Duitse website veroordeeld voor doorgeven ip-adres bezoeker via Google Fonts

Een Duitse rechtbank heeft een Duitse website veroordeeld voor het zonder toestemming doorgeven van het ip-adres van een bezoeker aan Google door middel van Google Fonts. Dat meldde Security.nl afgelopen maandag. De klagende bezoeker krijgt 100 euro schadevergoeding. Volgens de rechter heeft de website geen gerechtvaardigd belang, aangezien Google Fonts ook lokaal is te gebruiken waarbij er geen ip-adres van bezoekers naar Google wordt gestuurd. Exit Google Fonts?

De dienst Google Fonts is bedoeld om website-eigenaren makkelijker mooie lettertypes te kunnen laten serveren. Natuurlijk kan iedereen eigen fonts op de eigen site zetten, maar dan blijf je downloaden. Google zet ze centraal neer (fonts.googlea.com), en dan onthoudt je browser welke fonts al gedownload. Dat scheelt, en als er updates zijn (een ontbrekend karakter, een nieuwe emoji, noem maar op) kan dat op één plek doorgevoerd.

Nadeel: je browser maakt dan verbinding met een site van Google, waardoor die je IP-adres te pakken krijgt. En -als ik even snel in mijn eigen cookiejar kijk- ook analyticscookies en andere gezellige trackers, die ongetwijfeld gecombineerd zijn met mijn Google-profiel en ander online gedrag. Dit ter verbetering van de gebruikerservaring, veronderstel ik.

Dit is dus een probleem, om dezelfde reden als waarom Google Analytics een probleem is. Als website forceer je zo dat mensen hun persoonsgegevens (IP-adres en/of cookie) naar Amerika gaan. En hier is er ook een eenvoudig alternatief, aldus de rechtbank: je mag die fonts gewoon lokaal hosten. Je hebt dan wel een beetje overhead en extra downloads, maar toen ik dat schreef twee alinea’s terug zat ik ondertussen te Netflixen met Spotify aan én een AI model te renderen dus ik twijfelde al of ik dat nog wel een serieus argument vind in 2022.

De rechtbank bevestigt nog eens dat een IP-adres een persoonsgegeven is, ook als het “maar” dynamisch is. Gecombineeerd met datum en tijd is het gewoon het adres van een persoon – de netsurfer – en zeker voor Google, die het zo kan koppelen aan nog veel meer gegevens. En dat alles dus zonder toestemming en zonder goede reden (gerechtvaardigd belang).

In de comments bij Security.nl wordt gewezen op moderne beveiligingsmaatregelen in Firefox, waarmee je sowieso al niet meer profiteert van centrale opslag: fonts worden opnieuw opgehaald vanaf de Google-site bij iedere nieuwe site, zodat er niet één centraal overzicht komt voor de beheerder van de Google Fonts site. Wat dus specifiek bij Google niet werkt, maar bij andere meegluurders wel.

De 100 euro is een interessante opsteker voor de vele AVG-schadeclaimverzoekers. Heel hard wordt het niet onderbouwd:

The amount of the claimed damages is appropriate in view of the seriousness and duration of the infringement and is not challenged by the defendant.
Oftewel, “mja dat klinkt niet onredelijk en ik hoor ook geen serieus bezwaar van de website-eigenaar”.

Arnoud