Saksalainen oikeus: Koko nykyaikainen Internet on laiton, rikkoo GDPR:ää - 100 euron korvauksen takia
Petteri Pyyny
31. tammikuuta, 2022 23:20
Saksalainen paikallisoikeus tipautti juuri nettikansan syliin sellaisen uutispommin, jota ei kenties osattu odottaa. Oikeus käytännössä päätti, että koko nykyaikaisten verkkosivustojen toimintatapa on laiton ja rikkoo Euroopan Unionin yleistä tietosuoja-asetusta eli GDPR:ää.
Taustalla oli oikeuden dokumenteissä nimeämättömän saksalaisen verkkosivuston toiminta. Yksi sen käyttäjistä haastoi sivuston oikeuteen siksi, että verkkosivusto käytti tiettyä fonttia sivuillaan.
Ongelmaksi muodostui tässä tapauksessa se, että kyseinen fontti oli osa Google Webfonts -pakettia ja sivusto latasi fontin osaksi sivuaan viittaamalla siihen suoraan Googlen palvelimelta, kuten yleensäkin on käytäntönä.
Käyttäjän mukaan hänen IP-osoitteensa välittyi tällöin luvattomasti kolmannelle osapuolelle (tässä tapauksessa siis Googlen palvelimelle). Oikeuden mukaan pelkkä IP-osoitteen välittyminen itsessään oli jo riittävä syy tuomiolle, sillä teoriassa IP-osoitteen perusteella voisi käyttäjästä muodostaa käyttöprofiilin ja kenties yhdistää käyttäjän toimintaa muihin tietoihin.
Tähän väliin lienee syytä kuvata hieman sitä, miten selaimet, verkkosivustot ja netti toimivat:
1) Jokaisella nettiin yhdistyvällä tietokoneella ja kännykällä on IP-osoite. Kyseinen osoite on tavallaan "reitti" tietokoneelle.
2) Kun selaimella ladataan verkkosivusto, käytännössä selain kertoo eteenpäin: "Hei, verkkosivusto xyz, haluaisin ladata kopion etusivustasi. Lähettäisitkö sen minulle osoitteeseen 1.2.3.4?" Jossa siis 1.2.3.4 kuvaa käyttäjän oman tietokoneen IP-osoitetta. Tähän verkkosivusto vastaa palauttamalla pyydetyn sivun kyseiseen osoitteeseen - ja saatuaan sen perille, selain näyttää kyseisen sivun.
3) Yksittäinen sivu on tekstimuotoinen HTML-tiedosto, joka kuvaa sivun rakenteen. Sen lisäksi sivu tyypillisesti sisältää mm. kuvia, videoita, fontteja, JavaScript-pätkiä ja sen sellaista. Sen lisäksi, että varsinainen sivu ladataan, selain joutuu pyytämään myös jokaista näistä osasista erikseen, kutakin oikeasta paikasta.
4) Sellaiset elementit, joita tuhannet ja taas tuhannet verkkosivustot kaikki käyttävät, pyritään latamaan samasta paikasta. Tällöin selain ymmärtää, että kyseinen elementti todennäköisesti löytyy jo käyttäjän selaimen välimuistista, eikä sitä tarvitse pyytää uudestaan. Tällaisia ovat mm. useat laajasti käytetyt JavaScript -kirjastot (esim. jQuery) sekä erilaiset fontit. Juurikin välimuistin takia ne pyritään lataamaan aina samalta palvelimelta, esim. Googlen palvelimelta, jolloin selain tietää, että kyseessä on sama elementti kuin vaikkapa eilen ladatulla, toisella sivustolla.
Nyt siis oikeuden
päätöksen mukaan verkkosivustojen pitäisi pitää kaikki sisältö omilla palvelimillaan eikä ladata mitään muilla palvelimilla olevaa sisältöä ellei jokaisen ulkopuolisen palvelimen käyttöön pyydetä erikseen käyttäjän nimenomaista suostumusta. Sinänsä omalle palvelimelle tallettaminen on fonttien ja vaikkapa jQuery -skriptin osalta mahdollista - ja tähän oikeus vetosikin päätöstä tehdessään. Mutta tallettamalla fontit ja JavaScript-kirjastot kunkin palvelimen omaan tilaan menetetään myös välimuistin käytön tehokkuus: selain ymmärtää katsoa tietoja välimuistista vain, jos elementin osoite on täsmälleen sama kaikissa tapauksissa.
Päätöksen perusteella myös esimerkiksi YouTube-videoiden tai Instagramin kuvien upotuksia ei voi enää tehdä sivustoille lainkaan
(ilman käyttäjän erillistä ja nimenomaista suostumusta), sillä nekin ladataan - luonnollisesti - YouTuben tai Instagramin palvelimilta, vaikka sivusto itsessään olisi vaikkapa kotimainen iltapäivälehti.
Noin
50 miljoonaa verkkosivustoa käyttää Googlen fontteja sivuillaan. YouTuben upotuksia tai Instagramin videoita sivuillaan jakanee vielä huomattavasti tätäkin suurempi määrä sivustoja.
Oikeus määräsi Googlen fontteja käyttäneen verkkosivuston maksamaan 100 euron sakot GDPR-lainsäädännön rikkomisesta. Lisäksi sivustolle määrättiin 250 000 euron uhkasakko, jos sivusto ei lopeta Googlen palvelimilta ladattavien fonttien käyttöä sivuillaan.
Päätös on jatkoa muutaman viikon takaiselle päätökselle, jossa
itävaltalainen oikeus päätti Google Analyticsin käytön olevan laitonta Euroopassa.