Ny afgørelse fra Datatilsynet i Østrig sår tvivl om adgangen til at bruge Google Analytics og lignende værktøjer
Skrevet af
Datatilsynet i Østrig har i en ny sag truffet afgørelse om, at en virksomheds brug af Google Analytics var i strid med GDPR. Brugen af Google Analytics indebar, at personoplysninger blev overført til USA, og overførslen skete på grundlag af EU-Kommissionens Standard Contractual Clauses, der skal sikre et tilstrækkeligt beskyttelsesniveau ved overførsler til tredjelande.
Datatilsynet konkluderede imidlertid, at de supplerende foranstaltninger, der var implementeret i tillæg til de indgåede Standard Contractual Clauses, ikke var effektive, da amerikanske retshåndhævende myndigheder ikke var forhindret i at foretage overvågning og få adgang til oplysningerne fra Google Analytics.
Afgørelsen kommer i kølvandet på EU-Domstolens Schrems II-sag, som blandt andet erklærede den hidtil gældende Privacy Shield-ordning for overførsler til USA ugyldig. Domstolen fastslog endvidere, at enhver overførsel af data til USA indebærer, at amerikanske efterretningstjenester potentielt kan få adgang til de overførte data, og der kan derfor være behov for at fastsætte supplerende kontrolforanstaltninger til Kommissionens Standard Contractual Clauses, når der overføres data til USA.
Med afgørelsen fra det østrigske datatilsyn er der sået tvivl hos både myndigheder og virksomheder i de øvrige europæiske lande om, hvorvidt brugen af Google Analytics og lignende værktøjer kan ske inden for rammerne af GDPR.
For nu er det behæftet med en vis usikkerhed, hvad konsekvensen af den østrigske dom bliver. Det må dog forventes, at der kommer yderligere afklaring på området inden for den nærmere fremtid, da der i øjeblikket er en lang række lignende klagesager under behandling hos de øvrige europæiske lande. Senest har Datatilsynet i Norge annonceret, at de tilslutter sig det østrigske datatilsyns afgørelse, og de to verserende sager i Norge kan således meget vel falde ud på samme vis.
Datatilsynet i Danmark har indtil videre udtalt, at Datatilsynet vil nærlæse den østrigske afgørelse og følge de kommende afgørelser for de øvrige europæiske lande. På den baggrund vil Datatilsynet udforme nye vejledende tekster om brugen af værktøjer såsom Google Analytics.
Brugen af Google Analytics og lignende værktøjer er ganske udbredt hos virksomheder, og det er ikke vores anbefaling, at virksomheder stopper brugen som følge af den østrigske afgørelse. Vi anbefaler dog, at sagen følges tæt, og at Datatilsynets kommende vejledning på området tages til efterretning, således at virksomheder kan fortsætte med brugen af Google Analytics inden for rammerne af GDPR.
Indtil der kommer nærmere vejledning fra Datatilsynet er det vores anbefaling, at virksomheder, der gør brug af Google Analytics, sikrer, at der er indgået en databehandleraftale med Google, og at der er vedtaget en Standard Contractual Clause. Derudover er det vigtigt, at virksomheden – udover en cookiepolitik – har en privatlivspolitik, hvor der bl.a. er oplyst tydeligt om overførsler til tredjelande.
Hvis du har spørgsmål til din virksomheds brug af Google Analytics eller lignende værktøjer, eller hvis du i øvrigt har spørgsmål til GDPR-forhold, er du velkommen til at kontakte en af vores GDPR-eksperter.
