Een Duitse rechtbank heeft een Duitse website veroordeeld voor het zonder toestemming doorgeven van het ip-adres van een bezoeker aan Google door middel van Google Fonts. De website moet de bezoeker in kwestie honderd euro schadevergoeding betalen.
Google biedt via Google Fonts allerlei fonts aan waar websites gebruik van kunnen maken. Er is een statische variant van Google Fonts, waarbij websites de betreffende fonts zelf hosten, en een dynamische versie, waarbij fonts vanaf Google-servers worden gedownload. Bij het bezoeken van een website zal bij de dynamische versie het ip-adres van de gebruiker naar Google worden gestuurd.
Een ip-adres is onder de GDPR persoonlijke identificeerbare informatie. Websites mogen dergelijke informatie niet zonder toestemming van bezoekers bijvoorbeeld doorgeven aan Google. De Duitse website in kwestie maakte gebruik van Google Fonts, zonder de toestemming van bezoekers te vragen. Eén van de bezoekers stapte hierop naar de rechter.
Het Landgericht München stelt dat de website hiermee de Duitse implementatie van de GDPR heeft overtreden. Volgens de rechter heeft de website geen gerechtvaardigd belang, aangezien Google Fonts ook lokaal is te gebruiken waarbij er geen ip-adres van bezoekers naar Google wordt gestuurd. De rechter merkte op dat het ip-adres van de klager herhaaldelijk naar Google was gestuurd. Een bedrijf dat bekendstaat om het verzamelen van data over internetgebruikers.
Vanwege het “individuele ongemak” dat dit bij de klager heeft veroorzaakt vond de rechter een schadevergoeding van honderd euro gerechtvaardigd. Daarnaast mag de website in kwestie bij het gebruik van Google Fonts geen ip-adressen van bezoekers meer aan Google doorgeven en moet het bezoekers informeren over de persoonlijke data die van hen wordt opgeslagen en verwerkt.
Verschillende Duitse advocatenkantoren hebben op het vonnis gereageerd. Zo stelt advocatenkantoor Plutte dat de uitspraak geen gevolgen heeft voor websites die de dynamische versie van Google Fonts gebruiken, zolang ze maar via een correct functionerende banner om toestemming aan bezoekers vragen. Mocht de uitspraak van de Duitse rechtbank standhouden, dan denkt het advocatenkantoor dat dit een cart blanche zal zijn voor het eisen van schadeclaims. “Het Duitstalige deel van internet zit vol met websites die zonder toestemmingsbanner gebruikmaken van Amerikaanse webdiensten.”
“We adviseren onze cliënten al jaren om geen Google Fonts te gebruiken of de variant te kiezen waarbij er geen ip-data naar Google wordt verstuurd en fonts lokaal op de eigen server zijn opgeslagen”, stelt advocatenkantoor Beckmann en Norda.
Bron: Security.nl