Itävallan DSB: EU:n ja Yhdysvaltojen välinen tiedonsiirto Google Analyticsille laitonta

Jan 13, 2022

Itävallan DSB: Google Analyticsin käyttö rikkoo EU:n tuomioistuimen Schrems II -päätöstä.

Itävallan tietosuojaviranomainen ("Datenschutzbehörde" tai "DSB") on tehnyt uraauurtavassa päätöksessä noybin mallitapauksessa päätöksen, jonka mukaan Google Analyticsin jatkuva käyttö rikkoo tietosuoja-asetusta. Tämä on ensimmäinen päätös noybin niin sanotun "Schrems II" -päätöksen jälkeen tekemistä 101 mallikanteesta. Vuonna 2020 Euroopan unionin tuomioistuin (EUT) päätti, että yhdysvaltalaisten palveluntarjoajien käyttö rikkoo GDPR:ää, koska Yhdysvaltojen valvontalait edellyttävät yhdysvaltalaisia palveluntarjoajia, kuten Googlea tai Facebookia, toimittamaan henkilötietoja Yhdysvaltojen viranomaisille. Vastaavia päätöksiä odotetaan myös muissa EU:n jäsenvaltioissa, sillä sääntelyviranomaiset ovat tehneet yhteistyötä näissä tapauksissa EDPB:n "työryhmässä". Näyttää siltä, että Itävallan DSB:n päätös on ensimmäinen.

eUT:n vuoden 2020 tuomio osuu reaalimaailmaan. Heinäkuussa 2020 EUT on antanut uraauurtavan "Schrems II" -päätöksensä, jossa se katsoo, että siirto yhdysvaltalaisille palveluntarjoajille, jotka kuuluvat FISA 702 ja EO 12.333 soveltamisalaan, rikkoo tietosuoja-asetuksen kansainvälisiä tiedonsiirtoja koskevia sääntöjä. Näin ollen EUT kumosi "Privacy Shield" -tiedonsiirtosopimuksen sen jälkeen, kun se oli kumonnut edellisen "Safe Harbor" -sopimuksen vuonna 2015. Vaikka tämä aiheutti shokkiaaltoja teknologiateollisuudessa, yhdysvaltalaiset palveluntarjoajat ja EU:n tietojen viejät ovat pitkälti jättäneet tapauksen huomiotta. Microsoftin, Facebookin ja Amazonin tavoin Google on turvautunut niin sanottuihin vakiosopimuslausekkeisiin jatkaakseen tiedonsiirtoa ja rauhoittaakseen eurooppalaiset liikekumppaninsa.

Max Schrems, noyb.eu:n kunniapuheenjohtaja: "Sen sijaan, että yhdysvaltalaiset yritykset olisivat todella mukauttaneet palvelujaan GDPR:n mukaisiksi, ne ovat yrittäneet yksinkertaisesti lisätä tekstiä tietosuojakäytäntöihinsä ja sivuuttaa yhteisöjen tuomioistuimen päätöksen. Monet EU:n yritykset ovat seuranneet esimerkkiä sen sijaan, että olisivat siirtyneet laillisiin vaihtoehtoihin."

SCC:t ja "TOM:t" eivät riitä. Vaikka Google on esittänyt väitteitä, joiden mukaan se on toteuttanut "teknisiä ja organisatorisia toimenpiteitä" ("TOM"), joihin sisältyi muun muassa ajatuksia, kuten aidat tietokeskusten ympärillä, pyyntöjen tarkistaminen tai perussalaus, DSB on hylännyt nämä toimenpiteet täysin hyödyttömiksi, kun kyse on Yhdysvaltojen valvonnasta (päätöksen sivut 38 ja 39):

"Hahmoteltujen sopimuksellisten ja organisatoristen toimenpiteiden osalta ei ole ilmeistä, missä määrin [toimenpide] on tehokas edellä esitettyjen näkökohtien kannalta."

"Teknisten toimenpiteiden osalta ei myöskään ole tunnistettavissa (...), missä määrin [toimenpide] tosiasiallisesti estäisi tai rajoittaisi Yhdysvaltain tiedustelupalvelujen pääsyä Yhdysvaltojen lakia sovellettaessa."

Max Schrems: "Tämä on hyvin yksityiskohtainen ja järkevä päätös. Lopputulos on seuraava: Yritykset eivät voi enää käyttää yhdysvaltalaisia pilvipalveluja Euroopassa. Siitä onnyt kulunut 1,5 vuotta, kun yhteisöjen tuomioistuin vahvisti tämän toisen kerran, joten on enemmän kuin aika, että laki myös pannaan täytäntöön."

Päätös koskee lähes kaikkia EU:n verkkosivustoja. Google Analytics on yleisin tilasto-ohjelma. Vaikka on olemassa monia vaihtoehtoja, joita isännöidään Euroopassa tai joita voi isännöidä itse, monet verkkosivustot luottavat Googleen ja välittävät siten käyttäjätietojaan yhdysvaltalaiselle monikansalliselle yritykselle. Se, että tietosuojaviranomaiset saattavat nyt vähitellen julistaa yhdysvaltalaiset palvelut laittomiksi, lisää EU:n yritysten ja yhdysvaltalaisten palveluntarjoajien painetta siirtyä turvallisiin ja laillisiin vaihtoehtoihin, kuten hostingiin Yhdysvaltojen ulkopuolella. Euroopan tietosuojavaltuutettu teki samanlaisen päätöksen EU:n ja Yhdysvaltojen välisistä siirroista viikkoa aiemmin.

Max Schrems:"Odotamme, että vastaavat päätökset tulevat nyt vähitellen voimaan useimmissa EU:n jäsenvaltioissa. Olemme tehneet 101 valitusta lähes kaikissa jäsenvaltioissa, ja viranomaiset ovat koordinoineet vastauksia. Myös Euroopan tietosuojavaltuutettu teki viime viikolla vastaavan päätöksen."

Pitkän aikavälin ratkaisu. Pitkällä aikavälillä näyttää olevan kaksi vaihtoehtoa: Joko Yhdysvallat mukauttaa ulkomaalaisten perustason suojaa tukeakseen teknologiateollisuuttaan, tai yhdysvaltalaisten palveluntarjoajien on isännöidä ulkomaalaisten tietoja Yhdysvaltojen ulkopuolella.

Max Schrems: "Pitkälläaikavälillä tarvitsemme joko asianmukaisen suojan Yhdysvalloissa, tai päädymme erillisiin tuotteisiin Yhdysvalloissa ja EU:ssa.Henkilökohtaisesti pitäisin parempana parempaa suojaa Yhdysvalloissa, mutta tämä on Yhdysvaltain lainsäätäjän - ei kenenkään eurooppalaisen - asia."

Google LLC ei kuulu siirtosääntöjen piiriin? DSB on hylännyt Google LLC:tä vastaan esitetyt vaatimukset tietojen vastaanottajana ja katsonut, että tietojen siirtoa koskevia sääntöjä sovelletaan vain EU:n yksiköihin eikä yhdysvaltalaisiin vastaanottajiin. DSB totesi kuitenkin, että se aikoo tutkia Google LLC:tä tarkemmin GDPR:n 5, 28 ja 29 artiklan mahdollisen rikkomisen osalta, sillä vaikuttaa kyseenalaiselta, onko Google saanut antaa henkilötietoja Yhdysvaltain hallitukselle ilman EU:n tietojen viejän nimenomaista määräystä. DSB antaa asiasta erillisen päätöksen.

Max Schrems:"Meille on ratkaisevan tärkeää, että yhdysvaltalaiset palveluntarjoajat eivät voi vain siirtää ongelmaa EU:n asiakkaille. Siksi olemme nostaneet kanteen myös yhdysvaltalaista vastaanottajaa vastaan. DSB on osittain hylännyt tämän lähestymistavan. Tarkistamme, valitammeko päätöksen tästä osasta."

Ei rangaistusta (vielä). Päätöksessä ei käsitellä mahdollista rangaistusta, koska tämä katsotaan "julkiseksi" täytäntöönpanomenettelyksi, jossa kantelijaa ei kuulla. Ei ole tietoa siitä, annettiinko rangaistus tai aikooko DSB myös antaa rangaistuksen. Yleisen tietosuoja-asetuksen mukaan tällaisissa tapauksissa seuraamukset voivat olla enintään 20 miljoonaa euroa tai 4 prosenttia maailmanlaajuisesta liikevaihdosta.

Max Schrems: "Olettaisimme, että myös EU:n tietojen viejälle määrätään rangaistus, mutta olemmetoistaiseksi saaneet vain osittaisen päätöksen, jossa ei käsitellä tätä kysymystä."

Saksan tietosuojaviranomaiset jatkavat täytäntöönpanoa. Koska itävaltalainen tietojenviejä on fuusioitunut saksalaisen yrityksen kanssa, Itävallan DSB:llä oli toimivalta vain rikkomusten osalta aiemmin. DSB ilmoitti, että se aikoo ottaa esille tulevien tiedonsiirtojen kiellon asianomaisen viranomaisen kanssa tiedonviejän uudessa pääkonttorissa Saksassa.

Taustaa ja oikeudellinen analyysi. noyb on julkaissut myös syvällisemmän oikeudellisen analyysin GDPRhub.eu-sivustolla.