Skip to main content

Betekent de Schrems II-beslissing dat Google Analytics niet AVG-compatibel is?

Voor veel bedrijven in de EU en de VS voegde 2022 een nieuwe crisis toe om te beheersen: de follow-up van Schrems II waarin werd verklaard dat Google Analytics niet voldoet aan de AVG.

Wat is Schrems II?

Data Protection Commissioner v Facebook Ierland en Maximillian Schrems, ook bekend als Schrems II, sloten op 16 juli 2020. Kortom, de beslissing van het Europese Hof van Justitie maakte het EU-VS-privacyschild ongeldig, de overeenkomst die de beschermingsvereisten voor de persoonlijke gegevens van EU-burgers die naar de VS zijn verzonden.

Deze zaak zette vraagtekens bij het AVG-conforme gebruik van servers die eigendom zijn van en beheerd worden door de VS, als gevolg van het feit dat persoonlijke gegevens uit de EU werden verzonden naar Facebook-cloudservers in de VS, en - onder de CLOUD Act, US Foreign Intelligence Surveillance Act en ander officieel beleid - zouden dan toegankelijk zijn voor Amerikaanse inlichtingendiensten. Kortom, de persoonsgegevens van EU-burgers worden niet adequaat beschermd in overeenstemming met de AVG wanneer ze worden overgedragen naar de servers van Amerikaanse bedrijven.

Schrems II-beschikking in Oostenrijk

Na de Schrems II-beslissing diendede non-profit noyb (Europees Centrum voor Digitale Rechten), opgericht door Max Schrems, 101 klachten in tegen verschillende bedrijven die de gegevens van EU-burgers doorgaven aan Amerikaanse bedrijven. Een van die klachten was tegen netdocktor.at, een gezondheidswebsite die Google Analytics gebruikte om websitebezoekers te volgen. Net als veel andere bedrijven bleef netdoktor ondanks de uitspraak van het Europese Hof van Justitie Google Analytics gebruiken. Google en andere in de VS gevestigde bedrijven (Amazon, Facebook, Microsoft, enz.) hebben vertrouwd op standaardcontractclausules (SCC's) en technische en organisatorische maatregelen (TOM's) om EU-partners ervan te overtuigen dat hun fysieke en digitale beschermingsmaatregelen ( hekken rond datacenters, data-encryptie, pseudonieme data, enz.) waren voldoende om hun data te beschermen.

Maar in de netdoktor-zaak heeft de Oostenrijkse gegevensbeschermingsautoriteit ("Datenschutzbehörde" of "DSB") besloten dat dit niet genoeg is. Google Analytics schendt de AVG.Ze leggen uit:

" Met betrekking tot de geschetste contractuele en organisatorische maatregelen is niet duidelijk in hoeverre [de maatregel] effectief is in de zin van bovenstaande overwegingen."

"Wat de technische maatregelen betreft, is ook niet herkenbaar (...) in hoeverre [de maatregel] de toegang door Amerikaanse inlichtingendiensten daadwerkelijk zou verhinderen of beperken gezien de Amerikaanse wetgeving."

Op basis van deze beslissing zijn veel experts van mening dat dit nog maar het begin is. Er zijn nog steeds veel klachten die wachten om hun dag in de rechtbank te krijgen, en de verwachting is dat soortgelijke beslissingen zullen worden genomen door andere EU-lidstaten.

De DSB verklaarde in hun besluit ook dat ze Google verder zullen onderzoeken met betrekking tot regels voor gegevensoverdracht aan de Amerikaanse overheid zonder de uitdrukkelijke toestemming van de EU-gegevensexporteur.

Er zijn in deze zaak nog geen straffen uitgedeeld, maar als de rechtbank daartoe besluit, kunnen deze oplopen tot 4% van de wereldwijde omzet van een bedrijf.

Impact op Google Analytics-gebruikers

We zijn geen advocaten en we kunnen geen juridisch advies geven, maar het lijkt erop dat elk bedrijf dat de gegevens van EU-burgers verwerkt via diensten die worden geleverd door in de VS gevestigde bedrijven, gevaar loopt. Op het gebied van webanalyse is Google Analytics nummer één in de wereld, maar er zijn nog veel meer waar u voorzichtig mee moet zijn. Controleer altijd waar het bedrijf is opgericht en waar hun datacenters zich bevinden.

Op de lange termijn betekent dit dat de Amerikaanse overheid en Amerikaanse providers enorme veranderingen moeten doorvoeren in hun huidige beleiden infrastructuur: wetgeving aannemen die de gegevens van buitenlandse burgers beschermt en buitenlandse gegevens buiten de VS hosten. De Europese Commissie staat te popelen om een vervanging te vinden voor het EU-VS-privacyschild, maar op dit moment is er geen juridische weg vooruit. De onderhandelingen zijn aan de gang, maar er zijn nog steeds juridische wijzigingen aan de Amerikaanse kant nodig. En op basis van het huidige politieke en economische klimaat lijken deze dingen in de nabije toekomst onwaarschijnlijk.

De toekomst van webanalysegegevens

Aangezien de rechtbank heeft geconcludeerd dat Google Analytics niet GDPR-compatibel is, wat Google in een recente verklaring heeft ontkend, is de vraag waar bedrijven terecht kunnen voor veilige webanalysegegevens met een laag risico. De eerste stap zou zijn om onderzoek te doen naar bedrijven die in de EU zijn gevestigd, die IP-anonimisering gebruiken, die geen gebruikersgegevens opslaan en die voldoen aan de AVG, TTDSG, CCPA en andere wetten inzake gegevensprivacy - zoals bezoekersanalyse!

Het volledige DSB-besluit, in het Duits, vindt u hier.