Is Google Analytics illegaal in Oostenrijk?

Image of Iron Brands

Gepubliceerd op 13 jan 2023 en bijgewerkt op 3 jan 2024 door Iron Brands

Dit artikel is automatisch vertaald. Ga naar de Engelse versie voor het origineel.

Ja, Google Analytics is praktisch illegaal in Oostenrijk. Dit is waarom.

In 2018 diende privacy-ngo noyb klachten in tegen drie Oostenrijkse websites, met de klacht dat het gebruik van Google Analytics niet in overeenstemming is met de GDPR. De eerste beslissing van de DSB (de Oostenrijkse gegevensbeschermingsautoriteit) kwam in december 2021. De autoriteit gaf de NGO gelijk en verbood Google Analytics praktisch in Oostenrijk.

Hier is waar de uitspraak over gaat, in een notendop. Het gebruik van Google Analytics vereist dat de gegevens worden overgebracht naar de VS voor moederbedrijf Google om gegevens te verwerken. De Schrems II-beschikking maakte gegevensoverdrachten naar de VS lastiger door een kader voor gegevensoverdracht tussen de EU en de VS (het Privacy Shield) ongeldig te maken en door effectieve waarborgen te eisen voor gegevensoverdrachten. In de praktijk kunnen dergelijke waarborgen niet worden toegepast voor Google Analytics.

Voor alle duidelijkheid: de DSB heeft Google Analytics op zichzelf niet onrechtmatig verklaard. De Autoriteit heeft gewoon de regels van de GDPR en het Schrems II-arrest toegepast en vastgesteld dat een website geen doeltreffende waarborgen toepaste om de persoonsgegevens van zijn bezoekers te beschermen. Technisch gezien is de uitspraak een individuele beslissing, en werd het gebruik van Google Analytics slechts voor één specifieke website illegaal verklaard. Maar in de praktijk kan geen enkele website effectieve beveiligingen voor Google Analytics implementeren, dus de uitspraak schept een precedent dat neerkomt op een statelijk verbod. Privacyprofessionals zijn zich hier terdege van bewust, en daarom trok de uitspraak veel media-aandacht.

Oostenrijk was nog maar het begin. Na de DSB hebben nog drie autoriteiten (de Franse CNIL, de Italiaanse GPDP en de Hongaarse NAIH) zich ook uitgesproken tegen Google Analytics, en de Deense autoriteit (Datatilsynet) heeft in een persbericht hetzelfde standpunt ingenomen. De autoriteiten coördineren hun aanpak op Europees niveau, dus andere landen zullen waarschijnlijk volgen.

  1. Moet ik me zorgen maken over de GDPR in Oostenrijk? Oostenrijk is een lidstaat van de Europese Unie, dus de GDPR is van toepassing op alle gegevensverwerkingsactiviteiten van Oostenrijkse bedrijven.
  2. Wat is de Oostenrijkse privacywetgeving?
  3. Waar gaat al die GDPR ophef over?
  4. Eindgedachten
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Laten we erin duiken!

Moet ik me zorgen maken over de GDPR in Oostenrijk? Oostenrijk is een lidstaat van de Europese Unie, dus de GDPR is van toepassing op alle gegevensverwerkingsactiviteiten van Oostenrijkse bedrijven.

De GDPR geldt ook voor elke dienst die gericht is op de Oostenrijkse markt. Bovendien, als de doelgroep van uw website Oostenrijk omvat en u Google Analytics gebruikt, is ze ook op u van toepassing.

Maar er is een addertje onder het gras: het geldt alleen als u persoonsgegevens verwerkt. Met privacyvriendelijke analysetools zoals Simple Analytics kunt u waardevolle inzichten krijgen zonder persoonsgegevens te verwerken. Op deze manier hoeft u niet te voldoen aan de GDPR omdat deze niet van toepassing is op de gegevens die u in eerste instantie verwerkt.

Wat is de Oostenrijkse privacywetgeving?

Het belangrijkste kader voor gegevensbescherming is de GDPR van de Europese Unie. Oostenrijk heeft ook zijn eigen privacywetgeving, waaronder de Datenschutzgsetz uit 2000. Deze wetgeving wordt gehandhaafd door Oostenrijkse rechtbanken en door de Oostenrijkse gegevensbeschermingsautoriteit (de DSB).

Oostenrijk valt ook onder de artikelen 7 en 8 van het EU-Handvest van de grondrechten, die de persoonlijke levenssfeer en de gegevensbescherming beschermen.

Overigens is Oostenrijk een lidstaat van de Raad van Europa. Als zodanig heeft Oostenrijk het Europees Verdrag tot bescherming van de rechten van de mens geratificeerd, dat het privéleven en de correspondentie beschermt. Oostenrijk heeft ook Verdrag 108 van de Raad van Europa geratificeerd, het enige bindende internationale verdrag inzake gegevensbescherming tot op heden.

Waar gaat al die GDPR ophef over?

De recente trend van beslissingen tegen Google Analytics maakt deel uit van een grotere juridische puzzel over gegevensoverdracht tussen de EER en de VS. Dit is dus veel groter dan individuele landen zoals Oostenrijk, en het is ook groter dan Google Analytics. We hebben er al uitgebreid over geschreven op onze blog, dus hier is een korte versie.

De kern van de zaak is staatstoezicht. Onder de GDPR kunnen Europese persoonsgegevens alleen veilig buiten de EER worden doorgegeven. Dit is moeilijk voor Amerikaanse gegevensoverdrachten omdat het Amerikaanse rechtskader uitgebreide en invasieve surveillance van de gegevens van buitenlandse burgers, waaronder Oostenrijkse burgers, toestaat.

Twee kaders voor gegevensoverdracht (Safe Harbor en Privacy Shield) tussen de EU en de VS maakten in het verleden GDPR-conforme gegevensoverdrachten mogelijk, maar beide kaders werden ongeldig verklaard door het Hof van Justitie van de EU in de zaken Schrems I en II. Een derde kader is in de maak, maar zal zeker juridisch worden aangevochten. Met een Schrems III-arrest in het verschiet blijft de toekomst van de gegevensstromen tussen de EU en de VS onzeker.

In de tussentijd moeten Oostenrijkse bedrijven en Europese bedrijven, in het algemeen, hun toevlucht nemen tot verschillende juridische instrumenten (meestal standaard contractuele clausules) om rechtmatig gegevens naar de VS door te geven onder de GDPR. Het probleem met deze instrumenten is echter dat ze geen bescherming bieden tegen overheidstoezicht. Daarom heeft het Hof van Justitie in de zaak Schrems II verduidelijkt dat zij moeten worden aangevuld met extra privacybeschermende maatregelen wanneer gegevens naar "onveilige" landen worden verzonden. Dit is moeilijk en volstrekt onmogelijk voor de overdrachten die nodig zijn voor bepaalde clouddiensten zoals Google Analytics (we schreven hierover hier).

Na het Schrems II-arrest in 2020 bleven de meeste bedrijven gewoon zaken doen met in de VS gevestigde dienstverleners. In de tussentijd diende NGO noyb 101 klachten in over gegevensoverdrachten tegen Europese websites die Google Analytics en Facebook Connect gebruiken om de autoriteiten aan te zetten tot een striktere handhaving van het Schrems II-arrest.

Zoals gezegd hebben de gegevensbeschermingsautoriteiten hun aanpak op Europees niveau gecoördineerd om de klachten coherent te behandelen. Bijgevolg hebben de Oostenrijk, Frans, Italiaans, Hongaars en Deens gegevensbeschermingsautoriteiten namen een standpunt in tegen de doorgifte van gegevens. Met de coördinatie op Europees niveau en de invloedrijke Franse en Italiaanse autoriteiten die het voortouw nemen, zullen andere gegevensbeschermingsautoriteiten waarschijnlijk het voorbeeld volgen en een harder standpunt innemen ten aanzien van Google Analytics.

Eindgedachten

Gelukkig zijn er alternatieven voor Google Analytics die geen persoonsgegevens verzamelen en 100% GDPR-compliant zijn. Simple Analytics is daar één van. Wij vinden dat je geen cookies hoeft te gebruiken of persoonlijke gegevens hoeft te verzamelen om inzicht te krijgen in de prestaties van je website.

Het verzamelen van bruikbare inzichten en het identificeren van kansen uit website analytics is mogelijk zonder het volgen van individuele websitebezoekers. Wilt u zien hoe dat eruit ziet? Bekijk ons live dashboard hier.

Wij geloven erin om het internet een veiligere plaats te maken die vriendelijk is voor websitebezoekers. Als dit u aanspreekt, voel u dan vrij om geef ons een kans.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode