Inte heller Google Fonts är lagligt – i Tyskland

För somliga kommer ”nyheten” att Googles molntjänst för teckensnitt, Google Fonts, troligen är i strid med GDPR, som en överraskning. Det borde det inte göra!

En person som trodde att det räckte med att slänga ut Google Analytics och så var allt frid och fröjd med GDPR och Schrems 2-domen kommer säkert få fler chanser att bli överraskad. I alla fall om man nu inte gör den inventering av tredjeparter man borde ha gjort 2018 i anslutning till att GDPR aktiverades.

Det är dags att göra hela hemläxan med sina tredjeparter!

När jag i somras GDPR-motionerade landets kommuner var det några stycken som svarade att de minsann slängt ut Google. Men det tog inte många minuter för att se hur mycket av USA-baserade molntjänster de inte förstod också var i skottlinjen.

100 EUR till tysk som inte aktivt samtyckt

”A regional court in the German city of Munich has ordered a website operator to pay €100 in damages for transferring a user’s personal data — i.e., IP address — to Google via the search giant’s Fonts library without the individual’s consent.”
– German Court Rules Websites Embedding Google Fonts Violates GDPR (The Hacker News, januari 2022)

Normalt sett samtycker man inte på förhand för alla de tredjeparter som webbplatser inkluderat. Även om frågan borde ställas. Det vi däremot börjar se är att webbplatser ställer frågan om samtycke där man inte kan välja bort väsentliga cookies/spårning. Frågan är om teckensnitt kan klassas som väsentligt? Och egentligen är det inte viktigt i det domslut där en tysk användare fick 100 € för att inget samtycke givits och att användaren drabbats av kontrollförlust över sina egna data.
Domen finns att läsa på tyska

Med hot om 250 000 EUR i böter för varje framtida incident samt fängelsestraff

"The ruling directs the website to stop providing IP addresses to Google and threatens the site operator with a fine of €250,000 for each violation, or up to six months in prison, for continued improper use of Google Fonts."
– Website fined by German court for leaking visitor's IP address via Google Fonts (The Register, 31 januari)

Så hur vanligt är detta med Google Fonts i svensk offentlig sektor? Med lite fulkodande tog jag en snabbtitt.

31% av offentlig sektor använder Google Fonts i början av 2022

Av 639 webbplatser inom offentlig sektor som testades kvällen 31:a januari 2022 var det 199 som hade Google Fonts. Sökmetoden var allt annat än sofistikerad, det letades efter följande teststrängar i HTML-koden på respektive domäns startsida:

fonts.gstatic.com
fonts.googleapis.com

Varför har DIGG med Google Fonts på sin webbplats?

När dessa tester körs finns det alltid några aktörer som sticker ut lite extra. I detta fallet är det bland annat följande som är extra trist att de tycks använda Googles molntjänst för teckensnitt:

Digg, dessutom deras tjänst dataportal.se
Arbetsförmedlingen
Ekobrottsmyndigheten
Finansinspektionen
Närhälsan Online (eftersom jag jobbar för VGR, där Närhälsan ingår)

Sen är det massor med kommuner och andra på listan. Du kan ladda ner allas resultat i nedan fil och importera i ett kalkylprogram. De som har true i andra kolumnen använder Google Fonts:

Ladda ner CSV-fil med alla resultat (20 Kb)

Det finns förstås många fler molntjänster för teckensnitt som inte undersöktes i detta snabba test. Fontawesome är populärt i Sverige, men det finns några till man snubblar över emellanåt.

Källkoden

Du som vill inspektera källkoden för detta simpla test eller köra liknande tester kan kopiera nedan kod. Det är Python version 3.6 som krävs (på grund av f-strängarna).

import requests


alla_i_offsekt = ['https://www.1177.se', 'https://www.akademiska.se', 'https://www.ale.se', '...']


print(f'website; har_google_fonts')


for website in alla_i_offsekt:
    try:
        req = requests.get(website)
        
        if 'fonts.gstatic.com' in req.text or 'fonts.googleapis.com' in req.text:
            print(f'{website}; true')
        else:
            print(f'{website}; false')



    except:
        print(f'{website}; exception')
        pass

Mer om Google Fonts och GDPR

Sajter som använder Google Fonts riskerar GDPR-böter (ComputerSweden, 1 februari)
Website fined by German court for leaking visitor's IP address via Google Fonts (The Register, 31 januari)
German Court Rules Websites Embedding Google Fonts Violates GDPR (The Hacker News, januari 2022)

Relaterat innehåll

Ett fotografi med ett rosa moln mot himlen som bakgrund

DPF: eSam ger inte grönt ljus för amerikanska molntjänster (nu heller)

Att det skulle komma ett nytt adekvansbeslut från EU-kommissionen var väntat. Även av samarbetsgruppen eSam. Men hur tänker de nu när Data Privacy Framework finns?

Monsido Statistics utmanar på den nordiska webbanalys-marknaden

Att det rör på sig både efter Schrems-domarna, diverse hot om böter för Google Analytics och trötthet runt uttolkning av GDPR är kanske inte förvånande. Men att Monsido Statistics skulle ha en betydande marknadsandel är lite överraskande.

En amerikansk flagga och en EU-flagga på tandpetare.

GDPR: Cleura anser inte att USA-bolags molntjänster funkar med nya datapakten

Debatten och analysen av vad EU-kommissionens nya adekvansbeslut innebär i relation till USA är i full gång. Många är förstås lättade att de nog får fortsätta med dessa molntjänster eller återigen kan välja amerikanska alternativ. Andra har ett mer problematiserande synsätt.

Webperfs nyhetsbrev

Nyhetsbrevet skickas en gång i månaden. Innehållet är intressanta nyheter inom webbutveckling och tips för att bygga bra webbplatser.
Prenumerera på Webperfs nyhetsbrev

Webbanalys – förstå och förbättra användarnas upplevelse

Boken Webbanalys – förstå och förbättra användarnas upplevelse finns nu att läsa här på webperf. Läs eller ladda ner webbanalys-boken.