LG München: Google Fonts och GDPR

LG München: Google Fonts och GDPR

I januari 2022 meddelade Landgericht München (regionaldomstolen i München) ett uppmärksammat avgörande som skapade vågor i webbutvecklingsvärlden. Domstolen fann att en webbplatsoperatör bröt mot GDPR genom att ladda Google Fonts direkt från Googles servrar, vilket överförde besökarens IP-adress till Google utan föregående samtycke. Avgörandet resulterade i ett skadeståndsbelopp till den drabbade användaren och har sedan dess påverkat hur företag i hela Europa tänker kring tredjepartsresurser.

Vad domstolen beslutade

Domstolen slog fast att laddning av Google Fonts från Googles CDN (content delivery network) utgör en överföring av personuppgifter (specifikt användarens IP-adress) till Google i USA. Eftersom denna överföring skedde utan användarens samtycke och utan giltig rättslig grund bröt den mot GDPR. Domstolen betonade att webbplatsoperatören kunde ha hostat typsnitten lokalt och därigenom undvikit all dataöverföring till Google.

Skadeståndet uppgick till 100 euro, vilket kan verka litet. Men avgörandets verkliga betydelse ligger i principen det fastställer: varje extern resurs som laddas från en tredjepartsserver och överför personuppgifter kan utgöra en GDPR-överträdelse om det saknas giltig rättslig grund.

Varför det här är viktigt

Google Fonts används av miljontals webbplatser världen över. Standardmetoden är att länka till Googles CDN, vilket innebär att varje besökares IP-adress skickas till Google vid varje sidladdning. Många webbplatsutvecklare och webbplatsägare har aldrig reflekterat över att detta utgör en personuppgiftsöverföring. Domen från München tvingade branschen att tänka om.

Konsekvenser för webbplatsoperatörer

• Alla webbplatser som laddar Google Fonts (eller liknande externa resurser) från tredjepartsservrar kan överföra personuppgifter utan samtycke.
• Att hosta typsnitt lokalt eliminerar denna risk helt och är enkelt att implementera.
• Samma princip gäller för andra tredjepartsresurser som laddas från externa servrar, exempelvis JavaScript-bibliotek, analysskript och inbäddat innehåll. Förstå hur cookies fungerar i detta sammanhang.
• Andra vanliga tredjepartstjänster som kan vara problematiska inkluderar Google Maps, YouTube-inbäddningar, reCAPTCHA och CDN-tjänster för JavaScript-bibliotek.

Så åtgärdar du Google Fonts

Att hosta Google Fonts lokalt är en relativt enkel åtgärd. Ladda ner de typsnitt du använder från Google Fonts webbplats och placera filerna på din egen server. Uppdatera sedan dina CSS-filer så att de refererar till de lokala filerna istället för Googles CDN. Det finns verktyg som Google Webfonts Helper som automatiserar processen och genererar den CSS-kod du behöver. Hela åtgärden tar vanligtvis under en timme att genomföra.

Bredare lärdomar

Granska din webbplats för alla externt laddade resurser, inte bara Google Fonts. Byt till lokalt hostade versioner där det är möjligt. Se över andra tredjepartsintegrationer som laddar resurser från externa servrar och bedöm om de överför personuppgifter utan samtycke. Även IMY har tagit liknande ställning i Sverige. Detta avgörande understryker vikten av ett privacy-by-design-arbetssätt i webbutveckling, där dataminimering beaktas från början snarare än i efterhand.

Hur du granskar din webbplats

Använd webbläsarens utvecklarverktyg (nätverksfliken) för att se alla externa förfrågningar som din webbplats gör. Varje förfrågan till en extern domän innebär potentiellt att besökarens IP-adress delas med den tredjeparten. Dokumentera alla externa resurser, bedöm om de är nödvändiga och prioritera att lokalt hosta de som kan ersättas. För resurser som måste laddas externt, säkerställ att samtycke inhämtas innan laddningen sker.

Utöver Google Fonts bör du vara särskilt uppmärksam på inbäddade kartor, YouTube-videor, sociala medier-widgetar, CDN-hosted JavaScript-bibliotek och externa analysverktyg. Alla dessa kan överföra personuppgifter till tredjeparter utan att besökaren är medveten om det. En noggrann mätningsuppsättning hjälper dig identifiera dessa risker.