UPDATE 24. marts 2022: Efter denne artikels udgivelse er Datatilsynet kommet med yderligere vejledning på området for brug af cloudydelser (link til vejledningen her). Navnlig har vejledningens pkt. 3.6 betydning for spørgsmålet om Google Analytics’ lovlighed. For hvis det ikke fremgår specifikt af databehandleraftalen, at Google Ireland Ltd., der leverer Analytics til EU-virksomheder, overfører oplysninger til usikre tredjelande, afgøres spørgsmålet efter en risikovurdering og en stillingtagen fra den dataansvarlige omkring passende sikkerhedsforanstaltninger til imødekommelse af den identificerede risiko.
Sagen i Østrig omhandlede en østrigsk virksomheds brug af Google Analytics (GA) på deres hjemmeside.
Aktivistgruppen, None Of Your Business/NOYB (stiftet af Max Schrems, manden bag de famøse sager med samme navn ved EU-Domstolen), klagede d. 18. august 2020, på vegne af en besøgende på hjemmesiden, over, at hjemmesiden brugte GA, fordi der ifølge klageren via GA blev behandlet personoplysninger om den besøgende, og at oplysningerne blev overført ulovligt til USA.
Afgørelsen kom d. 22. dec. 2021, og klager fik ret.
En af hovedårsagerne til det var, at GA, på tidspunktet for den behandling, der lå til grund for klagen, blev leveret af Googles amerikanske selskab, Google LLC. De personoplysninger, som blev indsamlet gennem GA, røg derfor på det pågældende tidspunkt tværs over Atlanten til USA, som blev betragtet – og stadig betragtes – som et usikkert tredjeland.
Når personoplysninger overføres til usikre tredjelande, skal der træffes foranstaltninger, der gør, at beskyttelsesniveauet for persondata svarer til beskyttelsesniveauet i EU. De primære udfordringer med beskyttelsesniveauet i USA er de amerikanske efterretningstjenesters vidtgående adgang til at kræve personoplysninger udleveret fra amerikanske udbydere af ”elektroniske kommunikationstjenester” (såsom Google, Facebook m.v.). Og selv om Google henviste til, at der mellem Google LLC og hjemmesideudbyderen var blevet indgået de såkaldte standardkontrakter og fremlagde betydelige mængder oplysninger om, hvordan personoplysninger blev beskyttet vha. diverse tekniske foranstaltninger, mente det østrigske datatilsyn altså ikke, at dette forhindrede de amerikanske efterretningstjenester i at gøre sig bekendt med oplysningerne.
At det østrigske website tilmed ikke havde konfigureret anonymize_ip-funktionen i GA (der ”maskerer” IP-adressen til kun meget overordnet at afsløre, hvor den besøgende geografisk befinder sig) gjorde det ikke bedre, men var formentlig heller ikke udslagsgivende. Den østrigske myndighed udtaler i al fald, at IP-adressen blot var en ud af mange ”puslespilsbrikker i den besøgendes digitale fodspor”.
Er Google Analytics så ulovligt i dag?
Nej, det kan ikke konkluderes alene på baggrund af afgørelsen fra Østrig. Heller ikke selv om afgørelsen i Østrig slår fast, at Google Analytics var ulovlig i det pågældende tilfælde, og at en lignende afgørelse i Frankrig siger det samme.
Det skyldes, at Google Analytics siden april 2021 er blevet leveret af Googles irske selskab, Google Ireland Ltd. Og da førnævnte sager omhandlede overførsler til Googles amerikanske selskab, er det derfor ikke sikkert, at lignende sager vil få samme udfald, hvis de blev anlagt i dag.
Et af de væsentligste omstændigheder, der gør, at man dog stadig bør udvise påpasselighed, er risikoen for, at personoplysninger, der behandles af Google Ireland Ltd., havner hos i hænderne på sit amerikanske moderselskab. [UPDATE, 24. marts 2022: Det er denne omstændighed, der ifølge Datatilsynets nye cloudvejledning er afgørende i risikovurderingen som nævnt i den indledningsvise update-tekst]. For til trods for, at Google selskab i Irland pr. april 2021 leverer ydelsen til EU, UK og Schweiz, er det bestemt ikke utænkeligt, at Google LLC alligevel modtager eller har adgang til personoplysninger i selskabet, eller at oplysninger på anden måde havner i USA eller andre usikre tredjelande. [UPDATE, 24. marts 2022: Men hvis det ikke fremgår af databehandleraftalen, man har underskrevet med Google, er det jf. den nye cloudvejledning et spørgsmål om en vurdering af risikoen for, at en sådan overførsel sker. Google oplyser eksempelvis i deres Transparency-sektion, at de som følge af påbud fra myndigheder i de lande, de er til stede i, nogle gange overleverer brugerinformationer til myndighederne, herunder USA. Googles oplysninger om ofte at ”protestere” mod anmodningerne (https://policies.google.com/privacy#enforcement) og indsnævre deres scope (se yderligere i Googles politik om udlevering her) syner at ligge i tråd med Datatilsynets eksempel 14 i cloudvejledningen, sådan at man efter omstændighederne med udgangspunkt i dette kan afdække sin risiko. Men det understreges, at det altid afhænger af indholdet af den databehandleraftale, man har skrevet under på, omstændighederne omkring den enkelte behandling, og hvordan man bruger Google Analytics. Så det er (stadigvæk) ikke et endegyldigt ja eller nej til Google Analytics som sådan.]
Kan/bør man gøre noget allerede nu?
Selvom Google Analytics derfor ikke på baggrund af foreliggende afgørelser er ulovligt som sådan endnu, kan der være andre gode årsager (dataetik, branding, CSR, risikomitigering m.v.) til at kigge sig om efter alternative EU-baserede løsninger.
En sammenslutning kaldet European Alternatives har lavet en oversigt over webanalyseværktøjer, der alle er baseret i EU eller lande med tilsvarende beskyttelsesniveau. Oversigten kan tilgås her: https://european-alternatives.eu/category/web-analytics-services (Patrade har ikke foretaget en vurdering af de oplistede værktøjer og står ikke inde for, hvorvidt de overholder gældende ret)
NOYB’s eget resume af den østrigske sag kan læses her: https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2021-0.586.257_(D155.027)
En maskinoversat udgave af den fulde afgørelse fra det østrigske datatilsyn kan findes her: https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_EN_bk.pdf