Er Google Analytics’ dage i EU talte?
Det franske datatilsyn har truffet afgørelse i en sag vedrørende en virksomheds brug af Google Analytics på sin hjemmeside. Med afgørelsen bakker man i Frankrig op om det østrigske datatilsyn: Det er ulovligt at bruge Google Analytics i EU.
Sagens baggrund
I juli 2020 tog EU-Domstolen stilling til spørgsmålet om tredjelandsoverførsler til USA i den banebrydende Schrems II-afgørelse. Ifølge Schrems II er dataoverførsler til USA omfattet af den amerikanske lovgivning i FISA 702. FISA 702 giver amerikanske efterretningstjenester mulighed for at tilegne sig oplysninger om ikke-amerikanske statsborgere, som er i amerikanske virksomheders varetægt.
Sagen ved det franske datatilsyn udspringer af i alt 101 klagesager, der er anlagt ved en række europæiske datatilsynsmyndigheder. Sagerne er anlagt af organisationen None of Your Business (”NOYB”) med Max Schrems i spidsen. Sagerne omhandler dataoverførsler fra EØS-baserede websteder til Google LLC og Facebook Inc. i USA.
Som det første datatilsyn traf man i Østrig afgørelse og erklærede brugen af Google Analytics ulovlig.
Sagen ved det franske datatilsyn vedrørte en fransk virksomheds brug af Google Analytics på sin hjemmeside. Personoplysninger blev overført til Google i USA på baggrund EU-Kommissionens standardkontraktsbestemmelser (”SCC”). I tillæg til SCC havde Google implementeret en række supplerende sikkerhedsforanstaltninger.
Det franske datatilsyns afgørelse
Ifølge det franske datatilsyn var de supplerende sikkerhedsforanstaltninger, som Google havde implementeret, ikke tilstrækkelige.
Datatilsynet konkluderede i afgørelsen, at personoplysninger om hjemmesidens brugere blev overført til USA via Google Analytics. Datatilsynet anførte, at de supplerende foranstaltninger ikke var effektive, idet foranstaltningerne ikke udelukkede amerikanske efterretningstjenesters adgang til personoplysningerne. Webstedsoperatøren stillede dermed ikke tilstrækkelige sikkerhedsgarantier ved dataoverførslen.
På baggrund heraf erklærede det franske datatilsyn, på lige fod med Østrig, at dataoverførslen til USA ved brug af Google Analytics var i strid med GDPR.
Hvad betyder det for danske virksomheder?
Afgørelsen er truffet i samråd med andre datatilsynsmyndigheder i EU. Det betyder, at der som udgangspunkt er enighed om beslutningen.
Det danske datatilsyn har endnu ikke udtalt sig om emnet. Dette på trods af, at Datatilsynet har ført tilsyn i en sag vedrørende Den Blå Avis og deres samtykkeløsning til Google Analytics. Datatilsynet udtalte i sagen alvorlig kritik af løsningen, men forholdt sig i den forbindelse ikke eksplicit til tredjelandsoverførsler til USA.
Det er dog svært at forestille sig, at det danske datatilsyn går imod kollegerne i EU, da GDPR er et fælleseuropæisk regelsæt, der bl.a. har til formål at fremme det indre marked.
Det kan få store økonomiske- og forretningsmæssige konsekvenser for danske virksomheder, hvis brugen af Google Analytics bliver ulovlig. En stor del af danske virksomheder benytter Google Analytics i forretningsøjemed, og det er er en stor opgave selv at implementere tilstrækkelige sikkerhedsgarantier ved brugen heraf, når Googles egne ikke er tilstrækkelige.
Et sådant resultat kan desuden også få vidtgående konsekvenser for andre tjenester og værktøjer, hvor virksomheden er baseret i USA.
Google svarer igen
Den 16. marts i år svarede Google igen på afgørelserne ved at relancere Google Analytics 4. Google Analytics 4 arbejder på tværs af platforme, er ikke udelukkende afhængig af cookies og identifikatorer og bruger en hændelsesbaseret datamodel til levering af brugercentreret måling.
Ifølge Google selv er Google Analytics 4 designet med persondatabeskyttelse for øje. Google påpeger, at man indenfor databeskyttelsesretten i stigende grad forventer mere beskyttelse af privatlivets fred og kontrol over data. Med Google Anytics 4 anonymiseres brugernes IP-adresser derfor altid.
Hertil anfører Google, at Google Analytics 4 i højere grad kan indrettes efter teknologiens- og den databeskyttelsesretlige udvikling. Kunderne kan nemmere vælge hvordan data skal indsamles, bruges og begrænses. Brugerne har samtidig fortsat kontrol med sine data. Ifølge Google vil de databeskyttelsesretlige tiltag ikke have betydning for kundernes kommercielle resultater ved brug af Google Analytics 4.
Den tidligere generation af Google Analytics, Universal Analytics, vil blive udfaset fra 1. juli 2023. Det er endnu uvist om Google Analytics 4 vil ændre EU’s datatilsynsmyndigheders holdning til Google Analytics’ compliance med GDPR. Danske virksomheder bør derfor alligevel overveje de mulige løsninger.
3 konkrete løsningsforslag
Alternative leverandører
Den første løsning på problematikken er simpel: Stop brugen af Google Analytics og benyt i stedet en EU-baseret leverandør.
Google Analytics er ikke det eneste analyse- og rapporteringsapparat på markedet. Der findes en række EU-baserede leverandører, som er compliant med GDPR, og som kan bruges som alternativ til Google Analytics.
Alternative leverandører til Google Analytics er for eksempel Simple Analytics, der er baseret i Holland, Matomo, der er baseret i Tyskland og Piwic Pro, der er baseret i Polen.
”No reason to believe”
En anden løsning er at foretage en ”no reason to believe”-vurdering i sin Transfer Impact Assessment. I den forbindelse skal virksomheden vurdere, om oplysningerne konkret kan tænkes at have interesse for de amerikanske efterretningstjenester, og om der derfor er grund til at tro, at problematisk amerikansk lovgivning, herunder FISA 702, vil blive anvendt.
Kan det dokumenteres, at der ikke er grund til at tro, at FISA 702 mv. vil blive anvendt i praksis, kan overførslen fortsætte.
Dertil kan ressource-og sandsynlighedsbetragtninger understøtte vurderingen.
Ifølge det amerikanske efterretningstilsyns (ODNI) årlige statistiske rapport for anvendelsen af FISA 702 anvendes lovgivningen på omkring 200.000 ikke-amerikanske mål om året. Hvert enkelt mål kræver en individuel rimelighedsvurdering, og dokumentation herfor skal godkendes i flere lag.
De enorme mængder af mulige mål for FISA 702, f.eks. alle IP-adresser i Googles varetægt, sammenholdt med den ressourcetunge proces det kræver at få adgang til oplysningerne, kan inddrages, når det vurderes om der er grund til at tro, at den problematiske amerikanske lovgivning vil blive anvendt i praksis på almindelige oplysninger af kommerciel karakter.
Vurderer man derimod, at oplysningerne kan have interesse for amerikanske efterretningstjenester, og man derfor ikke kan dokumentere ”no reason to believe” kræver dataoverførslen, at virksomheden implementerer tilstrækkelige supplerende sikkerhedsforanstaltninger.
Der er tilsyneladende hverken i den østrigske eller franske afgørelse foretaget en ”no reason to believe”-vurdering.
Er du kunde hos ComplyCloud, har du i GDPR-løsningen mulighed for at udarbejde Transfer Impact Assessments ved dataoverførsler til en lang række tredjelande herunder USA, og spørgerammen understøtter ”no reason to believe”-vurderingen. Læs mere om ComplyClouds TIA-løsning her.
IP-anonymisering
Med Google Analytics, som værktøjet er indrettet i dag, indsamles brugerens IP-adresse. Med et IP-anonymiseringsværktøj tillader hjemmesideindehaveren at anonymisere IP-adresser, så de ikke længere kan identificere specifikke brugere. Der vil derefter ikke længere være tale om en personoplysning.
For at amerikanske efterretningstjenester lovligt kan indsamle personoplysninger om ikke-amerikanske statsborgere, skal oplysningen være behæftet med en ”selector”. En selector er som regel en e-mailadresse eller et telefonnummer og benyttes til at identificere den bruger, som efterretningstjenesten ønsker at indhente oplysninger om.
Når en IP-adresse anonymiseres i Googles IP-anonymiseringsfunktion, ændres de sidste tre cifre i IP-adressen til nul. For eksempel vil IP-adressen 69.89.39.226 ved anonymisering ændres til 69.89.39.0. Når IP-adressen således er ændret, kan den ikke længere bruges som en ”selector”, og amerikanske efterretningstjenester kan derfor ikke indsamle oplysningerne med henvisning til FISA 702.
Ved brug af anonymiseringsværktøjet finder anonymisering sted, øjeblikkeligt efter at oplysningerne rammer Google Analytics netværk i USA, før de gemmes på et drev til videre behandling.
Funktionen er designet til at understøtte webstedsejere i overholdelse af egne privatlivspolitikker, anbefalinger fra nationale databeskyttelsesmyndigheder og juridiske regelsæt som GDPR.
Denne løsning kræver dog stadig, at der udarbejdes en Transfer Impact Assessment, da der stadig teknisk set sker overførsel til USA.
Sammenfatning
To europæiske datatilsyn har truffet afgørelse i sager vedrørende Google Analytics. Begge datatilsyn fandt på grund af dataoverførsler til USA, at brugen af Google Analytics var i strid med GDPR.
Det danske datatilsyn har endnu undgået at tage stilling til spørgsmålet. Hvis Datatilsynet erklærer sig enig med kollegerne i Østrig og Frankrig, kan det få store konsekvenser for danske virksomheder, og generelt brugen af tjenester, der er baseret i USA.
I kølvandet på afgørelserne har Google relanceret Google Analytics 4. Ifølge Google selv er Google Analytics 4 indrettet med databeskyttelse for øje. Det er endnu uvist om Google Analytics 4 ændrer EU’s datatilsynsmyndigheders vurdering af Google Analytics.
Indtil Datatilsynet udkommer med en vejledning, kan virksomheder finde løsninger som at udfærdige Transfer Impact Assessments understøttet af en sandsynlighedsbetragtning, foretage IP-anonymisering eller benytte EU-baserede leverandører som alternativ til Google Analytics.
Nikoline Haas
Advokatfuldmægtig hos ComplyCloud
