Østrigsk datatilsyn: Google Analytics er ulovligt i EU

13. januar kl. 11:543
Østrigsk datatilsyn: Google Analytics er ulovligt i EU
Illustration: Google Analytics.
Googles supplerende foranstaltninger er ikke gode nok til at sikre dataoverførsler til USA, mener det østrigske datatilsyn, som i en ny afgørelse dumper brugen af Google Analytics i EU.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det østrigske datatilsyn har dømt brugen af Google Analytics ulovlig, da det ifølge tilsynets afgørelse bryder med GDPR-reglerne. Det fortæller den østrigske privacy-organisation ‘None of Your Business’ (noyb), som står bag klagen, der startede sagen.

I afgørelsen skriver datatilsynet, at tjenesten er underlagt overvågning fra amerikanske myndigheder på grund af lovgivningen kaldet FISA 702. Det er med til at gøre USA til et såkaldt usikkert tredjeland, der ikke tilbyder den samme grad af beskyttelse, som EU.

Den problematiske lovgivning resulterede forrige sommer i Schrems II-afgørelsen, der ugyldiggjorde overførselsgrundlaget 'Privacy Shield.' Det betyder, at europæiske dataansvarlige nu må bruge et andet overførselsgrundlag til at sende data til USA - eksempelvis EU's standardkontrakter - men de kan ikke stå alene. Man skal bruge supplerende foranstaltninger for at sikre beskyttelsen af data i USA.

Tilsynsmyndigheden uddyber, at de supplerende foranstaltninger, Google har sat i værk for at beskytte oplysningerne i USA ikke er tilstrækkelige:

Artiklen fortsætter efter annoncen

»I forhold til de kontraktuelle og organisatoriske foranstaltninger, der er fremsat, er det ikke klart, hvordan [foranstaltningerne] er effektive,« skriver det østrigske datatilsyn i afgørelsen og uddyber:

»I forhold til de tekniske foranstaltninger er det heller ikke klart (...) hvordan [foranstaltningerne] faktisk kan forebygge eller begrænse adgang fra amerikanske efterforskningstjenester, hvis man tager amerikansk lov i betragtning.«

Det østrigske datatilsyn skriver også, at der ikke findes værktøjer, som kan sikre data i dette tilfælde:

»I denne sag er der ingen andre værktøjer i henhold til kapitel fem i GDPR, som kan bruges på dataoverførslen.«

Selvom det er Googles foranstaltninger, der ikke er gode nok, så der det europæiske dataansvarlige, som har ansvaret for, at oplysningerne er tilstrækkeligt beskyttet, før man sender dem til USA.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
13. januar kl. 16:27

De forsvarer sig med at de har lavet en særlig aftale med Google som ikke vil/må følge mindreårige. Men de registreres stadig i såkaldt "anonymiseret form". Dvs med googles sagnomspundne "K-anonymisering", som er særlig ved at kunne rulles tilbage - retfærdigvis af hensyns til efterforskning. Men det betyder også at de på barnets 18års fødselsdag ...

Det lyder grimt - og hvis jeg forstår det ret, at beskyttelsen bortfalder på barnets 18-års fødselsdag, så lyder det i mine ører heller ikke lovligt. Det burde det i hvert fald ikke være.

Hvorfor registreres de overhovedet? Hvad bruges det til, når børnene er under 18? Er det i virkeligheden danske forskere, der har snøren ude der? Som sædvanligt?

Og har Datatilsynet vurderet den "anonymisering" (er det i virkeligheden bare pseudonymiseret?)

Må jeg spørge, hvilken kommune der er tale om?

2
13. januar kl. 15:20

Google analytics er nu et statistikværktøj som implementeres på websites med Google APIs; Et smart værktøj som gør det nemt for webudviklere at bruge Googles værktøjer. Men med den sideeffekt at man åbner for hele googlepakken på websiden!

Men ja: Google er en del af mange folkeskolers værktøjer. Jeg har spurgt vores hjemkommune om deres brug af chromebrowser og google konti. De forsvarer sig med at de har lavet en særlig aftale med Google som ikke vil/må følge mindreårige. Men de registreres stadig i såkaldt "anonymiseret form". Dvs med googles sagnomspundne "K-anonymisering", som er særlig ved at kunne rulles tilbage - retfærdigvis af hensyns til efterforskning. Men det betyder også at de på barnets 18års fødselsdag ...

1
13. januar kl. 14:31

... håb i horisonten?

Mon dansk datatilsyn også snart ser skriften på væggen, og forbyder Google Analytics? Og da især på offentlige hjemmesider.

Og er Google Analytics del af de Google-produkter, som anvendes i den danske folkeskole?