Datatilsyn: Hjemmesider der bruger Google Analytics, overtræder GDPR
Den østrigske databeskyttelsesmyndighed har slået fast, at østrigske hjemmesider, der benytter Google Analytics, overtræder GDPR. Det er nu gået ud over en mindre Østrigsk hjemmeside, der er blevet centrum i en kamp mellem amerikanske love og Europas regler om privatliv. Flere af denne type afgørelser forventes at falde i flere EU-lande.
Google Analytics er et populært værktøj, der bruges af langt de fleste hjemmesider. Værktøjet bruges til at analysere besøgende på hjemmesider samt hvor mange besøgende siderne har. Men i EU-medlemsstaten Østrig er Google analyseværktøj nu gjort ulovligt.
Denne beslutning er afgjort af DPA, der er Østrigs datatilsyn, på grundlag af en afgørelse truffet i 2020 af Den Europæiske Unions Domstol (CJEU), kendt som “Schrems II”, der fastslog, at cloud-tjenester hostet fra servere i USA ikke kan overholde GDPR og EUs privatlivslovgivning. DPA oplyser, at data, der bliver sendt til USA, ikke bliver ordentligt beskyttet mod potentiel adgang fra amerikanske efterretningstjenester.
Denne sag er ikke den eneste af sin slags – mange flere er allerede indgivet:
“Vi forventer, at lignende afgørelser nu gradvist vil falde i de fleste EU-medlemsstater. Vi har indgivet 101 klager i næsten alle medlemsstater, og myndighederne har koordineret reaktionen. En lignende afgørelse blev også truffet af den europæiske tilsynsførende for databeskyttelse i sidste uge,” siger Max Schrems fra forbrugerorganisationen None of Your Business.
Er man en Østrigsk hjemmeside, anbefales det derfor nu, at man omgående stopper brugen af Google Analytics.
Se også: Datatilsynet: Cookie-reglerne bliver ikke lempet
Danmark følger afgørelsen på sidelinjen
I Danmark er Datatilsynet opmærksom på afgørelsen om brug af Google Analytics fra det østrigske datatilsyn. Ordene fra Datatilsynet er, at de først og fremmest vil nærlæse afgørelsen, følge de andre sager på sidelinjen og derefter komme med nærmere vejledning herom til danske virksomheder og myndigheder.
Hvorvidt og hvordan man kan bruge sådanne værktøjer inden for rammerne af databeskyttelsesreglerne, er der derfor ikke noget information om endnu til danske virksomheder.
For virksomheder i andre EU-medlemsstater anbefales det også, at man leder efter alternativer til Google Analytics, inden lokale datatilsyn begynder at tage fat på flere virksomheder.