Google revser den østrigske Analytics-afgørelse

I kølvandet på en afgørelse fra det østrigske datatilsyn, der i sidste uge dømte brugen af Google Analytics ulovlig i EU, er tech-giganten nu ude og kritisere tilsynsmyndighedens dom over værktøjet, som bruges overalt i EU.

Dommen fra det østrigske datatilsyn kommer, efter man har undersøgt de supplerende foranstaltninger, Google har iværksat i et forsøg på at imødekomme EU-Domstolens krav til borgeres databeskyttelse. I konklusionen skriver tilsynsmyndigheden:

»Det er datatilsynets vurdering, at Google Analytics-værktøjet (i hvert fald versionen fra den 14. august 2020) ikke kan bruges i overensstemmelse med kapitel V i GDPR.«

Men den afgørelse er Kent Walker, direktør for Global Affairs og chief legal officer hos Google og Alphabet, uenig i:

»Google har tilbudt Analytics-relateret tjenester til globale virksomheder i mere end 15 år, og i al den tid har man aldrig modtaget den type krav fra et datatilsyn. Og vi forventer ikke at modtage det, for sådan et krav ville sandsynligvis ikke være inden for den relevante lovs snævre anvendelsesområde,« skriver han i et blogindlæg fra Google og fortsætter:

»EU-Domstolens dom fra juli 2020 pålagde ikke en ufleksibel standard, hvor bare det, at der er mulighed for, at et andet lands regering kan se data, ikke kræver, at den globale bevægelse af data skal ophøre. Vi er overbeviste om, at de omfattende supplerende foranstaltninger, vi tilbyder vores kunder, sikrer en praktisk og effektiv beskyttelse af data til enhver rimelig standard.«

Men den opgave har man udliciteret til Google, som har sørget for de supplerende foranstaltninger på dataoverførsler til USA i forbindelse med brugen af Google Analytics. Og den sikkerhed er mange europæiske Analytics-brugere afhængige af.

Men i afgørelsen skriver den østrigske tilsynsmyndighed blandt andet om foranstaltningerne:

»I forhold til de tekniske foranstaltninger, er det heller ikke klart – og var ikke forklaret tydeligt af respondenterne (Google og forlaget, red.) – hvordan beskyttelsen af kommunikationen mellem Googles tjenester, beskyttelsen af data i transit mellem datacentrene, beskyttelsen af kommunikationen mellem brugere og hjemmesider eller ‘on-site sikkerhed’ rent faktisk forebygger eller begrænser de amerikanske efterretningstjenesters mulighed for adgang på baggrund af amerikansk lovgivning.»

Vil have erstatning for Privacy Shield

Blogindlægget er dog ikke kun en kritik af den østrigske afgørelse. Kent Walker kommer også med et løsningsforslag om, at politikerne i EU og USA snart skal få en ny aftale om transatlantiske dataoverførsler på plads, som kan erstatte den tidligere aftale ‘Privacy Shield’.

»Virksomheder både i Europa og USA kigger mod EU-Kommissionen og det amerikanske handelsministerium for hurtigt at afslutte en efterfølger-aftale til Privacy Shield, som kan løse problemerne,« skriver han i blogindlægget.

Før Schrems II-afgørelsen fra sommeren 2020, som Kent Walker tidligere i blogindlægget henviser til, kunne dataansvarlige i EU bruge Privacy Shield som overførselsgrundlag til lovligt at sende data til USA.

Men med dommen ugyldiggjorde EU-Domstolen aftalen på grund af den invasive overvågningslovgivning FISA 702, som USA holder fast i. Det har gjort landet til et usikkert tredjeland, og nu må dataansvarlige i stedet bruge standardkontrakter med supplerende foranstaltninger til at sende data lovligt over Atlanten.

Men det er noget mere kompliceret, og ifølge det østrigske datatilsyn har heller ikke Google haft held med at finde en lovlig løsning til sine kunder. Men Google står fast på, at man leverer den ypperste beskyttelse af EU-borgeres personoplysninger:

»Imens myndighederne færdiggør en aftale, er vi fortsat engageret i at opretholde den højeste standard for databeskyttelse i alle vores produkter og er fokuseret på at imødekomme kundernes behov, mens vi venter på en revideret aftale,« understreger Kent Walker i blogindlægget.