De juridische problemen voor Google Analytics blijven maar komen. De rechtbank in Keulen sprak zich op 10 mei uit tegen het gebruik van Google Analytics. Twee dagen later kwam de Oostenrijkse federale administratieve rechtbank tot dezelfde conclusie en bevestigde een beslissing tegen een beslissing tegen Google Analytics van de Oostenrijkse gegevensbeschermingsautoriteit.
- De Duitse beslissing
- De Oostenrijkse beslissing
- De afhaalmaaltijden
- De belangrijkste juridische kwesties
- Aanvullende waarborgen: een algemeen probleem
- Wat nu?
- Conclusies
Laten we erin duiken!
De Duitse beslissing
De zaak was aangespannen door het consumentencentrum van Nordrhein-Westfalen tegen Deutsche Telekom, de grootste telecomprovider op de Duitse markt.
De website van Deutsche Telekom maakte gebruik van Google Analytics en stuurde persoonlijke informatie voor verwerking door naar de servers van Google in de VS. Het consumentencentrum pleitte hier voor het voor de hand liggende: in het licht van het Schrems II-arrest was deze gegevensoverdracht niet in overeenstemming met de GDPR.
Het zal geen verbazing wekken dat het Hof het hiermee eens was en Deutsche Telekom veroordeelde om te stoppen met het doorsturen van persoonlijke gegevens naar de VS voor marketing- en webanalysedoeleinden. In de praktijk komt dit neer op een verbod op het gebruik van Google Analytics.
De rechtszaak had ook betrekking op andere privacykwesties, waaronder het verwarrende ontwerp van de cookiebanner op de website en de overdracht van persoonlijke gegevens aan kredietbureaus. Alleen de vorderingen met betrekking tot Google Analytics werden toegewezen.
Gezien de middelen van Deutsche Telkom en de hoeveelheid persoonlijke gegevens waar het om gaat, verwachten we dat het bedrijf in beroep zal gaan tegen de beslissing.
De Oostenrijkse beslissing
De Oostenrijkse beslissing komt voort uit een van de 101 klachten van NGO noyb die we al uitgebreid hebben besproken. Het is een beroep tegen een eerdere beslissing van de Oostenrijkse privacy-autoriteit (DSB) - in feite de allereerste beslissing van een Europese privacy-autoriteit tegen de gegevensoverdracht van Google Analytics.
Wat de feiten betreft, klaagde een persoon vertegenwoordigd door noyb dat een niet nader genoemde website de GDPR-regels inzake gegevensoverdracht overtrad door zonder voldoende waarborgen zijn persoonsgegevens via Google Analytics door te geven aan de VS. De klacht werd gegrond verklaard door de Oostenrijkse gegevensbeschermingsautoriteit en de eigenaar van de website ging vervolgens in beroep tegen de beslissing.
De Oostenrijkse Federale Administratieve Rechtbank bevestigde de beslissing van de DSB en verwierp de verdediging van de eigenaar van de website, waaronder de controversiële** risicogebaseerde benadering** van gegevensoverdrachten.
Volgens gdprhub is de eigenaar van de website van plan om het besluit opnieuw aan te vechten bij de Oostenrijkse hoogste administratieve rechtbank.
De afhaalmaaltijden
De twee beslissingen voegen juridisch niets nieuws toe, maar ze laten wel zien dat de handhaving van Schrems II niet beperkt blijft tot privacyautoriteiten: ook rechtbanken springen bij.
Iets soortgelijks gebeurde een tijdje geleden al toen een Duitse administratieve rechtbank zich uitsprak tegen het gebruik van Google Analytics. Maar de beslissing was slordig gemotiveerd en werd in hoger beroep teruggedraaid.
Deze twee uitspraken zijn anders. Ze zijn duidelijk en goed gemotiveerd en maken volgens ons een goede kans om bevestigd te worden als ze aangevochten worden.
En natuurlijk suggereert de Oostenrijkse beslissing, die een beroep was, dat het DSB de kwestie van gegevensoverdracht goed benadert. Dit was echter al duidelijk. De Italiaanse, Franse, Finse en Noorse autoriteiten namen vrijwel identieke beslissingen en de Ierse autoriteit en de European Protection Board gebruikten exact dezelfde criteria bij de beoordeling van de gegevensoverdrachten van Meta.
De belangrijkste juridische kwesties
De beslissingen zijn op geen enkele manier nieuw en passen alleen de criteria toe die al zijn vastgelegd in het beruchte Schrems II-arrest van het Europese Hof van Justitie. De doorgifte van gegevens is een lang verhaal dat we al in detail hebben behandeld, dus we zullen het hier kort houden.
De GDPR vereist dat gegevensoverdrachten naar landen buiten de EU veilig zijn. Europese gegevens (en alle buitenlandse gegevens) die worden doorgegeven aan de VS zijn echter onderhevig aan uitgebreid overheidstoezicht, zoals blijkt uit de vertrouwelijke bestanden die zijn gelekt door Edward Snowden. Dit bewakingssysteem maakt het moeilijk voor Europese organisaties om gegevens op een wettige en veilige manier over te dragen aan de VS.
In beide gevallen vond de gegevensoverdracht plaats tussen Google Ierland en het Amerikaanse moederbedrijf Google LLC. Om deze gegevensoverdracht veilig en wettig te maken, gebruikte Google een specifieke beveiliging genaamd standaard contractuele clausules (SCC's).
SCC's zijn een mechanisme voor gegevensoverdracht dat is ingesteld door de GDPR. In een notendop zijn het clausules die bedrijven vertellen wat ze wel en niet mogen doen met de persoonlijke gegevens die ze ontvangen. SCC's worden opgenomen in een contract en zijn bindend voor het bedrijf dat de gegevens ontvangt. Door hun bindende karakter kunnen SCC's het gebrek aan privacywetgeving voor de particuliere sector compenseren.
Maar het Schrems II-arrest heeft een belangrijk probleem met SCC's aan het licht gebracht: ze zijn niet bindend voor de VS of een andere buitenlandse staat. Op zichzelf kunnen SCC's persoonsgegevens niet beschermen tegen overheidstoezicht.
Daarom eist Schrems II dat organisaties aanvullende maatregelen nemen als ze gegevens overdragen aan de VS en andere landen met uitgebreid elektronisch toezicht. Maar dit is moeilijk voor veel diensten en helemaal onmogelijk voor Google Analytics, omdat Google LLC in het geheim toegang moet hebben tot gegevens en deze moet analyseren om de dienst te kunnen leveren.
Dit gebrek aan aanvullende maatregelen is de kern van elke beslissing tegen de gegevensoverdracht van Google Analytics. Telkens wanneer de kwestie van gegevensoverdracht ter sprake komt, houden privacyautoriteiten zich aan de Schrems II-regels en kijken ze naar aanvullende maatregelen. En ze vonden altijd dat die ontbraken, omdat er simpelweg geen maatregelen zijn die gegevensoverdrachten voor Google Analytics vertrouwelijk kunnen houden.
Aanvullende waarborgen: een algemeen probleem
Gegevensoverdracht en aanvullende maatregelen zijn brede problemen. Het implementeren van goede beveiligingen is voor sommige diensten lastig en voor andere helemaal onmogelijk.
Dit is ook het geval voor Google Analytics. Onder Amerikaanse wetgeving kunnen toezichthoudende instanties van Amerikaanse communicatieproviders (waaronder Google) eisen dat ze alle buitenlandse gegevens verstrekken die ze controleren.
Encryptie kan helpen, maar niet voor Google Analytics. Om de dienst te laten werken, heeft Google toegang nodig tot de gegevens in alle openheid om ze te kunnen analyseren. En onder Amerikaanse wetgeving kan Google ook verplicht worden om een encryptiesleutel aan de overheid te verstrekken. Dus alle gegevens waar Google ongecodeerd toegang toe heeft, heeft de overheid ook ongecodeerd nodig.
Er zijn nog andere aanvullende maatregelen dan encryptie, maar als het op Google aankomt, past geen enkele daarvan echt - zoals we hier hebben uitgelegd.
In een notendop, geen enkele oplossing werkt voor Google Analytics. We hebben dit keer op keer gezien met de uitspraken tegen Google Analytics. De uitspraken van de Oostenrijkse, Franse, Italiaanse, Noorse en Finse gegevensbeschermingsautoriteiten zeggen allemaal hetzelfde: Google Analytics kan niet veilig gegevens overdragen.
Bovendien zijn al deze beslissingen het resultaat van een gecoördineerde aanpak van het probleem op Europees niveau. En diezelfde aanpak leidde onlangs tot een baanbrekende beslissing en een recordboete tegen Meta, voor precies dezelfde juridische problemen die Google Analytics plagen.
De uitspraak tegen Meta bewijst dat er voor sommige diensten simpelweg geen oplossing is om gegevensoverdracht veilig te maken totdat de juridische situatie verandert. Meta is een van de grootste en rijkste multinationals ter wereld, met toegang tot alle juridische en technische expertise die het maar kan wensen. Het bedrijf had 1,2 miljard goede redenen om zijn gegevensoverdrachten te beveiligen, maar heeft dit niet gedaan en loopt nu het risico van een EU-brede Facebook black-out als gevolg hiervan.
Natuurlijk staat het je vrij om te proberen het beter te doen dan Meta. Maar hoeveel miljoenen is uw compliance budget?
Wat nu?
Ongeacht de uitkomst van de zaak, beginnen rechtbanken de harde houding ten opzichte van gegevensoverdrachten op te pakken die al wordt omarmd door gegevensbeschermingsautoriteiten. Als de trend doorzet, zal Google Analytics een steeds groter compliance-risico worden voor bedrijven.
De boodschap is duidelijk: de speeltijd is voorbij. Vanaf nu wordt de handhaving serieus.
De EU probeert het probleem van gegevensoverdracht op te lossen door een nieuw kader voor gegevensoverdracht tussen de EU en de VS vast te stellen (het Trans-Atlantic Data Privacy Framework). Maar het kader is nog niet van kracht en zal zeker worden aangevochten bij het Hof van Justitie. Het is moeilijk te zeggen hoe het zal aflopen, maar er is een zeer reële kans dat het Hof het nieuwe kader zal afwijzen, net zoals het deed met de kaders Safe Harbor en Privacy Shield in de Schrems I en II arresten.
Kortom: de toekomst van gegevensoverdracht blijft onzeker.
Conclusies
Tussen de nooit aflatende juridische problemen van Google Analytics met gegevensoverdrachten en de aanstaande beëindiging van Universal Analytics, is dit een goed moment om Google Analytics te dumpen ten gunste van een andere provider. En wij hebben de juiste voor je!
Wij van Simple Analytics geloven dat web analytics zowel privacy-vriendelijk als ethisch kan zijn. Daarom bouwen we onze dienst zo dat we onze klanten geweldige inzichten kunnen bieden zonder ook maar een beetje persoonlijke gegevens van hun bezoekers te verzamelen! Als dit u aanspreekt, probeer ons dan gerust uit.