Hallo miteinander,
sehr interessant zu lesen. Wusste noch gar nicht, dass für die Datenschutzerklärung eine neue Verordnung kommt.
Zu einigen Sachen habe ich direkt auch eine Meinung (vorweggenommen, ich mach mir da keine Panik und lasse alles so, wie es ist).
Google könnte die Aufrufe seiner Fonts tracken. Ist allerdings sowieso egal, da jedem User bei Neuverbindung mit dem Internet eh eine neue IP zugewiesen wird (zumindest solange IPv4 noch on top ist). Selbst, wenn man die gleichbleibende IPv6-Adresse eines Users hätte ist diese Information ziemlich wertlos, weil der Endnutzer keinen Einfluss auf die Gestaltung einer Website hat und sich keine kommerziell nutzbaren Informationen daraus ableiten ließen. Aber gut, das ist im Zweifelsfall sowieso irrelevant.
Anbei, generell würde Google wohl auch eher die aufgerufenen CSS-Files tracken als die Fonts (diese liegen nämlich nur einen Tag im Chache, die Fonts hingegen ein Jahr). Folglich, wollt ihr auf Nummer sicher gehen, dann schraubt per .htaccess die Cachezeit der Google-Font-CSS-Files nach oben, sodass diese nicht täglich aufgerufen werden.
Wirklich von Bedeutung ist aber der Fakt, dass die Nutzung von Google Fonts ein One-Way-System ist. Da die API von den restlichen Google Services abgeschottet ist und sämtliche Leitungen über spezielle Domains laufen, werden weder Cookies gesetzt noch irgendwelche Daten gesendet. Habe spaßeshalber ne Sampleseite aufgesetzt und die Netzwerkanalyse + Waterfall im Auge behalten → nur Downloads, keine Cookies, keine Uploads, nichts. Daher sind Fonts eine relativ cleane Sache. Und nochmal wegen der IP → die ist derzeit immer noch dynamisch und muss zumindest innerhalb Europas sowieso anonymisiert werden, also datenschutzrechtlich meiner Ansicht nach relativ irrelevant. Selbst wenn man versucht, jemanden darüber zu orten, die Genauigkeit davon ist so grottig, dass das eigentlich nicht weiter zur Debatte stehen dürfte. Sollte ich dazu noch irgendwas außer Acht gelassen haben, lasse ich mich gerne aufklären.
Den einzigen Unterschied, den du damit erzielst, ist eine schlechtere UX für deine Besucher. Liegt daran, dass iFrames das so ziemlich undurchdringlichste sind, was es im ganzen Web gibt. Crawler können Seiten in iFrames nicht crawlen, Content-Anbieter können nicht feststellen, wer eine Seite gerade per iFrame aufruft. Alles was man feststellen kann, ist, ob man gerade per iFrame aufgerufen wurde oder nicht, und das auch nur mit JS. Und was dann? Man könnte versuchen, einen JS-Coockie zu setzen und darauf hoffen, dass der entsprechende Nutzer irgendwann auf die eigentlich Content-Seite zurückkehrt, um den Cookie dann auszulesen. Nur leider sind JS-Cookies ziemlich nutzlos und in der Anwendung ziemlich furchtbar, da man beim Auslesen genau wissen muss, wie der Cookie, den man auslesen will, überhaupt heißt, das System so aber nur auf die Ausgabe ALLER Cookies setzen kann, die dann erstmal auseinander klamüsert werden müssten…vom Client. Würde sowas wirklich betrieben werden, würde bei bspw. jedem YouTube-Aufruf das Browserfenster ne Zeit lang einfrieren, oder der Browser gleich im ganzen abschmieren.
Was FontAwesome, jQuery etc. angeht, haben wir prinzipiell den gleiche Fall wie mit den Fonts.
Wenn man da auch auf Nummer sicher gehen will, dann muss man die zwei Dateien halt manuell einbinden, ist nicht die Welt. Dann noch aus Stacks und dem Theme entfernen, fertig. Wer ganz besonders faul sein will kann sich auch eine Funktion mit php basteln, die die Inhalte aller Seiten einliest, alles was mit jQuery und/oder FA zu tun hat auslöschen lassen, dann die Verlinkung zum selbst gehorteten setzen lassen, speichern, fertig.
Bezüglich dem Webfonts-Helper auf GitHub…Warum? Es gibt dafür in RW deutlich angenehmere Lösungen zum Anwenden lokal gehosteter Fonts, bspw. diesen Custom Font Stack von Jannis oder das Teil von Joe Workman. Laufen 1A. Einmal Setup gemacht und in ein Partial gesteckt, fertig.
Mache ich nicht 
Ich persönlich bin zwar seit jeher ein Freund dessen, alle benötigten Fonts, Libraries oder whatever selbst zu hosten, aber ich bezweifle doch stark, dass man deshalb groß Panik schieben müsste. In der Datenschutzerklärung mal mit erwähnen, was von wo eingebunden wird und gut.
~N
