Golf van waarschuwingen als gevolg van onjuiste integratie van Google Fonts op websites

Je bent eigenaar/beheerder van een website of webdesigner en hebt Google Fonts geïntegreerd om de verscheidenheid aan verschillende lettertypes te kunnen gebruiken?

De eenvoud van de integratie van Google Fonts kan jouw www-leven gemakkelijker maken. Toch zijn er risico’s aan verbonden, vooral met betrekking tot gegevensbescherming of de Algemene Verordening Gegevensbescherming (AVG), zodat het de moeite waard is om te letten op actuele informatie van de gegevensbeschermingsautoriteiten en de uitspraak van het Landgericht München uit 2022 om dure waarschuwingen te voorkomen.

Zijn gegevensbescherming en Google Fonts compatibel?

Als je website Google Fonts gebruikt, roept dit echter de vraag op wat er gebeurt met de gebruikersgegevens van jouw klanten en websitebezoekers en of deze gegevens voldoende beschermd zijn.

Als je de locatie van de Google-servers bekijkt, bevinden deze zich in de Verenigde Staten van Amerika (VS). Sinds het arrest van het Europees Hof van Justitie (Schrems-II) is de Privacy Shield-overeenkomst tussen de Europese Unie en de Verenigde Staten niet langer geldig. Tot dan toe was dit de basis voor de doorgifte van gevoelige persoonsgegevens van de EU naar de Verenigde Staten. Sinds de uitspraak mag je dus geen gevoelige persoonsgegevens meer doorgeven aan de Verenigde Staten, omdat de Amerikaanse regelgeving inzake gegevensbescherming juist niet in overeenstemming is met de Algemene Verordening Gegevensbescherming.

Om ervoor te zorgen dat Google de lettertypes kan leveren, laden websites bij elk paginabezoek automatisch de lettertypes via een server van Google uit de VS. In ruil daarvoor leest Google talrijke gegevens van jouw websitebezoekers. Dit omvat o.a. de browser, de website die de gebruiker bezoekt en het IP-adres van de gebruiker.

Het IP-adres stelt Google in staat de locatie van de websitebezoeker te bepalen. Dit zijn persoonsgegevens. Websitebeheerders mogen deze gegevens niet verzamelen en aan Google doorgeven zonder toestemming van de gebruikers. In combinatie met de andere verzamelde gegevens stellen websitebeheerders Google ook in staat een vingerafdruk van de gebruiker te maken die hem of haar herkent op alle andere websites die ook Google-diensten hebben geïntegreerd of geïntegreerde diensten die op hun beurt deze informatie aan Google doorgeven. Gegevensbeschermers gaan ervan uit dat Google alle opgevraagde gebruikersgegevens opslaat en gebruikt voor opsporingsdoeleinden.

Gevaren van onjuiste integratie van Google Fonts

Vooral wanneer Google Fonts dynamisch worden geïntegreerd, wordt een verbinding tot stand gebracht met de servers van Google in de VS. Hierdoor wordt het IP-adres van de websitebezoeker automatisch doorgegeven aan Google en opgeslagen. De gegevens van de bezoeker van de website worden dus opgeslagen op servers van Google en zijn in vergelijking met de AVG oftewel de Duitse DSGVO niet voldoende beschermd tegen toegang door derden. Aangezien websitebezoekers geen invloed hebben op de bekendmaking en het gebruik van hun persoonsgegevens, vormt dit een schending van de algemene persoonlijkheidsrechten in de vorm van het recht op informatieve zelfbeschikking.

Het vonnis van de rechtbank München I

De Duitse rechtbank München I (LG München I, Az. 3 O 17493/20) heeft daarom begin 2022 geoordeeld dat de dynamische integratie van Google Fonts een dergelijke schending van het recht op informatieve zelfbeschikking oplevert. In dit geval kreeg de eiser schadevergoeding plus rente en advocatenkosten toegewezen.

Golf van waarschuwingen als gevolg van onjuiste integratie van Google Fonts

Het genoemde arrest van het Landgericht München I is ook het uitgangspunt voor een recente golf van e-mails en brieven waarin vermeend gedupeerde websitebezoekers via hun advocaten schadeclaims indienen tegen website-exploitanten en -ondernemers. Zij worden ervan beschuldigd IP-adressen van betrokkenen aan Google door te geven via de dynamische integratie van Google Fonts en deze onvoldoende te beschermen tegen toegang door derden. Deze waarschuwingsbrieven zijn meestal echter bedoeld om snel geld te verdienen onder het mom van een inbreuk op de gegevensbescherming. Deze circulatiemails en brieven worden ook in grote hoeveelheden verzonden, wat erop wijst dat dit een bendeachtig en frauduleus karakter heeft.

Vooral in Duitsland heeft zich een dergelijke waarschuwingscultuur ontwikkeld, waarvan de op dit gebied gespecialiseerde advocatenkantoren het meest profiteren. Momenteel geven deze advocatenkantoren waarschuwingen aan een groot aantal Duitstalige websites of websites gericht op Duitstalige landen, en dus mogelijk ook aan in Nederland gevestigde eigenaren en beheerders van websites.

Waarschuwingsbrief met boete ontvangen?

Als je een dergelijke brief hebt ontvangen, moet je eerst controleren of je Google Fonts op afstand of lokaal hebt geïntegreerd en zo nodig alternatieven zoeken en Google Fonts lokaal in jouw websites integreren.

Als je, ondanks de mogelijkheid van de lokale variant, Google Fonts op afstand blijft integreren en dus de IP-adressen van gebruikers aan Google blijft doorgeven, zul je niet alleen moeten vrezen voor verdere brieven met boetes, maar ook voor een administratieve boete van de overheid van maximaal 250.000 euro.

Heb je waarschuwingsbrieven of iets dergelijks ontvangen van een advocatenkantoor?

Zo kun je ermee omgaan:

  1. Eventuele fouten opsporen en onmiddellijk (laten) corrigeren

Als je een herinnering hebt ontvangen (of zelfs gewoon wilt controleren of je website Google Fonts niet op een AVG-conforme manier insluit), kun je de FontCheck van Dadi gebruiken om te controleren of je Google Fonts daadwerkelijk op afstand of lokaal hebt ingesloten. Bij onjuist en niet AVG-conform gebruik wordt het testresultaat rood gemarkeerd.

Je kunt dan heb beste alternatieven zoeken en de gebruikte Google Fonts lokaal op je website insluiten. Als je het probleem niet zelf kunt oplossen, kun je ook contact opnemen met Dadi of een websitebouwer en -beheerder waarmee u al eerder heeft samengewerkt.

Dit lost het juridisch probleem echter niet op als je al een herinneringsbrief hebt ontvangen. In dat geval is de in de brief beschreven overtreding hoogstwaarschijnlijk terecht.

  1. “Aanval is de beste verdediging”

Dreigen met tegenvorderingen en mogelijke tegenvorderingen tegen de waarschuwende partij, eventueel ook tegen de waarschuwende advocaten/advocatenkantoren.

Laat de andere kant zien dat je het spel hebt doorzien en niet zonder slag of stoot opgeeft. Een waarschuwende partij is uit op een snelle dollar en kan terugschrikken voor een lange discussie (de “kosten-batenberekening” werkt niet meer) en laat het bij een “waarschuwing”.

Als de persoon die wordt gewaarschuwd specifiek heeft gezocht naar een potentieel slachtoffer op de website, kan er gemakkelijk sprake zijn van fraude en/of chantage. Vooral als kan worden aangetoond dat er verschillende brieven en mails naar website-exploitanten zijn gestuurd, kan gemakkelijk worden aangenomen dat de persoon die de waarschuwing gaf op de een of andere manier “commercieel actief” was en zich niet echt bekommert om zijn persoonlijke rechten.

Daarnaast zijn er de methoden die de waarschuwende partijen hebben gebruikt: als zij een crawler hebben gebruikt om de Google-lettertypen op de website te vinden, kan worden gesteld dat er helemaal geen sprake is van een schending van de AVG (een computer heeft immers geen persoonsgegevens).

  1. Verzoek om bewijsmateriaal

In de meeste waarschuwingsbrieven en waarschuwingen is tot nu toe geen echt bewijs geleverd. Dan wordt gewoon gezegd dat iemand de website had bezocht en vervolgens ontdekte dat de gegevens aan Google waren doorgegeven.

Als waarschuwende partij is er hier één mogelijkheid: als de problemen nu zijn opgelost (zie hierboven onder 1.) en de waarschuwende partij er niet in is geslaagd voldoende bewijsmateriaal veilig te stellen, moet het nu heel moeilijk zijn dit alsnog te verstrekken of in te dienen. Als hij dat niet kan, is het woord tegen woord.

  1. Negeren

Een waarschuwingsbrief waarin een klein bedrag (voor de rechtbank in München ging het om een bedrag ad 100 euro) wordt geëist zal niet veel tijd kosten. Maar naar de rechter stappen is een veel grotere horde, vooral omdat er echt bewijsmateriaal moet worden voorgelegd. De veronderstelling is dat deze moeite het niet waard is voor de schrijver van de waarschuwingsbrief en hopelijk hoor je dan ook niets meer van hem.

 

De kwestie van het “illegale” gebruik van Google Fonts in verband met de nationale regelgeving inzake gegevensbescherming (AVG in Nederland en DSG-VO in Duitsland) is een heet hangijzer, vooral sinds de uitspraak van de regionale rechtbank van München, die een golf van waarschuwingen heeft veroorzaakt die ook tot buiten de Duitse grenzen reikt.

Om het zekere voor het onzekere te nemen en geen boete en dergelijke te riskeren, raad ik je sterk aan jouw site te laten controleren via de Dadi-tool en bij een foutmelding contact op te nemen met Sytze Notebomer van Dadi, die dan de bron van de fout kan corrigeren.

DaDi Websites enzo

Keulenaar 56
3961 NM Wijk bij Duurstede
06 – 50 65 23 30
info@dadi.nl

www.dadi.nl

https://fontcheck.eu

 

Heb je al een waarschuwingsbrief ontvangen en/of wil je meer weten over dit onderwerp of over het Duitse recht in het algemeen enz.? Je kunt mij altijd bellen of een bericht sturen. Ik neem dan zo snel mogelijk contact met je op.

 

Patrick Bernd Link, LL.M.

Rechtsanwalt (Advocaat)

+31 6 24355737

patrick@legallink.eu

www.legallink.eu