoch nicht wissen: Bei jedem Laden einer Website, die Google Fonts verwendet, werden Userdaten an Google übertragen.

Was sind die Google Fonts Schriftarten

Google Fonts ist ein beliebtes Tool, das Webentwicklern kostenlos eine Vielzahl von Schriftarten bietet. Die Benutzerfreundlichkeit und die große Auswahl an Schriftarten haben es zu einem Standard in der Webentwicklung gemacht. Aber wie bei vielen kostenlosen Diensten stellt sich oft die Frage: „Wenn man nicht für das Produkt bezahlt, ist man vielleicht das Produkt selbst?“ In Bezug auf Google Fonts geht es um die Datensammlung.

Die Hauptproblematik liegt hierbei nicht unbedingt in der Datensammlung selbst – schließlich sammeln viele Dienste Daten, um ihre Angebote zu optimieren. Es ist jedoch die fehlende Transparenz und Aufklärung, die hier kritisch betrachtet werden muss. Viele User sind sich überhaupt nicht bewusst, dass ihre Daten durch den bloßen Besuch einer Website, die Google Fonts verwendet, erfasst werden. Die Datensammlung geschieht still und heimlich im Hintergrund, und die meisten User werden niemals davon erfahren.

Technischer Hintergrund der Google Fonts Schriftarten Datensammlung

Wenn eine Webseite Google Fonts verwendet, muss sie in der Regel einen Verweis zu Googles Servern herstellen, um die gewünschte Schriftart zu laden. Dies geschieht durch das Einfügen eines speziellen Links in den HTML-Code der Seite, der auf eine CSS-Datei auf Googles Servern zeigt. Diese CSS-Datei enthält Anweisungen zum Laden der Schriftart.

Wie es funktioniert

Wann immer ein Benutzer eine Webseite besucht, die Google Fonts verwendet, sendet sein Browser eine Anfrage an Googles Server, um die Schriftart herunterzuladen. Bei dieser Anfrage werden verschiedene Daten übermittelt:

1. Die IP-Adresse des Benutzers.
2. Der User-Agent-String des Browsers, der Informationen über den Browsertyp und das Betriebssystem des Benutzers enthält.
3. Die Webseite, von der die Anfrage stammt.
4. Weitere technische Details, wie z.B. die Bildschirmauflösung oder Spracheinstellungen des Browsers.

Diese Daten können potenziell dazu verwendet werden, um Nutzerprofile zu erstellen, insbesondere wenn sie mit anderen Daten kombiniert werden, die Google durch seine zahlreichen Dienste sammelt.

Warum ist das problematisch

Die Sammlung von Daten durch Google Fonts mag auf den ersten Blick harmlos erscheinen, insbesondere im Vergleich zu den weitreichenderen Datensammlungspraktiken, die in anderen Teilen des Internets vorkommen. Aber es gibt einige Bedenken:

1. Verfolgung: Auch wenn die durch Google Fonts gesammelten Daten für sich genommen möglicherweise nicht sehr aussagekräftig sind, können sie, wenn sie mit anderen Daten kombiniert werden, dazu beitragen, ein detailliertes Profil eines Benutzers zu erstellen.
2. Zentralisierung: Die weit verbreitete Nutzung von Google Fonts trägt zur weiteren Zentralisierung des Internets bei. Eine solche Zentralisierung kann zu einem Single Point of Failure werden und potenziell die Privatsphäre und die Datensicherheit gefährden.

Technischer Hintergrund

Einbindung auf Websites
Webentwickler binden Google Fonts typischerweise so ein:

<link href="https://fonts.googleapis.com/css?family=Roboto" rel="stylesheet">

Diese CSS-Datei verweist wiederum auf weitere Dateien (die eigentlichen Schriftarten im WOFF2-, WOFF- oder TTF-Format), ebenfalls von Googles Servern.

Ablauf beim Seitenaufruf

• Browser ruft fonts.googleapis.com auf (CSS-Datei)
• CSS verweist auf fonts.gstatic.com (Font-Datei)
• Dabei übermittelt der Browser automatisch:
  • IP-Adresse (erkennbar als eindeutiger Zugriffspunkt)
  • User-Agent (Browser, Betriebssystem, Version)
  • Referrer (Seite, von der der Aufruf kommt)
  • Spracheinstellungen, teilweise Bildschirmauflösung, Rendering-Engine
• Google kann diese Daten mit anderen gesammelten Informationen verknüpfen.

Besonderheit
Selbst wenn die Fonts im Browser-Cache liegen, kann der erste Abruf einer Seite bereits Tracking ermöglichen.

Welche Auswirkungen hat dies aus datenschutzrechtlicher Perspektive

1. Mangelnde Transparenz: Google bietet keine klaren Informationen darüber, welche Daten genau gesammelt werden und wie sie verwendet werden, wenn jemand eine Website besucht, die Google Fonts nutzt.
2. Unwissenheit der User: Viele User sind sich nicht bewusst, dass ihre Daten gesammelt werden, und haben dementsprechend keine Möglichkeit, sich dagegen zu entscheiden oder ihre Zustimmung zu geben.
3. Verantwortung der Web-Entwickler: Während Google die Tools bereitstellt, liegt es oft in der Verantwortung der Web-Entwickler und Website-Betreiber, sich über Datenschutzbestimmungen im Klaren zu sein und ihre User darüber zu informieren.
4. Potenzielles Missbrauchspotenzial: Wenn Daten gesammelt werden, besteht immer das Risiko, dass sie missbraucht oder ohne Zustimmung an Dritte weitergegeben werden.
5. Beeinträchtigung der demokratischen Werte: In einer Gesellschaft, die den Datenschutz und die Privatsphäre hochhält, sollte jeder Bürger das Recht haben zu wissen, welche seiner Daten gesammelt werden und warum.

Die heimliche Datensammlung durch Google Fonts ist ein weiteres Beispiel dafür ist, wie große Technologieunternehmen oft im Verborgenen agieren. Es ist essenziell, dass sowohl User als auch Web-Entwickler sich der Risiken bewusst sind und aktiv Maßnahmen ergreifen, um den Datenschutz zu gewährleisten.

Google wurde für dieses Verhalten jedoch nicht belangt. Geschädigt sind die Benutzer die Abmahnungen von Geldgierigen erhielten, die diesen Fall ausnutzten.

Wie schütze ich mich vor dem laden von Google Fonts

Für Endnutzer auf dem PC

1. Browser-Erweiterungen:
   • Privacy Badger (Firefox, LibreWolf, Waterfox etc.) – blockiert standardmäßig Google Fonts.
   • uBlock Origin – kann gezielt fonts.googleapis.com und fonts.gstatic.com blockieren.
2. Systemweite Blockade:
   • Linux/macOS:

öffnet die Datei:

sudo nano /etc/hosts

und tragt folgendes in die Datei ein wie im Screenshot zu sehen:

127.0.0.1 fonts.googleapis.com
127.0.0.1 fonts.gstatic.com

Eine Versuch Eures Systems fonts.googleapis.com aufzurufen läuft damit ins Leere:

3. DNS-Filter nutzen:
Pi-hole, AdGuard Home oder NextDNS – blockiert Google Fonts auf allen Geräten im Netzwerk.

Für Endnutzer auf dem Android Smartphone

Auf Android könnt Ihr Euch gegen das Nachladen von Google Fonts ähnlich wie am PC schützen, aber die Methoden unterscheiden sich, weil Ihr keinen direkten Zugriff auf /etc/hosts habt und viele Browser-Apps eigene Regeln verwenden.
Hier sind die praktischsten Ansätze – von „einfach“ bis „technisch fortgeschritten“:

Browser mit integriertem Tracker-Blocker verwenden

• Bromite
  Hat integrierten Content-Blocker und kann Domains wie fonts.googleapis.com direkt blockieren.
• Firefox / Fennec / Mull
  In Kombination mit uBlock Origin oder Privacy Badger lassen sich Google Fonts gezielt blockieren:
  1. uBlock Origin installieren
  2. In den Filterlisten fonts.googleapis.com und fonts.gstatic.com blockieren.
• Brave
  Blockt standardmäßig viele Tracker, Google Fonts aber nicht immer. Unter Einstellungen → Schutz → Erweitert zusätzlich die Blockierung von Drittanbieter-Ressourcen aktivieren.

Systemweite DNS-Blockade (ohne Root)

Mit einem DNS-Filter könnt Ihr Google Fonts auf dem ganzen Gerät blockieren – unabhängig von der App.

• NextDNS (https://nextdns.io)
  → Eigene Sperrliste erstellen und fonts.googleapis.com sowie fonts.gstatic.com blockieren.
• AdGuard DNS
  → Vorinstallierte Tracking-Sperrlisten aktivieren.
• Quad9 oder ControlD mit Custom Rules.

Wie man auf Android einen Systemweiten DNS aktiviert, erfahrt ihr hier und hier.

Kurz gesagt benutzt ihr dafür spezielle DNS Server die solche Tracker blockieren:
Einstellungen → Netzwerk & Internet → Privates DNS aktivieren und die gewünschte DNS-Server-Adresse eintragen.

Werbe- und Tracker-Blocker als eigenständige App

• AdGuard (lokales VPN ohne Root)
  → Blockiert gezielt Google Fonts, auch in In-App-Browsern.
• RethinkDNS (Open Source)
  → DNS-Blocklisten + Firewall-Funktion.

Für Website-Betreiber

1. Fonts lokal hosten:
   • Google Fonts herunterladen (z. B. über https://gwfh.mranftl.com/)
   • Dateien ins eigene Webserver-Verzeichnis legen und lokal einbinden.
2. CSS-Optimierung:
   • Nur tatsächlich verwendete Schriftschnitte einbinden (reduziert Ladezeit und Datenübertragung).
3. Fallback-Schriften definieren:
   • Falls Fonts blockiert werden, eine ähnliche Systemschriftart als Ersatz angeben.

Fazit

Google Fonts sind bequem, aber datenschutzrechtlich problematisch, wenn sie direkt von Googles Servern geladen werden. Wer Wert auf Privatsphäre legt – ob als Website-Betreiber oder als Nutzer – sollte Fonts lokal einbinden oder blockieren. So bleibt nicht nur die Kontrolle über die Daten erhalten, sondern man reduziert auch unnötige externe Abhängigkeiten.

Quellen:

https://www.netzwoche.ch/news/2023-05-25/gerichtsurteil-google-fonts-abmahnungen-sind-ungerechtfertigt

https://www.hubit.de/google-tracking-von-admins-und-web-besuchern-mit-google-fonts/