Skip to main content

Betyder Schrems II-beslutningen, at Google Analytics ikke er GDPR-kompatibel?

For mange virksomheder i EU og USA tilføjede 2022 endnu en krise at håndtere: opfølgningen på Schrems II, der erklærer, at Google Analytics ikke er GDPR-kompatibel.

Hvad er Schrems II?

Data Protection Commissioner mod Facebook Ireland og Maximillian Schrems, også kendt som Schrems II, blev indgået den 16. juli 2020. Kort sagt annullerede EU-Domstolens afgørelse EU-US Privacy Shield, den aftale, der specificerede beskyttelseskravene for de personlige data fra EU-borgere sendt til USA.

Denne sag satte spørgsmålstegn ved den GDPR-kompatible brug af enhver amerikansk ejet og drevet server, som stammer fra det faktum, at personlige data fra EU blev sendt til Facebooks cloud-servere i USA, og - i henhold til CLOUD Act, US Foreign Intelligence Surveillance Act og andre officielle politikker - kunne derefter tilgås af amerikanske efterretningstjenester. Kort sagt er EU-borgeres personlige data ikke tilstrækkeligt beskyttet i overensstemmelse med GDPR, når de overføres til amerikanske virksomheders servere.

Schrems II-beslutning i Østrig

Efter Schrems II-beslutningen indgavnon-profit noyb (European Center for Digital Rights), grundlagt af Max Schrems, 101 klager mod forskellige virksomheder, der overførte EU-borgeres data til amerikanske virksomheder. En sådan klage var mod netdocktor.at, et sundhedswebsted, der brugte Google Analytics til at spore besøgende på webstedet. Som mange andre virksomheder fortsatte netdoktor med at bruge Google Analytics på trods af EU-Domstolens afgørelse. Google såvel som andre USA-baserede virksomheder (Amazon, Facebook, Microsoft osv.) har påberåbt sig standardkontraktklausuler (SCC'er) og tekniske og organisatoriske foranstaltninger (TOM'er) for at hjælpe med at overbevise EU-partnere om, at deres fysiske og digitale beskyttelsesforanstaltninger ( hegn omkring datacentre, datakryptering, pseudonyme data osv.) var nok til at beskytte deres data.

Men i netdoktor-sagen har den østrigske databeskyttelsesmyndighed ("Datenschutzbehörde" eller "DSB") besluttet, at det ikke er nok. Google Analytics overtræder GDPR.De forklarer:

" Med hensyn til de skitserede kontraktuelle og organisatoriske foranstaltninger er det ikke klart, i hvilket omfang [foranstaltningen] er effektive i den forstand, som de ovennævnte betragtninger har."

" For så vidt angår de tekniske foranstaltninger, er det heller ikke genkendeligt (...), i hvilket omfang [foranstaltningen] faktisk ville forhindre eller begrænse adgang for amerikanske efterretningstjenester, der overvejer amerikansk lovgivning."

Baseret på denne beslutning mener mange eksperter, at dette kun er begyndelsen. Der er stadig mange klager, der venter på at få deres dag i retten, og det forventes, at lignende afgørelser vil blive truffet af andre EU-medlemslande.

DSB oplyste også i deres beslutning, at de vil undersøge Google yderligere med hensyn til regler for dataoverførsel til den amerikanske regering uden udtrykkeligt samtykke fra EU-dataeksportøren.

Der er endnu ikke givet sanktioner i denne sag, men hvis domstolen beslutter at gøre det, kan de være så høje som 4 % af en virksomheds globale omsætning.

Indvirkning på Google Analytics-brugere

Vi er ikke advokater, og vi kan ikke tilbyde juridisk rådgivning, men det lader til, at enhver virksomhed, der behandler EU-borgeres data gennem tjenester leveret af amerikansk-baserede virksomheder, er i fare. Med hensyn til webanalyse er Google Analytics nummer et i verden, men der er mange andre at være forsigtige med. Tjek altid, hvor virksomheden er registreret, og hvor deres datacentre er placeret.

På lang sigt betyder dette, at den amerikanske regering og amerikanske udbydere bliver nødt til at foretage store ændringer i deres nuværende politikkerog infrastruktur: vedtage lovgivning, der beskytter udenlandske statsborgeres data og hosting af udenlandske data uden for USA. Europa-Kommissionen er ivrig efter at finde en erstatning for EU-US Privacy Shield, men der er ingen lovlig vej frem på nuværende tidspunkt. Forhandlinger er i gang, men kræver stadig juridiske ændringer fra amerikansk side. Og baseret på det nuværende politiske og økonomiske klima virker disse ting usandsynlige i en overskuelig fremtid.

Fremtiden for webanalysedata

Da retten har konkluderet, at Google Analytics ikke er i overensstemmelse med GDPR, hvilket Google har afvisti en nylig udtalelse, er spørgsmålet, hvor virksomhederne henvender sig for at få sikre, lavrisiko-webanalysedata. Det første skridt ville være at undersøge virksomheder baseret i EU, som bruger IP-anonymisering, som ikke gemmer brugerdata, og som er i overensstemmelse med GDPR, TTDSG, CCPA og andre databeskyttelseslove - som Visitor Analytics!

Den fulde DSB-afgørelse, på tysk, kan findes her.