Skip to main content

Schrems IIの決定は、Google AnalyticsがGDPRに準拠していないことを意味しますか?

EUと米国の多くの企業にとって、2022年には、管理すべき別の危機が追加されました。それは、GoogleAnalyticsがGDPRに準拠していないことを宣言するSchremsIIのフォローアップです。

シュレムスIIとは何ですか?

データ保護コミッショナーvFacebookIrelandおよびMaximillianSchrems(別名Schrems II)は、2020年7月16日に締結されました。要するに、欧州司法裁判所の決定により、個人の保護要件を指定したEU-USプライバシーシールドが無効になりました。米国に送信されたEU市民のデータ。

この訴訟は、EUからの個人データが米国のFacebookクラウドサーバーに送信されていたという事実に起因する、米国が所有および運営するサーバーのGDPR準拠の使用に疑問を投げかけました。また、CLOUD法に基づき、米国外国情報監視法法律およびその他の公式ポリシーは、米国の諜報機関からアクセスされる可能性があります。簡単に言うと、EU市民の個人データは、米国企業のサーバーに転送されるときにGDPRに従って適切に保護されていません。

オーストリアでのシュレムスIIの決定

Schrems IIの決定後、 Max Schremsによって設立された非営利団体noyb(European Center for Digital Rights)は、EU市民のデータを米国企業に転送したさまざまな企業に対して101件の苦情を申し立てました。そのような苦情の1つは、GoogleAnalyticsを使用してWebサイトの訪問者を追跡する健康Webサイトであるnetdocktor.atに対するものでした。多くの企業と同様に、netdoktorは、欧州司法裁判所の判決にもかかわらず、引き続きGoogleAnalyticsを使用しました。 Google、およびその他の米国を拠点とする企業(Amazon、Facebook、Microsoftなど)は、標準契約条項(SCC)および技術的および組織的措置(TOM)に依存して、EUパートナーに物理的およびデジタル的保護措置(データセンター周辺のフェンス、データ暗号化、仮名データなど)は、データを保護するのに十分でした。

しかし、netdoktorの場合、オーストリアのデータ保護機関(「Datenschutzbehörde」または「DSB」)は、これでは不十分であると判断しました。 GoogleAnalyticsはGDPRに違反しています彼らは説明します:

概説された契約上および組織上の措置に関して、上記の考慮事項の意味で[措置]がどの程度効果的であるかは明らかではありません。」

技術的措置に関する限り、米国の法律を検討している米国の諜報機関によるアクセスを実際にどの程度[措置]が防止または制限するかについても認識できません。」

この決定に基づいて、多くの専門家はこれがほんの始まりに過ぎないと信じています。法廷での一日を待つ多くの苦情がまだあり、他のEU加盟国によって同様の決定が下されることが予想されます。

DSBはまた、EUのデータ輸出業者の明示的な同意なしに、米国政府へのデータ転送ルールに関してGoogleをさらに調査することを決定したと述べています。

この場合の罰則はまだありませんが、裁判所がそうすることを決定した場合、企業の世界的な売上高の4%に達する可能性があります。

GoogleAnalyticsユーザーへの影響

私たちは弁護士ではなく、法律上のアドバイスを提供することはできませんが、米国を拠点とする企業が提供するサービスを通じてEU市民のデータを処理する企業はリスクにさらされているようです。ウェブ解析に関しては、グーグルアナリティクスは世界一ですが、注意すべき点は他にもたくさんあります。会社が設立されている場所とデータセンターがどこにあるかを常に確認してください。

長期的には、これは、米国政府と米国プロバイダーが現在のポリシーとインフラストラクチャに大幅な変更を加える必要があることを意味します。つまり、外国人のデータを保護する法律を可決し、米国外で外国のデータをホストします。欧州委員会は、EU-USプライバシーシールドの代替品を見つけることを熱望していますが、現時点では法的な前進はありません。交渉は進行中ですが、それでも米国側で法改正が必要です。そして、現在の政治的および経済的状況に基づくと、これらのことは予見可能な将来にはありそうもないように思われます。

Web分析データの未来

裁判所は、Google AnalyticsはGDPRに準拠していないと結論付けたため、 Googleは最近の声明で否定しました。問題は、企業が安全でリスクの低いWeb分析データをどこに求めるかということです。最初のステップは、IP匿名化を使用し、ユーザーデータを保存せず、GDPR、TTDSG、CCPA、およびその他のデータプライバシー法(Visitor Analyticsなど)に準拠しているEUに拠点を置く企業を調査することです。

ドイツ語での完全なDSB決定は、ここにあります