Skip to main content

Betyr Schrems II-beslutningen at Google Analytics ikke er GDPR-kompatibel?

For mange selskaper i EU og USA la 2022 til en ny krise å håndtere: oppfølgingen av Schrems II som erklærer at Google Analytics ikke er GDPR-kompatibel.

Hva er Schrems II?

Data Protection Commissioner v Facebook Ireland og Maximillian Schrems, også kjent som Schrems II, ble avsluttet 16. juli 2020. Kort sagt annullerte avgjørelsen fra EU-domstolen EU-US Privacy Shield, avtalen som spesifiserte beskyttelseskrav for personvern. data fra EU-borgere sendt til USA.

Denne saken satte spørsmålstegn ved den GDPR-kompatible bruken av servere som eies og drives av USA, som stammer fra det faktum at personopplysninger fra EU ble sendt til Facebooks skyservere i USA, og - under CLOUD Act, US Foreign Intelligence Surveillance Act, og andre offisielle retningslinjer - kunne da nås av amerikanske etterretningsbyråer. Kort fortalt er personopplysningene til EU-borgere ikke tilstrekkelig beskyttet i henhold til GDPR når de overføres til servere til amerikanske selskaper.

Schrems II-beslutning i Østerrike

Etter Schrems II-avgjørelsen sendte non-profit noyb(European Center for Digital Rights), grunnlagt av Max Schrems, inn 101 klager mot ulike selskaper som overførte data fra EU-borgere til amerikanske selskaper. En slik klage var mot netdocktor.at, et helsenettsted som brukte Google Analytics til å spore besøkende på nettstedet. Som mange andre selskaper fortsatte netdoktor å bruke Google Analytics til tross for avgjørelsen fra EU-domstolen. Google, så vel som andre USA-baserte selskaper (Amazon, Facebook, Microsoft, etc.) har stolt på standardkontraktsklausuler (SCC) og tekniske og organisatoriske tiltak (TOMs) for å overbevise EU-partnere om at deres fysiske og digitale beskyttelsestiltak ( gjerder rundt datasentre, datakryptering, pseudonyme data osv.) var nok til å beskytte dataene deres.

Men i netdoktor-saken har det østerrikske datatilsynet («Datenschutzbehörde» eller «DSB»), bestemt at dette ikke er nok. Google Analytics bryter med GDPR.De forklarer:

" Når det gjelder de kontraktsmessige og organisatoriske tiltakene som er skissert, er det ikke åpenbart i hvilken grad [tiltaket] er effektive i den forstand som er nevnt ovenfor."

" Når det gjelder de tekniske tiltakene, er det heller ikke gjenkjennelig (...) i hvilken grad [tiltaket] faktisk ville forhindre eller begrense tilgang for amerikanske etterretningsbyråer som vurderer amerikansk lov."

Basert på denne avgjørelsen mener mange eksperter at dette bare er begynnelsen. Det er fortsatt mange klager som venter på å få dagen sin i retten, og det er ventet at lignende avgjørelser vil bli tatt av andre EU-medlemsland.

DSB uttalte også i sin avgjørelse at de vil undersøke Google videre med hensyn til regler for dataoverføring til amerikanske myndigheter uten uttrykkelig samtykke fra EU-dataeksportøren.

Det er ingen straff gitt i denne saken ennå, men hvis retten bestemmer seg for å gjøre det, kan de være så høye som 4 % av et selskaps globale omsetning.

Innvirkning på Google Analytics-brukere

Vi er ikke advokater og vi kan ikke tilby juridisk rådgivning, men det ser ut til at ethvert selskap som behandler dataene til EU-borgere gjennom tjenester levert av USA-baserte selskaper er i faresonen. Når det gjelder nettanalyse, er Google Analytics nummer én i verden, men det er mange andre å være forsiktige med. Sjekk alltid hvor selskapet er innlemmet og hvor deres datasentre er plassert.

På lang sikt betyr dette at amerikanske myndigheter og amerikanske leverandører må gjøre store endringer i deres nåværende retningslinjerog infrastruktur: vedta lovgivning som beskytter dataene til utenlandske statsborgere og vert for utenlandske data utenfor USA. EU-kommisjonen er ivrig etter å finne en erstatning for EU-US Privacy Shield, men det er ingen lovlig vei videre for øyeblikket. Forhandlinger pågår, men krever fortsatt juridiske endringer på amerikansk side. Og basert på dagens politiske og økonomiske klima, virker disse tingene usannsynlige i overskuelig fremtid.

Fremtiden for nettanalysedata

Siden retten har konkludert med at Google Analytics ikke er GDPR-kompatibel, noe Google har benekteti en nylig uttalelse, er spørsmålet hvor bedrifter henvender seg for sikker, lavrisiko webanalysedata. Det første trinnet ville være å undersøke selskaper basert i EU, som bruker IP-anonymisering, som ikke lagrer brukerdata, og som er i samsvar med GDPR, TTDSG, CCPA og andre personvernlover – som Visitor Analytics!

Hele DSB-vedtaket, på tysk, finner du her.