Skip to main content

Betyder Schrems II-beslutet att Google Analytics inte är GDPR-kompatibelt?

För många företag i EU och USA lade 2022 till ytterligare en kris att hantera: uppföljningen av Schrems II som förklarade att Google Analytics inte är GDPR-kompatibelt.

Vad är Schrems II?

Data Protection Commissioner v Facebook Ireland och Maximillian Schrems, även känd som Schrems II, ingicks den 16 juli 2020. Kort sagt ogiltigförklarade EU-domstolens beslut EU-USA Privacy Shield, avtalet som specificerade skyddskraven för den personliga uppgifter om EU-medborgare som skickats till USA.

Detta fall ifrågasatte den GDPR-kompatibla användningen av alla servrar som ägs och drivs av USA, som härrörde från det faktum att personuppgifter från EU skickades till Facebooks molnservrar i USA, och - enligt CLOUD Act, US Foreign Intelligence Surveillance Act och annan officiell policy - kan sedan nås av amerikanska underrättelsetjänster. I korthet är EU-medborgarnas personuppgifter inte tillräckligt skyddade i enlighet med GDPR när de överförs till amerikanska företags servrar.

Schrems II-beslut i Österrike

Efter Schrems II-beslutet lämnade det ideella noyb(European Centre for Digital Rights), grundat av Max Schrems, in 101 klagomål mot olika företag som överförde uppgifter om EU-medborgare till amerikanska företag. Ett sådant klagomål var mot netdocktor.at, en hälsowebbplats som använde Google Analytics för att spåra webbplatsbesökare. Liksom många företag fortsatte netdoktor att använda Google Analytics trots EU-domstolens beslut. Google, såväl som andra USA-baserade företag (Amazon, Facebook, Microsoft, etc.) har förlitat sig på standardavtalsklausuler (SCC) och tekniska och organisatoriska åtgärder (TOMs) för att hjälpa till att övertyga EU-partner om att deras fysiska och digitala skyddsåtgärder ( staket runt datacenter, datakryptering, pseudonyma data etc.) räckte för att skydda deras data.

Men i fallet netdoktor har den österrikiska dataskyddsmyndigheten ("Datenschutzbehörde" eller "DSB") beslutat att det inte räcker. Google Analytics bryter mot GDPR.De förklarar:

" När det gäller de avtalsmässiga och organisatoriska åtgärderna som beskrivs är det inte uppenbart i vilken utsträckning [åtgärden] är effektiva i den mening som avses ovan."

" När det gäller de tekniska åtgärderna är det inte heller att känna igen (...) i vilken utsträckning [åtgärden] faktiskt skulle förhindra eller begränsa tillgången för amerikanska underrättelsetjänster med hänsyn till amerikansk lag."

Baserat på detta beslut tror många experter att detta bara är början. Det finns fortfarande många klagomål som väntar på att få sin dag i domstol, och det förväntas att liknande beslut kommer att fattas av andra EU-medlemsländer.

DSB uppgav också i sitt beslut att de kommer att undersöka Google ytterligare när det gäller regler för dataöverföring till den amerikanska regeringen utan uttryckligt medgivande från EU-dataexportören.

Det finns inga påföljder i det här fallet ännu, men om domstolen beslutar att göra det kan de bli så höga som 4 % av ett företags globala omsättning.

Inverkan på Google Analytics-användare

Vi är inte advokater och vi kan inte erbjuda juridisk rådgivning, men det verkar som att alla företag som behandlar EU-medborgares data genom tjänster som tillhandahålls av USA-baserade företag är i riskzonen. När det gäller webbanalys är Google Analytics nummer ett i världen, men det finns många andra att vara försiktig med. Kontrollera alltid var företaget är registrerat och var deras datacenter finns.

På lång sikt innebär detta att den amerikanska regeringen och amerikanska leverantörer kommer att behöva göra enorma förändringar i sin nuvarande policyoch infrastruktur: anta lagstiftning som skyddar data från utländska medborgare och värd för utländsk data utanför USA. Europeiska kommissionen är angelägen om att hitta en ersättare för EU-USA Privacy Shield, men det finns ingen laglig väg framåt för närvarande. Förhandlingar pågår, men kräver fortfarande lagändringar från USA:s sida. Och baserat på det nuvarande politiska och ekonomiska klimatet verkar dessa saker osannolikt inom överskådlig framtid.

Framtiden för webbanalysdata

Eftersom domstolen har kommit fram till att Google Analytics inte är GDPR-kompatibelt, vilket Google har förnekati ett uttalande nyligen, är frågan vart företag vänder sig för säker webbanalysdata med låg risk. Det första steget skulle vara att undersöka företag baserade i EU, som använder IP-anonymisering, som inte lagrar användardata och som är kompatibla med GDPR, TTDSG, CCPA och andra dataskyddslagar - som Besöksanalys!

Det fullständiga DSB-beslutet, på tyska, finns här.