Spring til indhold
Google Fonts GDPR self-hosting IP-adresse persondata

Google Fonts og GDPR: Den tyske dom og hvad du skal gøre (2026)

Af Privaci-teamet
Google Fonts og GDPR: Den tyske dom og hvad du skal gøre (2026)

Google Fonts og GDPR — den tyske dom der ændrede alt

Millioner af websites bruger Google Fonts. Det er gratis, nemt og giver adgang til hundredvis af skrifttyper med et enkelt linjeskode. Men siden januar 2022 er det også et potentielt GDPR-problem — og i 2026 er der ingen undskyldning for stadig at gøre det forkert.

En tysk domstol afgjorde som den første i Europa, at dynamisk brug af Google Fonts udgør en overtrædelse af databeskyttelsesreglerne. Dommen sendte chokbølger gennem webudviklings- og compliancemiljøet og førte til et massivt skift mod lokal hosting af skrifttyper.

I denne artikel gennemgår vi dommen i detaljer, forklarer hvorfor IP-adresser er persondata under GDPR, og giver dig konkrete løsninger — uanset om du driver et lille website eller en stor virksomhedssolution.

Hvorfor Google Fonts er et GDPR-problem

Når du bruger Google Fonts på den traditionelle måde — altså ved at indsætte et <link>-tag der peger på fonts.googleapis.com — sker der noget, som mange webmastere ikke er klar over: Brugerens browser foretager en anmodning direkte til Googles servere for at hente skrifttypen.

Det lyder harmløst, men denne anmodning indeholder brugerens IP-adresse. Og IP-adresser er persondata under GDPR.

Det er ikke en teknisk fejl eller en sårbarhed. Det er selve den måde, Google Fonts CDN fungerer på. Og det er præcis det, der fik en tysk domstol til at reagere.

Der er tre scenarier, når du bruger Google Fonts:

  1. Dynamisk indlejring (standard) — Browseren henter fonten direkte fra Googles servere. IP-adressen overføres til Google i USA. GDPR-problem.
  2. Self-hosting — Du downloader fonten og serverer den fra dit eget domæne. Ingen ekstern anmodning. Ingen IP-overførsel. Compliant.
  3. Samtykke-baseret indlæsning — Du blokerer Google Fonts, indtil brugeren har accepteret. Teknisk lovligt, men kompliceret at implementere korrekt.
To dataflow-diagrammer side om side: til venstre vises, hvordan brugerens IP-adresse overføres til Googles CDN-servere ved dynamisk brug af Google Fonts (GDPR-stridigt). Til højre vises self-hosting-losningen, hvor fonten hentes fra din egen server uden IP-overforsel til tredjepart (GDPR-compliant). Nederst ses en 4-trins guide til at konvertere fra Google Fonts til self-hosting.
Problemet og losningen: Dynamisk Google Fonts sender brugerens IP til USA uden samtykke — self-hosting eliminerer overforsel fuldstandigt og kræver ingen retsgrundlag.

Den tyske dom forklaret

Den 20. januar 2022 afsagde Landgericht München I (LG München) en dom i sag nr. 3 O 17493/20, der satte ny standard for brugen af tredjeparts-ressourcer på websites.

Hvad skete der?

En privatperson besøgte et website, der brugte Google Fonts til at vise tekst. Brugerens browser hentede automatisk skrifttypen fra Googles CDN-servere i USA, og i den forbindelse blev browserens dynamiske IP-adresse overført til Google. Brugeren klagede over, at dette skete uden hans samtykke eller information.

Retten gav klageren medhold og tilkendte ham 100 euro i erstatning. Det er et beskedent beløb, men symbolikken er enorm: For første gang i Europa fik en privatperson erstatning for en overtrædelse, der alene bestod i, at en IP-adresse var blevet overført til en tredjepartstjeneste via et website.

Rettens begrundelse:

Retten fastslog to centrale pointer:

  1. IP-adressen er persondata. Under GDPR — og i overensstemmelse med EU-Domstolens afgørelse i Breyer-sagen — udgør en dynamisk IP-adresse persondata, fordi der eksisterer rimelige midler til at identificere personen bag adressen via internetudbydere og myndighedsadgang.

  2. Ingen legitim interesse kan begrunde overførslen. Retten afviste, at hjemmesideoperatøren kunne påberåbe sig legitim interesse (artikel 6, stk. 1, litra f) som retsgrundlag. Begrundelsen var klar: Da det er fuldt ud muligt at bruge de samme skrifttyper ved at hoste dem lokalt, er overførslen af IP-adressen til Google ikke nødvendig. Og hvis noget ikke er nødvendigt, kan det ikke retfærdiggøres med legitim interesse.

Retten advarede desuden om, at fremtidige overtrædelser kunne medføre bøder på op til 250.000 euro eller op til seks måneders fængsel for hver enkelt overtrædelse.

Massefølger:

Dommen afstedkom en bølge af lignende klager fra privatpersoner i Tyskland og andre EU-lande. Mange tyske advokater begyndte systematisk at scanne websites for Google Fonts-anmodninger og sende advarselsbreve. Tusindvis af websites modtog krav om erstatning. Beløbene var typisk symbolske, men de juridiske omkostninger og den administrative byrde var reelle.

IP-adresser som persondata under GDPR

Et centralt spørgsmål i sagen var: Er en dynamisk IP-adresse overhovedet persondata?

Svaret fra retten — og fra EU-Domstolen inden da — er entydigt: Ja.

GDPR’s artikel 4, nr. 1 definerer persondata som “enhver oplysning om en identificeret eller identificerbar fysisk person”. En person anses for identificerbar, hvis vedkommende kan identificeres “direkte eller indirekte”.

En dynamisk IP-adresse skifter ved hvert opkald eller session, men den identificerer stadig i praksis en bestemt internetforbindelse på et bestemt tidspunkt. Kombineret med data fra internetudbydere kan den knyttes til en person.

EU-Domstolen slog dette fast i Breyer mod Forbundsrepublikken Tyskland (C-582/14, 2016): En dynamisk IP-adresse udgør persondata for en websiteoperatør, når internetudbyderen har de supplerende oplysninger, der er nødvendige for at identificere brugeren — og lovlige midler til at fremskaffe dem eksisterer.

Det er ikke afgørende, om du som websiteoperatør selv kan identificere personen. Det er tilstrækkeligt, at en tredjepart (som Google) eller en myndighed kan gøre det. Og det kan de.

Under GDPR gælder det dermed, at enhver overførsel af IP-adresser til tredjepart kræver et lovligt retsgrundlag — enten samtykke, legitim interesse, kontraktmæssig nødvendighed eller andet fra artikel 6.

Hvad siger andre DPA’er?

LG München-dommen stod ikke alene. Den indgik i et bredere mønster af europæiske afgørelser om dataoverførsler til USA.

Danmark — Datatilsynet:

Datatilsynet har ikke taget specifik stilling til Google Fonts, men har i september 2022 fulgt det europæiske koordinerede arbejde og erklæret Google Analytics ulovligt under GDPR — samme begrundelse: IP-overførsel til USA uden tilstrækkeligt retsgrundlag. Det er klart, at den samme logik gælder for Google Fonts. Datatilsynet har generelt fulgt EDPB’s fælles linje.

Østrig — DSB:

Den østrigske tilsynsmyndighed DSB afgjorde i januar 2022 — samme måned som LG München-dommen — at Google Analytics er ulovligt. Begrundelsen var identisk: IP-adressen udgør persondata, og overførslen til Google i USA mangler lovligt grundlag.

Frankrig — CNIL:

Den franske CNIL beordrede i april 2022 tre websites til at stoppe brugen af Google Analytics. I 2024 ikendte CNIL Google en bøde på 325 millioner euro for cookierelaterede overtrædelser. CNIL har generelt en aggressiv tilgang til tredjepartsresourcer og dataoverførsler.

Det generelle europæiske billede:

EDPB (Det Europæiske Databeskyttelsesråd) koordinerede svarene på tværs af DPA’erne efter Schrems II-afgørelsen i 2020. Konklusionen er ens overalt: Dataoverførsler til USA kræver et gyldigt overførselsgrundlag. EU-U.S. Data Privacy Framework (DPF), der trådte i kraft i juli 2023, giver nu et sådant grundlag — men kun for certificerede virksomheder, og det er stadig juridisk anfægtet.

Status i 2026:

DPF er fortsat juridisk usikkert. Max Schrems’ organisation NOYB har anfægtet det, og en ny EU-Domstolsafgørelse er mulig. At basere din compliance på DPF alene er risikabelt. Den sikreste løsning forbliver: Eliminer overførslen ved at self-hoste.

Losning 1: Self-host dine fonts (step-by-step guide)

Self-hosting er den anbefalede løsning. Det eliminerer fuldstændigt overførslen af IP-adresser og kræver hverken samtykke eller retsgrundlag for databehandling — fordi der simpelthen ikke sker nogen overførsel af persondata.

Her er den komplette fremgangsmåde:

Trin 1: Identificer de fonte du bruger

Find alle Google Fonts-referencer i din kodebase. Søg efter:

  • fonts.googleapis.com
  • fonts.gstatic.com
  • @import url('https://fonts.googleapis.com/...

Privaci.io by bon.do’s scanner identificerer automatisk disse kald, men du kan også tjekke din kildetekst manuelt.

Trin 2: Download fontfilerne

Brug Google Webfonts Helper (tilgængelig via søgning) — et uafhængigt open source-værktøj der giver dig:

  1. Vælg din ønskede skrifttype
  2. Vælg tegnsæt (latin, latin-ext osv.)
  3. Vælg stilarter (regular, bold, italic, bold italic)
  4. Vælg “Modern Browsers” under browsersupport (inkluderer woff2 og woff)
  5. Download ZIP-filen med fontfilerne
  6. Kopiér den genererede CSS-kode

Trin 3: Upload fontfilerne til din server

Placér fontfilerne i en dedikeret mappe, fx /fonts/ eller /assets/fonts/. Strukturen ser typisk sådan ud:

/fonts/
  inter-v13-latin-regular.woff2
  inter-v13-latin-regular.woff
  inter-v13-latin-700.woff2
  inter-v13-latin-700.woff

Trin 4: Tilpas CSS-koden

Opdatér de URL-stier i den genererede CSS til at pege på din lokale mappe:

@font-face {
  font-family: 'Inter';
  font-style: normal;
  font-weight: 400;
  font-display: swap;
  src: local(''),
       url('/fonts/inter-v13-latin-regular.woff2') format('woff2'),
       url('/fonts/inter-v13-latin-regular.woff') format('woff');
}

Bemærk font-display: swap — dette forbedrer load-performance ved at vise en system-font, mens din valgte font indlæses.

Slet <link>-tagget der peger på fonts.googleapis.com fra dit HTML-hoved. Det er dette tag, der forårsager problemet.

Trin 6: Verificer resultatet

Tjek med dit browsers developer tools (Network-fanen) at der ikke længere foretages anmodninger til fonts.googleapis.com eller fonts.gstatic.com. Kør efterfølgende en scan med Privaci.io by bon.do for at bekræfte, at der ikke er resterende tredjeparts-fontanmodninger.

WordPress-specifikke løsninger

Mange WordPress-temaer indlæser automatisk Google Fonts. Her er mulighederne:

  • OMGF-plugin (Optimize My Google Fonts): Downloader og self-hoster automatisk de Google Fonts dit tema bruger
  • Fontsource via npm: Installer fonte som npm-pakker i dit build-system
  • Tema-indstillinger: Mange premium-temaer har en indstilling til at deaktivere Google Fonts

Losning 2: System fonts (ingen ekstern request)

Den mest radikale og privacy-venlige løsning er at droppe custom fonts helt og bruge system fonts — skrifttyper der allerede er installeret på brugerens enhed.

System fonts kræver ingen download, ingen ekstern anmodning og ingen compliance-overvejelser.

Typisk system font stack:

body {
  font-family: -apple-system, BlinkMacSystemFont, 'Segoe UI', Roboto,
               Oxygen, Ubuntu, Cantarell, 'Open Sans', 'Helvetica Neue',
               sans-serif;
}

Denne stack bruger:

  • -apple-system: San Francisco på Apple-enheder
  • BlinkMacSystemFont: San Francisco i Chrome på macOS
  • Segoe UI: Windows 10/11
  • Roboto: Android
  • Ubuntu: Ubuntu Linux
  • Fallback: Generisk sans-serif

Fordele:

  • Lynhurtig indlæsning (ingen font-download)
  • Fuld GDPR-compliance uden konfiguration
  • Native look-and-feel på hvert operativsystem
  • Ingen vedligeholdelse

Ulemper:

  • Begrænset kontrol over det visuelle udtryk
  • Forskelligt udseende på tværs af platforme

For mange websites — særligt B2B-løsninger, intranets og applikationer — er system fonts et fuldt ud acceptabelt valg, der dessuden giver den bedste performance.

Gælder det kun Google Fonts? Andre font-services

Google Fonts er den mest udbredte tjeneste og fik den mest omtalte dom, men princippet gælder for alle CDN-baserede font-services.

Adobe Fonts (Typekit): Adobe Fonts fungerer på lignende vis — skrifttyperne hentes fra Adobes servere, og IP-adressen overføres. Adobe er certificeret under DPF, men som nævnt er det ikke en bombsikker løsning. Self-hosting er mulig for mange Adobe Fonts med en aktiv Creative Cloud-licens.

Font Awesome (CDN-version): Font Awesome tilbyder ikoner som web fonts og kan bruges via CDN. Samme problem: Anmodning til tredjeparts server. Self-host via npm eller download i stedet.

jsDelivr og andre CDN’er: jsDelivr-teamet analyserede LG München-dommen og argumenterede for, at deres CDN har en bredere legitim interesse end Google Fonts — fordi de leverer JavaScript-biblioteker der er teknisk nødvendige for websitets funktion, ikke blot æstetiske elementer. Det er en nuanceret argumentation, men den understreger det centrale punkt: Jo mere en tjeneste er æstetisk frem for teknisk nødvendig, jo sværere er det at begrunde med legitim interesse.

Generelt princip:

Spørg dig selv for hvert tredjeparts-script eller -ressource:

  1. Sender det brugerens IP-adresse til en server uden for EU?
  2. Er det teknisk nødvendigt for sidens funktion?
  3. Har du et gyldigt retsgrundlag (samtykke eller legitim interesse)?

Hvis svaret på 1 er ja og 2 er nej, har du et compliance-problem.

Hvad Privaci.io by bon.do detekterer

Privaci.io by bon.do scanner dit website for alle udgående anmodninger til tredjeparts-servere, herunder:

Google Fonts-specifikke kald:

  • fonts.googleapis.com — CSS-anmodningen der starter font-indlæsningen
  • fonts.gstatic.com — Den faktiske fontfil-server

Andre font-services:

  • Adobe Fonts / Typekit CDN
  • Font Awesome CDN
  • Andre kendte font-CDN-servere

Når Privaci.io opdager disse kald, markeres de i scanningsrapporten under kategorien “Tredjeparts ressourcer” med:

  • Domænet der kontaktes
  • Klassificering (font-service, analytics, osv.)
  • GDPR-risikovurdering
  • Anbefaling (self-host, tilføj samtykke, eller fjern)

En komplet scanning tager sekunder og giver dig et øjebliksbillede af alle potentielle compliance-problemer — ikke kun Google Fonts, men alle tredjeparts-integrationer der kan indebære overførsler af persondata.

FAQ

Kan jeg bruge Google Fonts lovligt, hvis jeg beder om samtykke?

Teknisk set ja. Hvis du blokerer Google Fonts-indlæsningen, indtil brugeren har givet eksplicit samtykke (opt-in), er overførslen lovlig. Men implementeringen er kompleks: Du skal sikre, at skriften ikke indlæses ved siden indlæsning, at samtykke-logikken fungerer korrekt, og at brugerens valg respekteres korrekt. De fleste eksperter anbefaler self-hosting som den langt simplere løsning.

Er det nok at nævne Google Fonts i min privatlivspolitik?

Nej. En passus i privatlivspolitikken om at “vi bruger Google Fonts” er ikke tilstrækkeligt samtykke under GDPR. Samtykke skal være frivilligt, specifikt, informeret og utvetydigt — det kræver aktiv handling fra brugeren (opt-in), ikke passiv information.

Hvad med Google’s Data Privacy Framework-certificering?

Google er certificeret under EU-U.S. Data Privacy Framework (DPF), der trådte i kraft i juli 2023. Det giver formelt et overførselsgrundlag. Men DPF er politisk og juridisk anfægtet og kan potentielt blive ugyldiggjort af EU-Domstolen (som det skete med Privacy Shield i 2020 og Safe Harbor i 2015). At satse din compliance på DPF er en gamble. Self-hosting eliminerer problemet fuldstændigt.

Kan jeg risikere en bøde i Danmark for at bruge Google Fonts?

Datatilsynet har ikke udstedt specifikke advarsler om Google Fonts, men det principielle grundlag er det samme som for Google Analytics, som Datatilsynet erklærede ulovligt i 2022. En privatperson kan indgive klage til Datatilsynet, og tilsynet kan i teorien ikendte bøder. Det er dog mest sandsynligt, at en indledende reaktion vil være en henstilling om at bringe forholdet i orden.

Forringer self-hosting performance?

I mange tilfælde er self-hosting faktisk hurtigere end Google Fonts CDN. Google forventede engang, at browsercache-deling på tværs af sites ville optimere indlæsningen, men Chrome deaktiverede denne funktion i 2020 af privacy-hensyn. Din server kender din infrastruktur bedst, og med korrekt Cache-Control-headers og CDN foran din server er forskellen minimal til ikke-eksisterende.

Hvad med Google Fonts i udviklingsmiljøer og prototyper?

I et intern udviklingsmiljø der ikke er tilgængeligt offentligt er risikoen minimal, da ingen EU-borgere rammer siden. Men god praksis er at etablere self-hosting fra starten — det sparer en omstrukturering senere.

Gælder det for skrifttyper der er forudinstallerede på operativsystemer?

Nej. Fonts som Arial, Times New Roman, Georgia, Verdana og Helvetica er allerede installeret på brugernes enheder. Browseren henter dem lokalt — ingen ekstern anmodning, ingen IP-overførsel, intet GDPR-problem.

Vil du vide om dit website har Google Fonts-problemer? Kør en gratis scan med Privaci.io by bon.do og få et komplet overblik over tredjeparts-ressourcer og potentielle GDPR-risici på dit website.

Ofte stillede spørgsmål

Kan jeg bruge Google Fonts lovligt, hvis jeg beder om samtykke?
Teknisk set ja. Hvis du blokerer Google Fonts-indlæsningen, indtil brugeren har givet eksplicit samtykke (opt-in), er overførslen lovlig. Men implementeringen er kompleks: Du skal sikre, at skriften ikke indlæses ved siden indlæsning, at samtykke-logikken fungerer korrekt, og at brugerens valg respekteres korrekt. De fleste eksperter anbefaler self-hosting som den langt simplere løsning.
Er det nok at nævne Google Fonts i min privatlivspolitik?
Nej. En passus i privatlivspolitikken om at “vi bruger Google Fonts” er ikke tilstrækkeligt samtykke under GDPR. Samtykke skal være frivilligt, specifikt, informeret og utvetydigt — det kræver aktiv handling fra brugeren (opt-in), ikke passiv information.
Hvad med Google’s Data Privacy Framework-certificering?
Google er certificeret under EU-U.S. Data Privacy Framework (DPF), der trådte i kraft i juli 2023. Det giver formelt et overførselsgrundlag. Men DPF er politisk og juridisk anfægtet og kan potentielt blive ugyldiggjort af EU-Domstolen (som det skete med Privacy Shield i 2020 og Safe Harbor i 2015). At satse din compliance på DPF er en gamble. Self-hosting eliminerer problemet fuldstændigt.
Kan jeg risikere en bøde i Danmark for at bruge Google Fonts?
Datatilsynet har ikke udstedt specifikke advarsler om Google Fonts, men det principielle grundlag er det samme som for Google Analytics, som Datatilsynet erklærede ulovligt i 2022. En privatperson kan indgive klage til Datatilsynet, og tilsynet kan i teorien ikendte bøder. Det er dog mest sandsynligt, at en indledende reaktion vil være en henstilling om at bringe forholdet i orden.
Forringer self-hosting performance?
I mange tilfælde er self-hosting faktisk hurtigere end Google Fonts CDN. Google forventede engang, at browsercache-deling på tværs af sites ville optimere indlæsningen, men Chrome deaktiverede denne funktion i 2020 af privacy-hensyn. Din server kender din infrastruktur bedst, og med korrekt Cache-Control-headers og CDN foran din server er forskellen minimal til ikke-eksisterende.
Hvad med Google Fonts i udviklingsmiljøer og prototyper?
I et intern udviklingsmiljø der ikke er tilgængeligt offentligt er risikoen minimal, da ingen EU-borgere rammer siden. Men god praksis er at etablere self-hosting fra starten — det sparer en omstrukturering senere.
Gælder det for skrifttyper der er forudinstallerede på operativsystemer?
Nej. Fonts som Arial, Times New Roman, Georgia, Verdana og Helvetica er allerede installeret på brugernes enheder. Browseren henter dem lokalt — ingen ekstern anmodning, ingen IP-overførsel, intet GDPR-problem.

Relaterede artikler

Klar til at finde alle dine cookies?

Privaci scanner dit website i et fuldt browsermiljø og finder HTTP-only cookies, CNAME cloaking og browser fingerprinting — teknologier andre scannere misser.

Start gratis scanning Læs flere artikler