Volgens een besluit van de Oostenrijkse Autoriteit Gegevensbescherming (DSB) schendt Google de GDPR-wetgeving met bij het integreren van Google Analytics op websites.
In het besluit (lees hier) staat dat het bezwaar, ingediend door de Oostenrijkse NOYB (European Centre for Digital Rights) dat door het implementeren van de Google Analytics tag op de website netdokter.at persoonsgegevens zoals browserdata en IP-adressen oneigenlijk zijn verzameld is toegekend op basis van GDPR-wetgeving is toegekend.Amerikaanse inlichtingendiensten
Het tweede bezwaar, waarbij de Amerikaanse geheime dienst via Google analytics zouden kunnen meekijken is afgewezen. Desalniettemin kan de uitspraak van de DSB op termijn grote gevolgen hebben voor de toekomst van Google en Analytics en Google specifiek, maar ook van alle Amerikaanse Big Tech (Amazon, Meta, Microsoft) in Europa in het algemeen.
Wat is er nu precies gebeurd?
De NOYB heeft, onder leiding van zijn voorzitter, de advocaat Max Schrems, een modelklacht ingediend bij de Oostenrijkse gegevensbeschermingsautoriteit (DSB). Zij hebben nu besloten dat het gebruik van Google Analytics niet verenigbaar is met de AVG. Het komt er dus op neer dat de integratie van de populaire dienst in strijd met het zogenaamde Schrems II-arrest van het Europese Hof van Justitie uit 2020 is. In dit arrest staat dat Amerikaanse providers uit de EU geen persoonsgegevens mogen doorgeven aan een niet-EU-land. Volgens de DSB heeft de gegevensoverdracht van Google Analytics naar de VS momenteel ‘geen passend beschermingsniveau in overeenstemming met artikel 44 AVG’. De autoriteit heeft inmiddels wel een klacht afgewezen die rechtstreeks tegen Google was ingediend.
Wat betekent dit voor het gebruik van Google Analytics?
Sinds de Schrems II-beslissing van het Hof van Justitie mogen Amerikaanse bedrijven persoonsgegevens alleen vanuit de EU naar de VS doorgeven, wanneer zij expliciet geldige modelcontractbepalingen gebruiken. In veel gevallen gebruiken Google, Meta, Amazon en anderen deze het echter niet. Max Schrems, legt het op de website van de NOYB als volgt uit: ‘In plaats van hun diensten technisch aan te passen om aan de GDPR-reguleringen te voldoen, hebben Amerikaanse bedrijven geprobeerd om door enkel wat tekst aan hun privacybeleid toe te voegen de regelgeving te omzeilen.’ Als grote bedrijven zoals Google en Meta, Microsoft en Apple hun richtlijnen voor gegevensbescherming niet aanpassen aan de EU-wetgeving, kunnen autoriteiten en rechtbanken hun diensten in de EU geleidelijk aan illegaal verklaren is nu de verwachting.
Er zijn al vaker dergelijke uitspraken gedaan, waarna de Big Tech bedrijven de bijbehorende miljarden boetes lachend voldaan hebben en er uiteindelijk aan de dienstverlening niets werkelijk veranderd is. Hoewel de uitspraak in de DACH-regio als groot nieuws wordt gebracht, is het nog maar de vraag of er dit keer iets ander gebeurt.