Het gebruik van Google Analytics is in strijd met de AVG, zo heeft de Oostenrijkse privacytoezichthouder DSB geoordeeld. De uitspraak kan gevolgen voor zeer veel websites in de Europese Unie hebben. Volgens de DSB wordt erbij het gebruik van Google Analytics persoonlijke data naar Google in de Verenigde Staten verstuurd, waaronder user identifiers, ip-adressen en browserparameters. Dat is het oordeel over een klacht die noyb, de privacyorganisatie van de bekende activist Max Schrems, had ingediend.
Een maand na de Schrems II-uitspraak diende noyb 101 klachten in over het uitwisselen van persoonsgegevens met Facebook en Google. Het Europees Hof van Justitie verklaarde in 2020 het Privacy Shield-verdrag tussen de Europese Unie en de Verenigde Staten ongeldig. Het verdrag moest de uitwisseling van persoonsgegevens tussen bedrijven in de Europese Unie en de VS regelen.
Volgens de rechter zijn gegevens die onder het verdrag werden uitgewisseld niet goed beschermd in de Verenigde Staten. Door de uitspraak van het hof mogen bedrijven in de EU op grond van het Privacy Shield-verdrag geen persoonsgegevens meer aan de VS doorgeven. Een mogelijke oplossing om toch persoonsgegevens door te geven zou het gebruik van modelcontracten kunnen zijn.
Eén van de klachten die noyb indiende was tegen een Oostenrijkse website die van Google Analytics gebruikmaakte. Zowel de website als Google stelden dat er geen sprake was van doorgifte van persoonsgegevens. Daarnaast waren erin het geval van het toch versturen van persoonlijke data aanvullende maatregelen getroffen en was er een kleine kans dat de klager doelwit van Amerikaanse surveillance was geworden. Verder stelde Google dat de betreffende AVG-regel alleen voor de partij geldt die de data aanlevert, in dit geval de website, en niet de partij die de data ontvangt, te weten Google.
De Oostenrijkse toezichthouder kon zich deels in het verweer vinden en besloot de klacht tegen Google af te wijzen. In het geval van de website oordeelt de DSB dat er wel degelijk persoonsgegevens naar Google zijn verstuurd, het gebruikte modelcontract geen voldoende bescherming biedt en de website ook niet op andere mechanismes kan terugvallen die onder de AVG zijn toegestaan. Daardoor heeft de website geen voldoende beschermingsniveau geboden zoals onder de AVG is verplicht.
De uitspraak van de DSB is de eerste in de 101 door noyb ingediende klachten. Volgens de organisatie zal de beslissing gevolgen voor bijna alle EU-websites hebben, aangezien Google Analytics het meestgebruikte statistiekenprogramma is. "Veel websites vertrouwen op Google en sturen hun gebruikersdata door naar de Amerikaanse multinational", aldus noyb. "Het feit dat privacytoezichthouders nu Amerikaanse diensten illegaal kunnen verklaren zal extra druk op Europese bedrijven en Amerikaanse providers zetten om voor veilige en juridische opties te kiezen, zoals het hosten buiten de VS."
Privacy-activist Max Schrems verwacht dat soortgelijke uitspraken ook in andere EU-lidstaten zullen volgen, aangezien in bijna alle lidstaten privacyklachten zijn ingediend. De rechter besloot nog geen boete op te leggen. Daarnaast is de website samengegaan met een Duits bedrijf. De Oostenrijkse toezichthouder had alleen jurisdictie voor overtredingen begaan in het verleden.
Deze posting is gelocked. Reageren is niet meer mogelijk.