Web-fonts fra CDN: en skrifttype, der sender data til udlandet
Hvordan skrifttyper hentet fra et eksternt CDN sender besøgendes IP-adresse til en tredjepart — ofte i et tredjeland — og hvad reglerne kræver.
Senest opdateret 6. juli 2026
Hvad et font-CDN er, og hvorfor hver sidevisning kontakter det
De fleste hjemmesider bruger en bestemt skrifttype til at give siden sit visuelle udtryk, og den skrifttype skal browseren have adgang til for at vise teksten korrekt. I stedet for at lægge fontfilen på sin egen server vælger mange at hente den fra et eksternt font-CDN — en tjeneste, der er specialiseret i hurtigt at levere skrifttypefiler til hjemmesider verden over. Google Fonts er det mest kendte eksempel på den slags tjeneste, men mekanikken er den samme, uanset hvilken udbyder der leverer fonten.
Det afgørende er, hvornår og hvor ofte den kontakt opstår. Fordi fonten ikke ligger på sidens egen server, skal browseren foretage et selvstændigt opkald til CDN-udbyderens server for at hente filen — og det sker som udgangspunkt ved hver eneste sidevisning, ikke bare første gang en besøgende kommer forbi. En besøgende, der aldrig lægger mærke til skrifttypen, har alligevel fået sin browser til at kontakte en ekstern server, blot ved at åbne siden.
Hvordan besøgendes IP-adresse sendes til CDN-udbyderen
Når browseren henter en fontfil fra en ekstern server, sker det via en almindelig netværksforespørgsel — og som ved ethvert andet HTTP-kald følger den besøgendes IP-adresse automatisk med, sammen med tekniske oplysninger om browser og enhed. Det er ikke noget, hjemmesiden selv sender videre; det er en direkte forbindelse mellem den besøgendes browser og CDN-udbyderens server, som hverken den besøgende eller den, der driver siden, kan se indholdet af undervejs.
En IP-adresse regnes normalt som en personoplysning, fordi den kan bruges til at genkende en bestemt besøgende over tid — alene eller sammen med andre tekniske oplysninger, forespørgslen samtidig afslører. Det gør selve fontanmodningen til en behandling af en personoplysning, uanset hvor lille og teknisk den i praksis føles. Datatilsynets vejledning om hjemmesidebesøgende beskriver den samme mekanik for analyseværktøjer og andre eksterne forbindelser, som vi også berører i vores gennemgang af sporingsscripts.
Hvorfor det tit rammer tredjelande
Mange af de mest udbredte font-CDN'er drives af amerikanske virksomheder, og deres servere kan derfor være placeret uden for EU/EØS — eller trafikken kan routes gennem infrastruktur uden for EU, selv når udbyderen har et europæisk udsnit. Ligger den server, browseren kontakter, i et land uden for EU/EØS, er der tale om en overførsel til et tredjeland, hvilket er et selvstændigt lag af regler oven i selve spørgsmålet om, hvilket behandlingsgrundlag der gælder for at sende IP-adressen af sted i første omgang.
Det er den samme problemstilling, der gør sig gældende for amerikanske analyseværktøjer, indlejrede videoer og andre tjenester, der kontaktes fra en dansk hjemmeside — og en skrifttype er ikke undtaget, bare fordi den virker som et rent visuelt og teknisk element. Vi går i dybden med rammerne for overførsler til amerikanske tjenester generelt i vores guide om Schrems II og amerikanske tjenester; her holder vi fokus på selve font-CDN-mekanikken.
Hvad reglerne kræver
To lag af regler kan komme i spil, og de er ikke nødvendigvis de samme. Det første lag handler om selve behandlingen af IP-adressen: fordi det er en personoplysning, kræver GDPR et gyldigt behandlingsgrundlag for, at oplysningen sendes til CDN-udbyderen og behandles der, uanset hvor udbyderens server befinder sig.
Det andet lag gælder specifikt, hvis serveren ligger i et tredjeland. Databeskyttelsesforordningens artikel 44 fastslår det generelle princip for overførsler: en overførsel må kun finde sted, hvis den sker på et grundlag, der sikrer, at beskyttelsesniveauet ikke undermineres. Er CDN-udbyderens virksomhed certificeret under EU-U.S. Data Privacy Framework, kan overførslen ske på baggrund af den tilstrækkelighedsafgørelse, der ligger til grund for rammeværket — men kun for de virksomheder, der reelt er på den certificerede liste, hvilket kan tjekkes direkte hos dataprivacyframework.gov. Er udbyderen ikke certificeret, skal der findes et andet overførselsgrundlag, typisk standardkontraktbestemmelser suppleret med en vurdering af beskyttelsesniveauet i modtagerlandet.
Om selve fontanmodningen derudover kræver forudgående samtykke efter cookiereglerne, afhænger af den konkrete tekniske opsætning: sætter CDN-udbyderen en cookie eller en lignende identifikator sammen med fontfilen, gælder de samme regler for samtykke som ved andre cookies. Sker det ikke, er det stadig selve overførslen af IP-adressen — ikke en cookie — der udløser kravet om et behandlingsgrundlag og, i givet fald, et overførselsgrundlag. De to spørgsmål hænger sammen, men er ikke det samme.
Hvor du kan læse mere
Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende gennemgår, hvordan oplysninger som IP-adresser typisk indsamles, når en browser kontakter en ekstern server. Datatilsynets side om tredjelandsoverførsler gennemgår de overordnede krav, når personoplysninger sendes uden for EU/EØS. Data Privacy Framework-listen gør det muligt at slå en konkret amerikansk udbyder op og se, om den er aktivt certificeret. Databeskyttelsesforordningens artikel 44 hos EUR-Lex fastlægger det generelle princip for overførsler til tredjelande. Alle fire kilder er samlet herunder, så du kan læse dem i deres fulde ordlyd.