Intellectueel eigendomsrecht, mediarecht, GDPR en ICT
Oostenrijke Gegevensbeschermingsautoriteit oordeelt: "Google Analytics is in strijd met AVG"
De Oostenrijkse Gegevensbeschermingsautoriteit (DSB) heeft recent beslist dat het gebruik van Google Analytics, een dienst van Google om statistieken van een website te analyseren, dat wordt gebruikt door de meerderheid van de websites, in strijd is met de Gegevensbeschermingsverordening (GDPR). Volgens het DSB resulteert het gebruik van de alom bekende analysetool in een onwettige transfer naar en verwerking van persoonlijke data door het hoofdkantoor van Google in Verenigde Staten en door bepaalde autoriteiten in de VS. Intussen verklaarde ook de Europese Toezichthouder voor Gegevensbescherming van de Europese Unie het gebruik van Google Analytics op de website van het Europese Parlement onwettig.Op basis van de GDPR mogen persoonlijke gegevens niet zomaar naar landen buiten de EU worden getransfereerd. Er moet in de wetgeving van die landen een passend beschermingsniveau bestaan m.b.t. de verwerking van de persoonlijke gegevens van EU burgers. Dit kan worden gerealiseerd door verdragen af te sluiten, dan wel via model contracten (de zogenaamde SCC) tussen ondernemingen in die landen. De EU Commissie en de VS hadden daartoe het Safe Harbor verdrag afgesloten dat een voldoende bescherming i.v.m. de verwerking van persoonsgegevens van Europese burgers in de VS diende te garanderen. Dat verdrag werd echter door het Hof van Justitie van de EU geannuleerd omdat de bescherming onvoldoende was (Schrems I beslissing). Safe Harbor werd vervangen door het Privacy Shield verdrag, maar ook dat werd door het Hof van Justitie van de EU in juli 2020 als onvoldoende beschouwd en in strijd met de GDPR (Schrems II beslissing). Tegelijkertijd stelde het Hof strengere eisen aan de modelcontracten (SCC).
Een maand na deze beslissing diende noyb, de organisatie van Oostenrijke advocaat en privacy-activist Max Schrems, klacht in bij de DSB tegen een Oostenrijkse website die gebruik maakt van Google Analytics. Het DSB stelde vast dat bij het gebruik van Google Analytics de website ten minste unieke gebruikersidentificatienummers, IP-adressen en browserparameters overdraagt aan het Google hoofdkantoor in de Verenigde Staten en dat evenmin kan worden vermeden dat die persoonsgegevens verder worden verwerkt in de VS, zoals bijvoorbeeld door de VS autoriteiten in het kader van de VS surveillance wetgeving. De DSB oordeelde dat de modelcontracten die door Google worden gebruikt voor Google Analytics geen passend beschermingsniveau hebben en dus de GDPR schenden.
Het concrete gevolg van deze beslissing is dus dat het gebruik van Google Analytics door een website in de EU waarbij gegevens van EU burgers naar de VS worden getransfereerd en verwerkt, een inbreuk maakt op de GDPR. De uitbater van de website is daarvoor verantwoordelijk. Google in de VS valt niet onder de GDPR.
Het valt te verwachten dat ook in de andere EU lidstaten vergelijkbare beslissingen zullen worden genomen door de nationale gegevensbeschermingsautoriteiten. Zij werken immers allen op Europees niveau samen en de beslissing van de DSB werd zeker gecoördineerd op Europees niveau. De Nederlandse Gegevensbeschermingsautoriteit heeft zo reeds aangekondigd dat het gebruik van Google Analytics in de nabije toekomst in Nederland niet meer toegestaan zou zijn.
Gevolgen voor Belgische bedrijven:
Aangezien het gebruik van Google Analytics momenteel een schending van de GDPR uitmaakt, is het raadzaam dat Belgische bedrijven die momenteel beroep doen op de diensten van Google Analytics beter beroep doen op andere providers, bijv. Europese analysetools, aangezien zij, in tegenstelling tot Google, wel onder de GDPR vallen. Indien het gebruik van Google Analytics noodzakelijk is, moet een effectenbeoordeling worden uitgevoerd over de impact van de transfer van de persoonsgegevens op de gegevensbescherming. Op basis van de zo in kaart gebrachte risico’s kunnen dan bijkomende beschermingsmaatregelen worden genomen. Het is natuurlijk maar de vraag hoe ver Google daarin zal willen meegaan...