Stand: Juni 2026
Drittland-Transfer auf Websites — das Risiko mit US-Diensten
Was ein Drittland-Transfer ist. Werden personenbezogene Daten — schon die IP-Adresse eines Besuchers genügt — an einen Dienst außerhalb der EU/des EWR übermittelt, etwa an US-Server, ist das ein Drittland-Transfer. Erlaubt ist er nur unter besonderen Voraussetzungen (Art. 44 ff. DSGVO).
Der Fall, den fast niemand bemerkt
Schon das Einbinden von Google Fonts, Google Maps, YouTube-Videos, Font Awesome, reCAPTCHA oder US-Analytics überträgt beim Laden der Seite die IP-Adresse des Besuchers an Server in den USA — meist ohne dass der Betreiber es weiß.
Das Problem mit dynamisch eingebundenen Google Fonts
Werden Schriften direkt von Google-Servern nachgeladen, statt sie lokal auszuliefern, wird dabei die IP-Adresse des Besuchers an Google übertragen — ein Drittland-Transfer ohne Einwilligung. Solche Einbindungen waren Gegenstand zahlreicher Abmahnungen. Die Lösung ist einfach: Schriften lokal selbst hosten.
Der rechtliche Rahmen (Stand: Juni 2026)
Für Übermittlungen in die USA gibt es seit 2023 das EU-US Data Privacy Framework (DPF). Übermittlungen an DPF-zertifizierte US-Unternehmen gelten damit grundsätzlich als zulässig. Dauerhafte Rechtssicherheit ist damit aber nicht garantiert: Die beiden Vorgänger-Abkommen wurden in der Vergangenheit gerichtlich gekippt, und die Rechtslage zu US-Transfers bleibt in Bewegung. Hinzu kommt: Das DPF hilft nur, wenn der konkret genutzte Dienst zertifiziert ist. Ist er das nicht, braucht es Standardvertragsklauseln plus eine Transfer-Folgenabschätzung.
Warum schon eine IP genügt
Eine IP-Adresse gilt als personenbezogenes Datum. Schon ihre Übermittlung an einen US-Dienst ist deshalb ein Transfer, der einer Rechtsgrundlage bedarf — auch wenn er beim Laden der Seite unbemerkt geschieht.
Wie ich das löse
Keine US-Tracker, keine extern nachgeladenen Google Fonts, Maps oder Schriften-CDNs, kein US-Analytics. Schriften werden lokal gehostet, Karten und Videos datensparsam eingebunden (z. B. erst auf Klick laden, oder OpenStreetMap statt Google Maps), und gehostet wird in Deutschland. Wo ein US-Dienst tatsächlich unverzichtbar wäre, geschieht das transparent und mit Rechtsgrundlage — meist ist er aber schlicht vermeidbar.
Häufige Fragen
Sind dynamisch eingebundene Google Fonts ein Risiko?
Ja — das Nachladen direkt von Google überträgt die IP des Besuchers in die USA und wurde abgemahnt. Lokal gehostete Schriften lösen das.
Reicht das DPF nicht aus?
Für zertifizierte Dienste grundsätzlich ja — die Rechtslage zu US-Transfers ist aber historisch unbeständig, eine dauerhafte Garantie gibt es nicht.
Genügt ein Hinweis in der Datenschutzerklärung?
Transparenz ist Pflicht, ersetzt aber keine gültige Rechtsgrundlage für den Transfer.
Was ist die sichere Alternative?
Den Transfer vermeiden: EU-Hosting, lokale Schriften, datensparsame Einbindungen.
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die Beurteilung Ihres konkreten Falls wenden Sie sich bitte an eine Fachanwältin/einen Fachanwalt für IT-Recht oder Ihre/n Datenschutzbeauftragte/n.