Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Externe Google Schriften auf Webseiten einbinden: faktisch nicht möglich

4

Viele Webseiten nutzen externe Google Schriften. Die Schriften werden dadurch von einem Google Server geladen. Dieser Beitrag zeigt, dass das Einbinden von Google Fonts in dieser Weise problematisch und eigentlich unmöglich ist. Die für die meisten Webseiten akzeptable Lösung ist einfach.

Einleitung

Im Gegensatz zu einigen meiner vorigen Beiträge, u.a. zu Cookies, zur ePrivacy Richtlinie oder zu Consent Tools, sind die folgenden Informationen nicht weltbewegend. Die Kombination aus technischer und rechtlicher Betrachtung sowie die technische Lösungsmöglichkeit sind hoffentlich halbwegs neuartig. Allerdings musste ich bereits feststellen, dass selbst eine selbst ernannte Datenschützerin absichtlich weiter externe Google Schriften nutzt. Ich vermute, sie macht das entweder, weil sie sich (durch die rechtswidrige Einbindung) SEO-Effekte erhofft oder weil sie die weiter unten genannte Lösung nicht kennt.

Andere Schriften als die von Google sind übrigens teilweise noch eindeutiger einwilligungspflichtig. Beispielsweise Fast Fonts (fonts.com), weil diese einen Zählpixel zu Abrechnungszwecken einsetzen.

Google Schriften werden auch als Google Fonts bezeichnet. Sie zeichnen sich dadurch aus, dass nahezu jede Schriftart unterstützt wird und vermeintlich einfach und ohne finanzielle Kosten in Webseiten eingebunden werden kann. Bindet man Google Fonts so ein, wie es Google vorschlägt, werden Verbindungen zu Google Servern aufgebaut.

Hier ein reales Beispiel eines solchen Datentransfers, der durch eingebundene Google Schriftarten verursacht wird:

Datenübertragung aufgrund von Google Schriften

Wie im Netzwerk-Protokoll zu sehen ist, werden gleich zwei verschiedene Domäne angerufen, nämlich googleapis.com und gstatic.com bzw. die dazu gehörigen Subdomänen.

Diese Art der Einbindung nenne ich externe Google Schriften, weil sie von Google Servern geladen werden. Anders sieht es aus, wenn die Schriften von einem eigenen Server oder einem Server eines Anbieters geladen werden, mit dem vetragliche Garantien abgeschlossen wurden.

Ich habe mich entschieden, diesen Beitrag auch in die Kategorie Bullshit Basics zu packen, weil viele immer noch versuchen, alle möglichen Argumente zu suchen, warum externe Google Schriften auf einmal doch erlaubt sein sollen.

Wie sieht es mit dem Datenschutz aus?

Das Einbinden von externen Google Schriften verstößt gegen Art. 5 Abs. 1 DSGVO. Dort ist das Prinzip der Datenminimierung genannt. Dem entgegen steht ein etwaiges berechtigtes Interesse, welches bestimmte Datenverarbeitungen erlaubt. Das berechtigte Interesse ist in Art. 6 DSGVO definiert. Wer Daten erhebt, muss nach Art. 5 Abs. 2 DSGVO nachweisen, dass er die Grundsätze des Art. 5 Abs. 1 DSGVO (Datenminimierung etc.) einhält.

Der Verstoß liegt vor, weil es ohne Weiteres möglich ist, Google Schriften lokal einzubinden. Dabei werden einfach alle benötigten Schriftendateien heruntergeladen, entsprechend angepasst und dann auf dem eigenen Web Server abgelegt. Nun können lokale Dateien auf der eigenen Webseite eingesetzt werden. Ein Datentransfer zu Google oder anderen Dritten findet damit nicht mehr statt.

Der Art. 25 DSGVO bedingt eine datenschutzfreundlichen Technikgestaltung.

Somit ist gezeigt, dass das berechtigte Interesse eindeutig ausscheidet. Niemand wird vor Gericht damit durchkommen. Sollte jemand etwas anders behaupten, hat er entweder keine Ahnung oder nimmt die falschen Tabletten und leidet an maßloser Selbstüberschätzung.

Was ist mit Cookies?

Für gewöhnlich werden beim Abruf von Google Schriften keine Cookies verarbeitet. Ich gebe allerdings zu bedenken, dass dies auch anders sein kann. Es reicht auch, wenn es weltweit eine einzige öffentlich erreichbare Webseite gibt, die in der Domäne der Google Fonts liegt.

Diese Art von Webseiten gibt es zuhauf, wie eine Suche nach Webseiten mit der Hauptdomäne googleapis.com beweist:

Von diesen zahlreichen vorhandenen Webseiten setzen einige Cookies auf einer Domäne, die Google Fonts betrifft. Ruft nun eine Person eine dieser Webseite auf und danach eine deutsche Webseite, die externe Google Schriften lädt, verstößt diese deutsche Webseite dadurch gegen die ePrivacy Richtlinie. Zumindest müsste der Betreiber der Webseite erst einmal beweisen, dass das Gegenteil der Fall ist. Ich hoffe für ihn, dass er dann die Telefonnnummer eines sehr guten Kontakts bei Google zur Hand hat.

Mir selbst sind solche Webseiten bekannt, die Cookies erzeugen, welche dann für Google Schriften relevant werden. Demnach bedürfen Google Schriften auch einer Einwilligung aufgrund des Art. 5 Abs. 3 der ePrivacy Richtlinie in Verbindung mit dem BGH-Urteil vom 28.05.2020 – I ZR 7/16. Im Zweifel muss der Betreiber der Webseite beweisen, dass Google diese Cookies nicht nutzt, was ziemlich schwierig und unglaubhaft sein dürfte. Schließlich handelt es sich um sogenannte Third-Party Cookies.

Was ist mit Google?

Meiner Meinung nach sind zahlreiche Google Tools, ohne jegliche Ausnahme, nicht datenschutzkonform nutzbar. Ob Google Tools mit oder ohne Einwilligung geladen werden, ist eine andere Frage. Hier geht es um die transparente, konkrete Benennung der Pflichtangaben gemäß Art. 13 DSGVO.

Außerdem gibt Google selbst zu, Daten aus Ihrem Google Konto, wenn Sie dort angemeldet sind, mit erhobenen Daten beim Abruf von Google Fonts abzumischen. In der Datenschutzerklärung, die für Google Fonts gilt, steht:

Wir erheben Daten, […] wie zum Beispiel […] den Personen, mit denen Sie online am häufigsten zu tun haben, oder den YouTube-Videos, die Sie interessant finden. […]

Wenn Sie in einem Google-Konto angemeldet sind, erheben wir auch Daten, die wir in Ihrem Google-Konto speichern und als personenbezogene Daten erachten.

Google gibt direkt zu, Ihre persönlichen Daten auszubeuten

Demgemäß müssen u.a. folgende Informationen zu genutzten Google Tools angegeben werden:

  • Zwecke der Datenverarbeitung beim Dienstanbieter
  • Datenempfänger
  • Risiken, etwa Transfers ins bestimmte Drittländer oder bestimmte Arten von Empfängern, wie etwa Behörden oder Geheimdienste
  • Zwecke von Cookies (diese sind allgemein nur dem Dienstanbieter bekannt, der im Falle von Google die Zwecke meist nicht ausreichend verrät

Wie man leicht feststellen kann, können diese Angaben für Google Tools nicht konkret, transparent und korrekt gemacht werden.

Zusätzlich kann man für den Google Konzern immer den Art. 44 DSGVO anführen, den Datentransfer in unsichere Drittländer. Ich habe mir allerdings angewöhnt, dieses Problem nur untergeordnet zu nennen, weil die o.g. Datenschutzbetrachtungen bereits als Begründung gegen externe Google Schriften ausreichen.

Wer alle genannten Argumente für lokale und gegen externe Google Schriften als hinfällig ansieht , der kann sicher einen Vertrag vorlegen, den er mit Google geschlossen hat, um geeignete Garantien von Google für eine DSGVO-konforme Datenverarbeitung zu erhalten. Am besten sollte dann auch noch eine Abwahlmöglichkeit (Opt-Out) für erhobene Daten angeboten werden. Viel Vergnügen!

Auf der Webseite eines Anbieters eines Consent Tools wird letzteres übrigens mitgeteilt sowie ebenso die Problematik des Einsatzes von externen Google Schriften. Dass die genannte Webseite dann selbst externe Google Schriften verwendet, verwundert umso mehr. Da die Schriften nicht auf jeder Untrseite, und auch nicht auf der Seite mit dem Artikel zu Google Fonts zu finden sind, zeigt, dass der Anbieter des Consent Tools dies womöglich nicht absichtlich gemacht hat und mit der Einhaltung von Datenschutzvorgaben überfordert ist.

Was ist mit Content Delivery Networks?

Sogenannte CDNs bieten einen schnellen, hoffentlich jederzeit verfügbaren Speicher. Die Begründung für den Einsatz solcher Systeme ist oft eine vermeintlich schnellere Ladezeit der Webseite. Bisher konnte mir das allerdings niemand wirklich belegen (ich will nicht ausschließen, dass dies so ist, möchte aber einen Beweis zumindest für den ersten Ladevorgang haben!). Wie ein Kommentarschreiber zu diesem Beitrag erwähnt, sind Folgeaufrufe derselben Ressource, die von verschiedenen Webseiten gleichzeitig verwendet wird, optimiert. Folgeaufrufe innerhalb einer Webseite selbst sind allerdings durch den lokalen Cache des Nutzers sowieso schon schneller. Es geht hier also nur um einen Erstaufruf einer Webseite, die selbe Ressourcen genauso rechtswidrig einsetzt wie andere Webseiten einsetzt. Wenn ein lokaler Cache beim Nutzer langlebig ist, agiert er besser als jedes CDN. Da Google Fonts weiter verbreitet sind, ist die Chance, einen lokalen Cache-Treffer zu haben, groß. Wer seine Browser Caches aus Datenschutzgründen regelmäßig leert, möchte im Gegenzug wohl nicht von einem datenschutzfeindlichen CDN getrackt werden.

Es ist fraglich, ob das Laden einer kleinen, statischen Datei von einem CDN schneller vonstatten geht als von einem lokalen Speicher. Browser puffern Anfragen dieser Art, so dass bei Folgeaufrufen durch den gleichen Nutzer oft die lokale Kopie gezogen wird, was am allerschnellsten ist.

Lädt man Ressourcen von CDNs, kann der Browser Ladevorgänge möglicherweise parallelisieren, indem die Ladevorgänge von mehreren verschiedenenen Servern nahezu gleichzeitig angestoßen werden. Damit können Dateien vom lokalen Server nahezu gleichzeitig geladen werden wie Dateien von anderen Servern.

Wer meint, Google Fonts müssen von einem CDN geladen werden, damit der Erstaufruf der Webseite schneller ist, sollte erst einmal prüfen, ob nicht alle anderen Geschwindigkeitsoptimierungen auf der Webseite ausgeschöpft wurden. Wer unnötige, weil nicht verwendete Schriftarten lädt, braucht nicht mit dem Argument der schnelleren CDN-Ladezeit beim Erstaufruf zu kommen.

Wer unbedingt ein CDN einsetzen möchte, kann dies tun. Es muss aber sichergestellt sein, dass der Betreiber des CDN an die DSGVO gebunden ist und sich selbstverständlich auch daran hält. Amerikanische Unternehmen scheiden demnach als Anbieter von CDN aus, außer, man möchte mit Einwilligungen arbeiten und eine gewisse rechtliche Unsicherheit in Kauf nehmen.

Übrigens kann man auch selber ein CDN aufsetzen. Anscheinend ist der Betreiber der Webseite derart wichtig, dass er ein CDN benötigt. Dann sollte es möglich sein, dies zu tun. Es handelt sich schließlich nur um einen Datei-Server mit schneller Internet-Anbindung. Solche Server gibt es überall in Deutschland zu mieten. Gerne kann ein deutsches Unternehmen ein datenschutzkonformes CDN auf breiter Basis anbieten. Ich denke, hierfür gibt es einen Markt.

Auf keinen Fall sollte man meiner Meinung nach auf Cloudflare zurückgreifen, da dieser Anbieter meiner Recherche nach keinen guten Datenschutz bieten kann.

Was ist die Lösung?

Google Fonts können lokal eingebunden werden. Dies kann man manuell bewerkstelligen oder mit Hilfe eines Hilfsprogramms. Das Hilfsprogramm lautet Google Webfonts Helper. Nach Aufruf der Webseite des Tools können Sie im linken Bereich (zumindest bei Desktok PC-Darstellung) eine Schriftart auswählen. Im Hauptbereich können dann die fertigen Dateien für eine lokale Einbindung der Schriften heruntergeladen werden.

Den manuellen Weg möchte ich hier zusätzlich beschreiben, auch um das Grundprinzip zu verdeutlichen.

Für den manuellen Weg lädt man sich die Schriftdateien herunter. Das geschieht wie folgt:

Externe Schriften werden über eine Datei wie die folgende geladen: https://fonts.googleapis.com/css?family=Roboto. Dies kann man im Quellcode der Webseite sehen. Eine andere Möglichkeit ist die Entwicklerkonsole von Firefox und anderen Browsern, die man mit der Taste F12 öffnen kann. Nachdem die Konsole geöffnet ist, die Webseite aufrufen. Der Karteireiter Netzwerkanalyse zeigt die Datentransfers. Dort findet man dann Ladevorgänge von der Domäne fonts.googleapis.com und weitere.

Öffnen Sie die Schriftdatei im Browser und kopieren Sie den Inhalt in eine Datei namens roboto.css (Name für andere Schrifttypen sinnvollerweise anders wählen).

Sie sehen Zeilen, in denen auf externe Dateien verwiesen wird. Diese sehen beispielsweise so aus:

src: url(https://fonts.gstatic.com/s/roboto/v20/KFOmCnqEu92Fr1Mu72xKOzY.woff2) format('woff2');

Normalerweise sind nur die Abschnitte relevant, die mit dem Kommentar /* latin */ versehen sind, ggfs. auch die mit erweitertem lateinischem Zeichensatz /* latin-ext */.

Auszug aus einer typischen Layout-Datei für Google Schriften

Laden Sie alle Dateien dieser Art herunter. Ändern Sie in roboto.css die Angabe so, dass sie auf ihre lokale Datei zeigt. In den Nutzungsbedingungen von Google sehe ich keinen Hinweis, warum dies nicht erlaubt sein soll.

Ab sofort können Sie sich potentiell falsche Datenschutztexte zu Google Fonts sparen. Niemand kann Ihnen ab jetzt vorwerfen, Sie hätten den Datenschutztext vergessen oder würden mit externen Google Schriften gegen Datenschutzregeln verstoßen.

Wie man sieht, ist die Lösung relativ einfach und keine Raketenwissenschaft. Es spielt für den Datenschutz hier keine Rolle, dass diese Vorgehensweise am besten von einer technikaffinen Person erledigt wird. Fragen Sie bei Bedarf jemanden, der sich damit auskennt. Wenn er gut ist, wird er es in sehr kurzer Zeit hinbekommen.

Für WordPress-Webseiten empfehle ich den Einsatz von Design Themes, die entweder Google Schriften lokal einbinden oder eine Option dafür bereitstellen.

Mögliche Gegenargumente und Entgegnungen

Das Gegenargument der angeblich längeren Ladezeiten kann bei kleinen Schriftartdateien, auch aufgrund meiner eigenen jahrelangen Erfahrung mit lokalen Schriften, ausgeräumt werden. Wer möchte, kann ja ein datenschutzkonformes CDN verwenden, aber nicht das von Google! Auch der Aufbau eines eigenen CDN ist möglich und lohnt sicher für Webseiten, die auf eine Ladezeit angewiesen ist, die fünf Millisekunden kürzer ist als das lokale Einbinden.

Weiter unten habe ich einen Geschwindigkeitstest beschrieben, der beweist, dass externe Google Schriften keine höhere Geschwindigkeit bringen.

Das Argument, dass die Schriften dann nicht mehr automatisch (von Google) gewartet werden, ist keines. Schließlich sollten Schriften dauerhaft genau so aussehen, wie sie installiert wurden. Dass Browser sich einmal erheblich ändern und ein Font Update erfordern würden, kommt sehr selten vor. Bei neu ausgelieferten Schriften wird es selten vorkommen, dass beim Design der Schrift der Punkt auf dem i vergessen wurde. Bei schon länger vorhandenen Schriften stellt sich die Frage, was sich noch ändern soll. Es geht um eine Schriftart und nicht um einen Atomreaktor.

Aus eigener Erfahrung weiß ich, dass es kein Wartungsproblem gibt. Zudem gibt es in anderen Fällen Urteile, wonach ein Unternehmer mit einem online Angebot verpflichtet ist, sich regelmäßig sein Angebot anzusehen und neu zu bewerten. UnDer Unternehmer gerät sogar dann in Haftung, wenn eine Plattform, auf der er seine Produkte anpreist, eigenständig und vollautomatisiert das Angebot des Unternehmers rechtswidrig werden lässt. Genau gleiches Engagement kann zu Schriften erwartet werden (vgl. etwa OLG Frankfurt, Beschluss vom 18.03.2021, Az. 6 W 8/18).

Lizenzrechtlich konnte mir bisher niemand zeigen, wo steht, dass die lokale Einbindung, wie ich sie oben beschreibe, unerlaubt sei. Im Gegenteil, die Schriften laufen unter der SIL Open Font License. Google kennzeichnet alle Schriften auf Google Fonts als Open Source und frei:

All the fonts and icons in our catalog are free and open source…

Quelle: https://fonts.google.com/about?preview.size=165

Manche meinen, durch Einbinden von Google Tools wird deren Webseite höher gewichtet und erscheint dann prominenter in Suchergebnissen der Google Suchmaschine. Alleine schon weil viele Webseiten Google Tools einbinden, verfängt dieses Argument nicht. Zusätzlich kann ich aus Erfahrung behaupten, dass höherwertige Onpage SEO-Maßnahmen wesentlich weniger Effekt bringen als eine gute Content-Strategie. Zu dieser gehört auch das Verbreiten von Inhalten in geeigneten Medien. Hierzu bedarf es Google in keinster Weise (außer, man möchte auf YouTube ein Video veröffentlichen, aber auch hierzu gibt es bessere Alternativen, weil YouTube als überlaufen bezeichnet werden darf).

Übersicht der Entgegnungen

Manche sind recht kreativ, wenn es darum geht, den rechtswidrigen Einsatz von externen Google Schriften doch irgendwie zu rechtfertigen. Die folgende Tabelle zeigt eine kurze Darstellung der angeblichen Argumente und ihre Entgegnung.

Angebliches ArgumentEntkräftung
Externe Google Schriften sind schneller1. Nutzen Sie doch Ihr eigenes CDN oder ein DSGVO-konformes
2. Schriften machen oft nur einen Bruchteil der Ladezeit einer Webseite aus und lokale Schriften sind nicht wirklich langsam. Sie machen nur einen kleine Teil der Ladezeit aus. Schauen Sie sich meinen Test weiter unten an
3. Haben Sie ansonsten, wo Ihnen Geschwindigkeit im Millisekundenbereich wichtig zu sein scheint, tatsächlich alle anderen Maßnahmen ergriffen? Falls nicht, wäre Ihr Argument unglaubwürdig
4. Siehe Art. 5 und Art. 25 DSGVO
Lokale Schriften machen zu viel Arbeit1. Ich brauche nur wenige Minuten, um Google Schriften lokal einzubinden
2. Suchen Sie sich jemanden, der es schnell hinbekommt
3. Wenn Sie einen Parkplatz suchen, brauchen Sie doch auch länger als ein Falschparker
4. Siehe Art. 5 und Art. 25 DSGVO
Google Schriften dürfen nicht lokal eingebunden werdenWo steht das? Selbst falls es so wäre: Jeder kann sich TrueType Schriften herunterladen (auch von der Google Fonts Plattform) und diese in Web Fonts umwandeln. Hierfür gibt es frei verfügbare Hilfsprogramme.
Auf der Webseite von Google Fonts steht etwa für die Roboto Schriftart: You can use them freely in your products & projects – print or digital, commercial or otherwise. However, you can’t sell the fonts on their own.
Siehe außerdem Art. 5 und Art. 25 DSGVO
Nur externe Google Schriften sind wartungsfreiBevor eine Schriftart aus rein technischen Gründen ausgetauscht werden muss, hat sich die Webseite mehrmals selbst überholt.
Die Notwendigkeit eine Wartung kommt quasi nie vor – das kann ich nach 30 Jahren IT Erfahrung behaupten. Hier ein weiterer Beleg:
Die Quelldateien der Roboto Schriftart wurden zuletzt vor vier Jahren aktualisiert. Lediglich das Make File wurde syntaktisch im Jahr 2020 optimiert, was keine Rolle spielt, wenn man die Schriften als Endprodukt verwendet. Zudem sind Unternehmer verpflichtet, Ihre Angebot regelmäßig zu prüfen und ggfs. die Schriftart auszutauschen.
Siehe außerdem Art. 5 und Art. 25 DSGVO
Externe Google Schriften werden gecachtStimmt. Aber auch alle anderen Dateien landen genauso im Browser-Cache. Wird eine Webseite zum ersten Mal aufgerufen, mag das einen Unterschied machen. Keinen Unterschied macht es bei Folgeaufrufen oder wenn der Nutzer aus Datenschutzgründen seinen Browser-Cache häufig leert. Es gibt sogar Hilfsprogramme, die dies tun, wie etwa CC Cleaner. Unabhängig davon
Für bestimmte Schriften wird der Download geblocktDieses Argument ist unsinnig. Google Fonts ist eine Plattform, die auch Schriften anderer anbieter anzeigt, aber zum Download auf die Webseiten der Anbieter verweist. Beispiel: Palatino Font, welche insofern überhaupt keine Google Font ist, sondern die eines anderen Anbieters (nämlich Monotype, fonts.com)
Bessere AuffindbarkeitDurch eingebundete Google Tools erhält Google ein Signal, dass eine Webseite aufgerufen wurde. Dieses Signal darf rechtlich nicht ausgewertet werden, um die Webseite höher zu gewichten. Unabhängig davon bringt es auch nichts. SEO-Maßnahmen ab einem bestimmten Reifegrad bringen um mindestens eine Größenordnung weniger Erfolg als eine zielgerichtete Content-Strategie und -Verteilung, wie ich aus Erfahrung berichten kann.
Siehe außerdem Art. 5, Art. 25 und Art. 44ff DSGVO.
Scheinargumente für externe Google Schriften und mögliche Entgegnungen

Wenn Sie ruhig schlafen möchten oder etwas für den Datenschutz tun wollen oder einfach nur Gesetze einhalten möchten, dann binden Sie Google Schriften lokal ein.

Die Haltung von Aufsichtsbehörden

In Deutschland gibt es pro Bundesland eine Datenschutzaufsichtsbehörde und zusätzlich den Bundesdatenschutzbeauftragten, der etwa für öffentliche Stellen zuständig ist.

Die Äußerungen von Aufsichtsbehörden sind Meinungen, nämlich Behördenmeinungen. Sie können herangezogen werden, um eine Risikoabwägung vorzunehmen. Damit kann abegschätzt werden, wie wahrscheinlich ein Bußgeld durch eine Aufsichtsbehörde ist. Die juristische Frage lässt sich so nicht klären. Gerichte können Behördenmeinungen als Anhaltspunkt ansehen, sind aber daran in keinster Weise gebunden. Datenschutzbehörden sind grundsätzlich kulanter als Gerichte, so ist meine Erfahrung. Das hilft wenig, wenn eine Abmahnung durch eine Privatperson oder einen Wettbewerber ansteht.

Jeder Landes-Datenschutzbeauftragte hat möglicherweise eine andere Meinung und Empfehlung. Hier zwei Beispiele:

  • Bayern: Erlaubt externe Google Fonts. Warum, ist mir nicht klar (eine Begründung fehlt in den FAQ). Dankenswerterweise hat die bayerische Behörde mir geantwortet, und zwar sehr schnell und umfassend. Die Antwot machte deutlich, dass ein Datentransfer in unsichere Drittländer als kritisch angesehen wird und externe Schriften an sich, aber nicht in jedem Fall erlaubt sind. Bayern weist darauf hin, dass der Datentransfer in die USA ohne Einwilligung nur unter der strengen Vorgabe des Schrems-II-Urteils möglich ist.
  • Baden-Württemberg: Eine konkrete Antwort gibt es nicht. Weiterhin ist die Haltung der Behörde, dass Datentransfers in die USA nur nicht sanktioniert werden, sofern der Datentransfer aus Sicht der Behörde alternativlos ist

Geschwindigkeitstest: lokale versus externe Google Schriften

Für den Vergleich wurde die ansonsten gleiche HTML Seite einmal mit externen Google Schriften und einmal mit lokalen Google Schriften getestet. Die externen Google Fonts wurden, wie von Google empfohlen, mit preconnect eingebunden, so dass eine schnellere Ladezeit möglich ist.

Zum Test wurde der online Webpagetest verwendet. Der Test wurde von einem Server in Frankfurt mit dem Chrome Browser durchgeführt.

Testlauf mit externen Google Schriften

Das Ergebnis zeigt in einer Übersicht den Anteil der externen Schriften an der Gesamtladezeit und den Datentransfer:

Externe Google Schriften: Speed-Messung mit Webpagetest

Wie man sehen kann, haben die externen Google Schriften einen Anteil von 15% an der Gesamtzeit aller Anfragen, die zum Abruf der Webseite erforderlich sind. Der Anteil der übertragenen Daten beträgt 20,1% vom Gesamtumfang.

In einer Wasserfall-Diagramm Darstellung stellt sich die Ladezeit für externe Google Schriften wie folgt dar:

Ladezeiten von externen Google Fonts in Wasserfall-Darstellung

Die relevante Ladezeit ist aber die blockierende Zeit, also die Zeit, die der Abruf mit externen Google Schriften länger dauert als es ohne diese Schriften der Fall wäre:

Ladezeiten-Diagramm mit externen Google Schriften

Hier sind die relevanten Ladezeiten genauer zu sehen:

Aufschlüsselung der Ladezeiten der Anfragen für externe Google Fonts

Die erste Anfrage startete bei Zeitpunkt 0,696 Sekunden. Die letzte Anfrage endete bei Zeitpunkt 0,699 Sekunden + 88 Millisekunden (Time to first byte) +26 Millisekunden (Content Download) = 0,813 Sekunden

Die relevante Gesamtladezeit für den Erstabruf betrug bei externen Google Schriftarten also insgesamt 0,813 – 0,699 Sekunden = 114 Millisekunden.

Analog wurde der Folgeabruf ausgewertet. Er betrug 91 Millisekunden.

Testlauf mit lokalen Google Schriften

Das Ergebnis zeigt in einer Übersicht den Anteil der lokalen Schriften an der Gesamtladezeit und den Datentransfer:

Lokale Google Schriften: Speed-Meddung mit Webpagetest

Der Anteil an der Ladezeit bezüglich aller Requests ist bei lokalen Google Schriften so gering, dass ich mit dem Cursor über das rote Kuchenstück fahren musste. Er beträgt 12,8%. Der Anteil der übertragenen Daten beträgt 18,3% vom Gesamtumfang. Allerdings ist hier anscheinend die Verbindungszeit nicht mit eingerechnet.

Beim Erstabruf erzeugen lokale Google Schriften folgende Ladezeiten:

Ladezeiten von lokalen Google Fonts in Wasserfall-Darstellung

Die relevante Ladezeit ist aber die blockierende Zeit, also die Zeit, die der Abruf mit lokalen Google Schriften länger dauert als es ohne diese Schriften der Fall wäre. Ein Diagramm nach Servern wie bei externen Googlr Schriften bringt hier nicht weiter, weil auch andere Dateien als Schriften vom Server der Webseite geladen werden.

Hier sind die relevanten Ladezeiten genauer zu sehen:

Aufschlüsselung der Ladezeiten der Anfragen für lokale Google Fonts

Die erste Anfrage startete bei Zeitpunkt 0,772 Sekunden. Die letzte Anfrage endete bei Zeitpunkt 0,775 Sekunden + 270 Millisekunden (Time to first byte) +1 Millisekunden (Content Download) = 1,046 Sekunden

Die relevante Gesamtladezeit für den Erstabruf betrug bei lokale Google Schriftarten also insgesamt 1,046 – 0,772 Sekunden = 274 Millisekunden.

Analog wurde der Folgeabruf ausgewertet. Er war ungefähr gleich schnell wie der Erstabruf.

Ergebnis des Geschwindigkeitstests

Am besten sieht man das Ergebnis bei einer Gegenüberstellung.

KriteriumExterne Google SchriftenLokale Google Schriften
Ladezeit 1. Abruf114 ms211 ms
Ladezeit 2. Abruf91 ms225 ms
Gegenüberstellung externer und lokal eingebundener Google Schriften

Externe Google Schriften sind etwas schneller als die lokale Einbindung. Betrachtet man die gesamte Ladezeit der Webseite, dann entsteht folgende Statistik (die Gesamtladezeiten sind als Nenner der Brüche angegeben, alle Angaben in Millisekunden):

Anteil Ladezeit an Gesamtladezeit1. Abruf2. Abruf
Externe Google Schriften114 / 2432 = 4,7%91 / 2469 = 3,7%
Lokale Google Schriften211 / 2482 = 8,5%217 / 2426 = 8,9%
Anteil an der Gesamtladezeit für externe und lokale Google Schriften [Millisekunden]

Die Gesamtladezeit war mit externe Google Schriften gegenüber lokal eingebundenen Schriften beim Erstabruf der Webseite um 3,8% schneller und beim Folgeabruf um 5,2%.

Die Optimierungsmaßnahmen für meine Webseite haben gezeigt, dass eine Verbesserung der Ladezeit durch ganz andere Maßnahmen wesentlich effektiver stattfinden kann. Beispiele: Caching auf Ebene der Datei htaccess aktivieren, Bilder weiter komprimieren, unnötige Plugins deaktivieren.

Der Test fand übrigens mit dieser Webseite statt. Sicher ist er nicht akademisch verwertbar, weil die Anzahl der Tests zu gering ist und die Schwankung der Ladezeiten bei mehreren Tests einige Prozent beträgt. Anhand der Ergebnisse und der genannten Argumente und Fakten kann sich jeder sein eigenes Bild machen.

Wer sich immer noch auf das Geschwindigkeitsargument für externe Google Schriften beruft, der muss nachweisen, dass

  1. wenige Millisekunden beim Erstaufruf der Webseite geschäftskritisch sind,
  2. kein DSGVO-konformes CDN bereitsteht (das ist allerdings immer noch kein Argument),
  3. ein eigenes CDN, auch File Server genannt, nicht möglich ist (das wird schwierig zu zeigen),
  4. wirklich alle anderen Maßnahmen bereits voll ausgeschöpft sind (viel Erfolg!)
  5. beim Abruf externer Schriften kein Datentransfer in unsichere Drittländer stattfindet
  6. Google die erhaltenen Verkehrsdaten nicht für eigene Zwecke nutzt und nicht an Dritte weitergibt (Dritte sind alle, die ungleich Google Ireland Ltd. sind)

Lokale Schriften schneller laden

Wer mehr als eine Schriftartdatei einbindet (typische Dateiendung: woff oder woff2), der sollte jede Schriftdatei separat einbinden und ein nichtblockierendes Laden verwenden. Letzteres lässt sich wie folgt erreichen:

<link rel="stylesheet" href="font1.css" type='text/css' media="none" onload="if(media!='all')media='all'"><link rel="stylesheet" href="font1.css">

Diese Zeile Code lädt eine Schriftdatei in asynchroner Weise. Dafür sorgt die Kennzeichnung media=”none”. Nachdem die Schriftdatei geladen wurde, wird der Mediendatei über die JavaScript-Anweisung im onload-Ereignis auf media=”all” gesetzt, so dass die Schrift für die aktuelle Darstellung angewandt wird.

Die noscript-Anweisung sorgt dafür, dass die Schriftart auch für Browser, in denen JavaScript deaktiviert wurde, korrekt geladen wird.

Eigenen schnellen File Server aufsetzen

Für die eigenen Webseiten benötigt man kein Content Delivery Network (CDN). Ein CDN ist in erster Linie notwendig, weil ganz viele Webseiten daran angebunden sind.

Ein eigenes CDN, welches für nur wenige eigene Webseiten verwendet wird, kann man auch als schnellen File Server bezeichnen.

Ein solcher File Server ist ein Server mit schneller Internetanbindung und möglichst ohne Restriktionen bezüglich des Datentransfervolumens. Hierfür gibt es einige Angebote deutscher Anbieter, die sehr günstig sind. Wer eine superschnelle Webseite braucht (und sich auch darauf beruft), dem wid es zuzumuten sein, wenige Euro pro Monat für ein Web Hosting Angebot auszugeben, um die heiß geliebten Google Schriften schneller laden zu können.

Bullshit Basics
Dies war ein Beitrag aus der Kategorie Bullshit Basics.
In dieser Kategorie werden weit verbreitete Unwahrheiten oder Falschwissen thematisiert und durch Fakten aufbereitet.
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
  1. John Doe

    Servus,

    Du hast geschrieben:
    >> Die Begründung für den Einsatz solcher Systeme (CDNs) ist oft eine vermeintlich schnellere Ladezeit der Webseite. Bisher konnte mir das allerdings niemand wirklich belegen (ich will nicht ausschließen, dass dies so ist, möchte aber einen Beweis haben!).

    Die CDNs ansich sind natürlich darauf ausgelegt statische Dateien schnell und effizient zu verteilen. Diese Optimierungen können aber höchsten ein paar Millisekunden ausmachen. Dies ist also nicht der Grund.

    Beispiel:
    Eine Website example.com mit Bootsrap, Fonts und mehreren JS-Frameworks von insgesamt ~10 MB wird von einem Webseitenbesucher das allererste mal besucht. Der Browser lädt und cache’t alle Ressourcen und die nächsten Ladevorgänge gehen schneller, da die 10 MB bereits beim erstmal
    Der Punkt ist “die nächsten Ladevorgänge”, denn der erste dauert immer noch ~5 Sekunden auf dem Smartphone ist immer noch (relativ gesehen) extrem langsam. (Ihr kennt euch selbst am besten, aber wenn bei mir eine Website nach 3 Sek. nicht geladen ist, nehm’ ich das nächste Google-Suchergebnis 😉 )

    Durch die Benutzung von CDNs werden externe Ressourcen (Bootsrap, Fonts, JS Frameworks, …) sogar webseitenübergreifend nur einmal geladen, was zur Folge hat, dass der erste Webseitenbesuch eventuell nur noch 1 Sekunde dauert, da der Webseitenbesucher beispielsweise Bootstrap und die Fonts (~6 MB) bereits vorher vom gleichen CDN für eine ganz andere Website geladen hat.

    • Dr. DSGVO

      Ja, das stimmt und ist mir mittlerweile auch bekannt (ich werde den Beitrag ergänzen).
      Allerdings ist der Effekt für die meisten Webseiten bei Schriften kaum spürbar, siehe meine Webseite, die laut PageSpeed Insights schnell genug ist (wenn ich wollte, könnte ich das noch steigern, ohne CDNs). Die meisten Webseiten müssen nicht superschnell sein, vor allem, wenn dies nur unter Missachtung von Datenschutzgesetzen möglich ist.
      Außerdme betrifft es “nur” Erstaufrufe von Webseiten, die dieselben Dateien wie andere Webseiten nutzen. Wer einen lokalen Browser-Cache hat (am besten von erstmals datenschutzkonform geladenen Fonts), für den ist der Aufruf schneller als wenn die Webseite ein CDN nutzen muss. Wer seinen Browser Cache aus Datenschutzgründen regelmäßig leert, möchte vielleicht eher nicht von einem amerikanischen CDN getrackt werden.

      Zudem sind viele Webseiten an anderer Stelle nicht optimiert. Man kann nicht sagen: Die Fonts müssen schnell laden, wenn dann nicht mal Bilder optimiert wurden.

  2. Barbara

    Ich finde Ihre Webseite sehr gut. Danke dafür. Allerdings sollten Sie auch an diejenigen denken, die nicht das Geld haben, einen professionellen WebDesigner zu engagieren. Ich mache alles alleine und kann mir keinen Profi leisten. Wünschenswerte wäre hier und da aus Sicht eines Laien nicht nur zu argumentieren, sondern auch Hilfestellungen anzubieten und wenn das bedeutet, lediglich auf eine andere Webseite zu verweisen, die mit entsprechenden einfachen Anleitungen daherkommt. Speziell das Einbinden der Fonds fällt mir schwer. Obwohl Sie argumentieren, dass alles so leicht wäre. Das ist relativ.
    Die DSGVO ist so ziemlich das gruseligste was ich kenne und damit alles drumherum, was man den Webseitenbetreibern zumuten kann. Für mich steht das alles unter der Rubik “Deutschland schafft sich ab Basics”, auch wenn ich natürlich einsehe, dass Datenschutz wichtig ist. Unnötig zu diskutieren, aber wir in Deutschland sind immer päpstlicher als der Papst. Ich kenne kein Land, in dem der Datenschutz so ausgelegt wird wie bei uns. Spätestens seit der Pandemie erkennen wir doch, wohin uns der Datenschutz führt. Außerdem: Google und Co. machen sowieso was sie wollen – und sie können das.
    Beste Grüße und weiterhin viel Erfolg mit Ihrer Webseite

    • Dr. DSGVO

      Vielen Dank für Ihre Rückmeldung, in der Sie zurecht das Problem ansprechen, dass die technische Umsetzung für viele nicht einfach ist. Auch mir fällt es schwer, Dinge unter Einhaltung aller Vorschriften zu tun, die nicht in meinem Fachgebiet liegen.

      Es gibt leider keine ganz einfache Lösung zum Einbinden von lokalen Schriften. An sich ist es recht einfach, Schriften lokal einzubinden. Aber es gibt Sonderfälle, etwa, wenn eine Schrift von einem Plugin (externes Tool wie Google Maps) geladen wird. Auch kommt es auf das Webseiten-System an: WordPress, Typo3 oder doch einfach nur selber erstellte HTML-Dateien?

      Ich nehme Ihren Kommentar zum Anlass, einen Artikel zu schreiben, wie Google Schriften lokal eingebunden werden können. Dabei werde ich auf mehrere Fälle eingehen, die nicht alle im Detail beschrieben werden können.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Artikel 23 DSGVO: Beschränkungen