image

Duitse website veroordeeld voor doorgeven ip-adres bezoeker via Google Fonts

maandag 31 januari 2022, 11:31 door Redactie, 12 reacties

Een Duitse rechtbank heeft een Duitse website veroordeeld voor het zonder toestemming doorgeven van het ip-adres van een bezoeker aan Google door middel van Google Fonts. De website moet de bezoeker in kwestie honderd euro schadevergoeding betalen.

Google biedt via Google Fonts allerlei fonts aan waar websites gebruik van kunnen maken. Er is een statische variant van Google Fonts, waarbij websites de betreffende fonts zelf hosten, en een dynamische versie, waarbij fonts vanaf Google-servers worden gedownload. Bij het bezoeken van een website zal bij de dynamische versie het ip-adres van de gebruiker naar Google worden gestuurd.

Een ip-adres is onder de GDPR persoonlijke identificeerbare informatie. Websites mogen dergelijke informatie niet zonder toestemming van bezoekers bijvoorbeeld doorgeven aan Google. De Duitse website in kwestie maakte gebruik van Google Fonts, zonder de toestemming van bezoekers te vragen. Eén van de bezoekers stapte hierop naar de rechter.

Het Landgericht München stelt dat de website hiermee de Duitse implementatie van de GDPR heeft overtreden. Volgens de rechter heeft de website geen gerechtvaardigd belang, aangezien Google Fonts ook lokaal is te gebruiken waarbij er geen ip-adres van bezoekers naar Google wordt gestuurd. De rechter merkte op dat het ip-adres van de klager herhaaldelijk naar Google was gestuurd. Een bedrijf dat bekendstaat om het verzamelen van data over internetgebruikers.

Vanwege het "individuele ongemak" dat dit bij de klager heeft veroorzaakt vond de rechter een schadevergoeding van honderd euro gerechtvaardigd. Daarnaast mag de website in kwestie bij het gebruik van Google Fonts geen ip-adressen van bezoekers meer aan Google doorgeven en moet het bezoekers informeren over de persoonlijke data die van hen wordt opgeslagen en verwerkt.

Verschillende Duitse advocatenkantoren hebben op het vonnis gereageerd. Zo stelt advocatenkantoor Plutte dat de uitspraak geen gevolgen heeft voor websites die de dynamische versie van Google Fonts gebruiken, zolang ze maar via een correct functionerende banner om toestemming aan bezoekers vragen. Mocht de uitspraak van de Duitse rechtbank standhouden, dan denkt het advocatenkantoor dat dit een cart blanche zal zijn voor het eisen van schadeclaims. "Het Duitstalige deel van internet zit vol met websites die zonder toestemmingsbanner gebruikmaken van Amerikaanse webdiensten."

"We adviseren onze cliënten al jaren om geen Google Fonts te gebruiken of de variant te kiezen waarbij er geen ip-data naar Google wordt verstuurd en fonts lokaal op de eigen server zijn opgeslagen", stelt advocatenkantoor Beckmann en Norda.

Reacties (12)
31-01-2022, 12:46 door Anoniem
Het linken naar CDN's werd oorspronkelijk gebruikt om het laden van pagina's te versnellen. Als een webbrowser een font al eerder gezien had, dan hoefde deze niet opnieuw opgehaald te worden. Echter door de moderne beveiliging van websites worden dit soort bestanden alsnog opgehaald. Zie ook de blogpost van Mozilla hierover: "Firefox 85 partitions all of the following caches by the top-level site being visited: [...] style sheet cache, font cache [...]" https://blog.mozilla.org/security/2021/01/26/supercookie-protections/.
31-01-2022, 13:06 door Anoniem
Mocht je zelf niet te veel info aan google willen vertellen dan moet je even zoeken naar de firefox extensie "Decentraleyes"
31-01-2022, 13:16 door Anoniem
Als een site zo'n font gebruikt, zit er dan in de URL die naar Google gaat ook een identificatie van die site?
Zo niet dan ontvangt Google weliswaar een IP adres, maar geen informatie die daar aan gekoppeld kan worden.
("de bezoeker met dit IP adres bezoekt deze site")
Als dat zo is, is er dan wel sprake van persoonsinformatie? Als ik hier een willekeurig IP adres neerzet, is dat
dan persoonsinformatie? Of pas als er iets bij vermeld staat met betrekking tot dat adres?
31-01-2022, 14:28 door Anoniem
Door Anoniem: Als een site zo'n font gebruikt, zit er dan in de URL die naar Google gaat ook een identificatie van die site?
Zo niet dan ontvangt Google weliswaar een IP adres, maar geen informatie die daar aan gekoppeld kan worden.
("de bezoeker met dit IP adres bezoekt deze site")
Als dat zo is, is er dan wel sprake van persoonsinformatie? Als ik hier een willekeurig IP adres neerzet, is dat
dan persoonsinformatie? Of pas als er iets bij vermeld staat met betrekking tot dat adres?

Als ik in de browser via F12 de netwerkmonitor start en vervolgens de website nieuwsuur.nl open (site als willekeurig voorbeeld) dan zie ik vier GET requests naar fonts.gstatic.com. Ieder request heeft de aanvraagheader Origin met als waarde https://nos.nl/. Ik denk dat je veilig kan aannemen dat Google op deze manier bezoekersinformatie van nieuwsuur.nl redelijk goed kan bijhouden. Er moet wel een kanttekening bijgeplaatst worden. In de antwoordheaders stelt vermeld dat het antwoord pas een jaar later verloopt. Het font kan dus langdurig in de cache van de webbrowser blijven staan. Mits de cache niet voortijdig geleegd wordt, kan het aantal requests naar Google beperkt blijven.
31-01-2022, 14:38 door nicolaasjan
Door Anoniem; 13:06: Mocht je zelf niet te veel info aan google willen vertellen dan moet je even zoeken naar de firefox extensie "Decentraleyes"
De fork LocalCDN is beter.:
Differences between LocalCDN and Decentraleyes
LocalCDN contains a big collection of frameworks and useful functions.

New: Sync extension settings with Firefox Sync or own server
Includes Rocket Loader, Findify, Vue.js, page.js, lozad, AngularJS, Bootstrap, Google Material Icons, React, Vue, Chart.js and much more. The list will be continuously updated.
Includes Font Awesome in different version (v3.x, v4.x, v5.x)
Prepared rules for uBlock Origin/uMatrix/AdGuard and notifications if rule changes are necessary
Removes integrity/crossorigin attributes to replace more frameworks
https://addons.mozilla.org/en-US/firefox/addon/localcdn-fork-of-decentraleyes/
31-01-2022, 15:21 door Anoniem
Door nicolaasjan:
Door Anoniem; 13:06: Mocht je zelf niet te veel info aan google willen vertellen dan moet je even zoeken naar de firefox extensie "Decentraleyes"
De fork LocalCDN is beter.:
Differences between LocalCDN and Decentraleyes
LocalCDN contains a big collection of frameworks and useful functions.

New: Sync extension settings with Firefox Sync or own server
Includes Rocket Loader, Findify, Vue.js, page.js, lozad, AngularJS, Bootstrap, Google Material Icons, React, Vue, Chart.js and much more. The list will be continuously updated.
Includes Font Awesome in different version (v3.x, v4.x, v5.x)
Prepared rules for uBlock Origin/uMatrix/AdGuard and notifications if rule changes are necessary
Removes integrity/crossorigin attributes to replace more frameworks
https://addons.mozilla.org/en-US/firefox/addon/localcdn-fork-of-decentraleyes/

Waarom is LocalCDN beter?
31-01-2022, 19:37 door Anoniem
Niet alleen het IP adres wordt verzonden, maar vaak ook de REFERRER.
En laat in die referrer 'op welke pagina zit je' vaak ook interessante data zitten.
Wat mag Google daarmee doen? Mogen ze je in een hokje plaatsen ermee om vervolgens beter te kunnen adverteren?

Daar lekt misschien wel meer dan je als website eigenaar doorhebt.

Waarom zou je je fonts willen inladen vanaf een Google server (tenzij je je hele site toch daar host)? Al die afhankelijkheden die ervoor kunnen zorgen dat jouw site niet netjes inlaad.
31-01-2022, 20:13 door karma4
tja het ontwierp van html was dusdanig dat men het toen prachtig vond om willekeurige bronnen door elkaar op één pagina e zetten. Je zou zeggen dat er bij Cern beter over nagedacht zou zijn.
01-02-2022, 08:45 door Anoniem
Door Anoniem: Niet alleen het IP adres wordt verzonden, maar vaak ook de REFERRER.
En laat in die referrer 'op welke pagina zit je' vaak ook interessante data zitten.
Wat mag Google daarmee doen? Mogen ze je in een hokje plaatsen ermee om vervolgens beter te kunnen adverteren?

Daar lekt misschien wel meer dan je als website eigenaar doorhebt.

Waarom zou je je fonts willen inladen vanaf een Google server (tenzij je je hele site toch daar host)? Al die afhankelijkheden die ervoor kunnen zorgen dat jouw site niet netjes inlaad.

Google heeft met hun (*#$(# fonts weer een leuk datamining gaatje in de markt gevonden. Want in HTML zijn er maar een handje vol fonts die op elke browser en elk OS ondersteund worden. Google springt in dit gat door meer fonts globaal ondersteund te maken zodat website bouwers leukere websites kunnen bouwen.

Zou beter zijn als we de HTML spec uitbreiden met meer fonts, maar dit is beter voor Google.
01-02-2022, 09:14 door Anoniem
Door Anoniem: Als een site zo'n font gebruikt, zit er dan in de URL die naar Google gaat ook een identificatie van die site?
Zo niet dan ontvangt Google weliswaar een IP adres, maar geen informatie die daar aan gekoppeld kan worden.
("de bezoeker met dit IP adres bezoekt deze site")
Als dat zo is, is er dan wel sprake van persoonsinformatie? Als ik hier een willekeurig IP adres neerzet, is dat
dan persoonsinformatie? Of pas als er iets bij vermeld staat met betrekking tot dat adres?
Ja, iemands IP-adres is tot die persoon herleidbare informatie. Je kunt evt. de AVG checken als je dat niet weet.
De vraag is natuurlijk al beantwoord door het feit dat Google het IP-adres wil hebben, als ze er niets mee kunnen, vragen ze er ook niet om.
01-02-2022, 09:50 door Anoniem
Ik heb een goede tip voor iedereen die op dit niveau aan het pietlutten is over een IP-adres wat is doorgegeven aan Google: stop met het gebruiken van internet.
01-02-2022, 10:35 door Anoniem
De vraag is natuurlijk al beantwoord door het feit dat Google het IP-adres wil hebben, als ze er niets mee kunnen, vragen ze er ook niet om.


Bij de dynamische variant wanneer je de fonts download van Google kan dat technisch gezien moeilijk, zonder dat je IP bekend is. De vraag is daardoor dus niet beantwoord. Het antwoord ligt hem in het feit dat de statische variant, waarbij je de fonts download bij je provider, proportioneler is gezien de GDPR verplichtingen. Als ook het feit dat er geen toestemming was gegeven door de gebruiker ten behoeve van het verstrekken van gegevens ten behoeve van de dynamische variant.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.