Østrigsk datatilsyn: Google Analytics er ulovligt i EU
Det østrigske datatilsyn har dømt brugen af Google Analytics ulovlig, da det ifølge tilsynets afgørelse bryder med GDPR-reglerne. Det fortæller den østrigske privacy-organisation ‘None of Your Business’ (noyb), som står bag klagen, der startede sagen.
I afgørelsen skriver datatilsynet, at tjenesten er underlagt overvågning fra amerikanske myndigheder på grund af lovgivningen kaldet FISA 702. Det er med til at gøre USA til et såkaldt usikkert tredjeland, der ikke tilbyder den samme grad af beskyttelse, som EU.
Den problematiske lovgivning resulterede forrige sommer i Schrems II-afgørelsen, der ugyldiggjorde overførselsgrundlaget 'Privacy Shield.' Det betyder, at europæiske dataansvarlige nu må bruge et andet overførselsgrundlag til at sende data til USA - eksempelvis EU's standardkontrakter - men de kan ikke stå alene. Man skal bruge supplerende foranstaltninger for at sikre beskyttelsen af data i USA.
Tilsynsmyndigheden uddyber, at de supplerende foranstaltninger, Google har sat i værk for at beskytte oplysningerne i USA ikke er tilstrækkelige:
»I forhold til de kontraktuelle og organisatoriske foranstaltninger, der er fremsat, er det ikke klart, hvordan [foranstaltningerne] er effektive,« skriver det østrigske datatilsyn i afgørelsen og uddyber:
»I forhold til de tekniske foranstaltninger er det heller ikke klart (...) hvordan [foranstaltningerne] faktisk kan forebygge eller begrænse adgang fra amerikanske efterforskningstjenester, hvis man tager amerikansk lov i betragtning.«
Det østrigske datatilsyn skriver også, at der ikke findes værktøjer, som kan sikre data i dette tilfælde:
»I denne sag er der ingen andre værktøjer i henhold til kapitel fem i GDPR, som kan bruges på dataoverførslen.«
Selvom det er Googles foranstaltninger, der ikke er gode nok, så der det europæiske dataansvarlige, som har ansvaret for, at oplysningerne er tilstrækkeligt beskyttet, før man sender dem til USA.
