1.11.2022
Obecnie wiele emocji budzi nowa fala upomnień w Niemczech: właściciele stron internetowych otrzymują korespondencję z powodu używania dynamicznych czcionek Google. Szczególne jest to, że upomnienia w dużej mierze nie są wysyłane przez konkurentów, ale przez osoby prywatne. Chodzi o wykorzystanie danych osobowych przy korzystaniu z nielokalnych fontów Google.
Co to jest Google Fonts?
Google Fonts to katalog czcionek darmowych i bezlicencyjnych, który jest ogólnodostępny i możliwy do wykorzystania dla każdego. Od 2010 roku Google oferuje własne, autorskie czcionki – obecnie jest ich ponad 1400. Przed wprowadzeniem Google Fonts, twórcy stron internetowych mogli korzystać tylko z czcionek, które odwiedzający mieli zainstalowane na swoim urządzeniu końcowym. Dlatego wtedy najpopularniejszymi czcionkami były Arial, Times New Roman czy Courier New. Wprowadzenie Google Fonts umożliwiło dużo większą elastyczność i kreatywność, ponieważ czcionki były ładowane prosto z serwera Google. I właśnie w tym tkwi problem!
Przy takiej „dynamicznej integracji” czcionka nie jest przechowywana „lokalnie” przez operatora strony. Gdy odwiedzający otwiera stronę internetową, nawiązywane jest również połączenie z serwerami Google w USA. Dla wygenerowania czcionki przekazywany jest adres IP osoby odwiedzającej. W rozumieniu RODO adresy IP to również dane osobowe, a zatem przetwarzanie jest dopuszczalne tylko za zgodą.
Stronę lub sklep można sprawdzić bezpłatnie np. korzystając z testera Händlerbund.
Rozmawialiśmy z adwokatem Kathariną Däberitz z kancelarii HB E-Commerce Rechtsanwaltsgesellschaft, która wyjaśniła nam tło sprawy.
Naruszenie ochrony danych poprzez dynamiczną integrację czcionek
ecommercenews.pl: Skąd tak nagle wzięła się ta fala upomnień? Do niedawna wydawało się, że ten temat nikogo nie interesuje.
Katharina Däberitz: Tłem dla tej sprawy jest wyrok Sądu Okręgowego w Monachium z 20.01.2022 r. (sygn. akt 3 O 17493/20). Sąd uznał, że dynamiczna integracja czcionek Google i związany z tym transfer danych osobowych do USA może stanowić naruszenie ochrony danych, jeśli wcześniej nie uzyska się zgody od osoby odwiedzającej stronę internetową. Sąd nakazał operatorowi strony internetowej zaprzestanie działalności i zapłatę odszkodowania.
Osoby prywatne wykorzystują teraz to orzeczenie jako okazję do rozsyłania upomnień i pozwów o odszkodowania do właścicieli stron internetowych, którzy dynamicznie integrują czcionki Google za pośrednictwem serwerów Google bez potrzeby uprzedniego wyrażania zgody przez odwiedzającego stronę.
ecommercenews.pl: Czy osoby prywatne, które stoją za tą obecną falą, same wysyłają pisma, czy są reprezentowane przez prawników? Ile pieniędzy żądają?
Katharina Däberitz: Część osób poszkodowanych jest reprezentowana przez prawników. Żądane są odszkodowania w wysokości od 100 do 200 euro.
Zdarza się jednak również, że osoby prywatne kontaktują się z operatorami strony bezpośrednio za pomocą poczty elektronicznej. W tych przypadkach żąda się również 100 euro.
W sporej części przypadków nie żądają podpisania deklaracji o zaniechaniu (tak zawsze jest w przypadku upomnień przez przedsiębiorców), a jedynie zapłaty odszkodowania.
Podejrzenie o nadużywanie praw jest w powietrzu
ecommercenews.pl: Ile takich upomnień jest aktualnie wysyłanych?
Katharina Däberitz: Uderzające jest to, że wiele z tych listów jest wysyłanych przez zaledwie kilka osób. Na przykład otrzymaliśmy około 100 upomnień od jednej osoby do różnych operatorów stron internetowych.
ecommercenews.pl: To jest bardzo dużo. Czy w tym momencie nie można mówić nawet o modelu biznesowym? Czy nie jest to nadużycie prawa?
Katharina Däberitz: Jeśli takie pisma są wysyłane tylko po to, aby zarabiać pieniądze, to rzeczywiście może dojść do nadużycia prawa. Jednak ogólna ocena obecnie jeszcze jest tu możliwa. Problem polega na tym, że orzeczenie jest prawomocne, a zainteresowani operatorzy stron internetowych faktycznie przekazują dane osobowe do USA poprzez sposób zintegrowania czcionek Google. Jest to bezsprzecznie nielegalne, więc upomnienia są uzasadnione.
Nawet gdyby udało się udowodnić nadawcom upomnień, że na strony internetowe swoich „ofiar” nie wchodzą przypadkowo, ale np. aktywnie ich szukają, raczej należałoby się zająć ich powodem, bo obecnie jest on niestety zasadny.
Wniosek: Nie należy ignorować upomnień!
ecommercenews.pl: Co więc należy zrobić, gdy właściciel strony otrzyma pismo z upomnieniem?
Katharina Däberitz: Nie jest dobrym pomysłem, aby je ignorować. Roszczenia są stosunkowo niewielkie, ale mogą spowodować kosztowne konsekwencje, jeśli nie zareagujesz. W zależności od konkretnego przypadku należy sprawdzić, czy można szybko rozwiązać sprawę jeżeli jest zasadna, lub też próbować odeprzeć roszczenie z powodu nadużycia prawa.
W każdym przypadku należy zasięgnąć porady prawnej, gdyż nie ma uniwersalnego patentu na załatwienie tych roszczeń.
Jednocześnie każdy najpóźniej teraz powinien sprawdzić, czy może zintegrować Google Fonts statycznie / lokalnie, lub zaimplementować pozyskiwanie zgody, np. w cookie banerze.
Katharina Däberitz od kilku lat służy pomocą dla klientów abonamentu prawnego w Händlerbund. Początkowo pomagała abonentom w ramach pozasądowych porad prawnych. Obecnie już jako adwokat, reprezentuje abonentów również w sądzie. Ponadto, jako certyfikowany zewnętrzny inspektor ochrony danych (TÜV Nord).