Osztrák DSB: A Google Analytics használata sérti az EUB "Schrems II" határozatát.
Az osztrák adatvédelmi hatóság ("Datenschutzbehörde" vagy "DSB") úttörő döntésében a noyb mintaügyében úgy döntött, hogy a Google Analytics folyamatos használata sérti a GDPR-t. Ez az első döntés a noyb által az úgynevezett "Schrems II" döntés nyomán benyújtott 101 mintapanaszról. Bíróság (EUB) 2020-ban úgy döntött, hogy az amerikai szolgáltatók használata sérti a GDPR-t, mivel az amerikai megfigyelési törvények előírják, hogy az amerikai szolgáltatók, mint például a Google vagy a Facebook, személyes adatokat szolgáltassanak az amerikai hatóságoknak. Hasonló döntések várhatóak más uniós tagállamokban is, mivel a szabályozó hatóságok egy EDPB "munkacsoportban" együttműködtek ezekben az ügyekben. Úgy tűnik, hogy az osztrák DSB-határozat az első, amelyet kiadtak.
az EUB 2020-as döntése a való világot éri el. 2020 júliusában az EUB kiadta úttörő "Schrems II" ítéletét, amelyben kimondta, hogy a FISA 702 és az EO 12.333 hatálya alá tartozó amerikai szolgáltatóknak történő továbbítás sérti az általános adatvédelmi rendelet nemzetközi adattovábbításra vonatkozó szabályait. Az EUB következésképpen megsemmisítette a "Privacy Shield" adattovábbítási megállapodást, miután 2015-ben megsemmisítette a korábbi "Safe Harbor" megállapodást. Miközben ez sokkoló hullámokat keltett a technológiai iparágban, az amerikai szolgáltatók és az uniós adatexportőrök nagyrészt figyelmen kívül hagyták az ügyet. A Microsofthoz, a Facebookhoz vagy az Amazonhoz hasonlóan a Google is az úgynevezett "általános szerződési feltételekre" támaszkodott az adattovábbítás folytatása és európai üzleti partnereinek megnyugtatása érdekében.
Max Schrems, a noyb.eu tiszteletbeli elnöke:"Ahelyett, hogy ténylegesen úgy alakították volna át szolgáltatásaikat, hogy azok megfeleljenek a GDPR-nek, az amerikai vállalatok megpróbáltak egyszerűen hozzáfűzni néhány szöveget az adatvédelmi irányelveikhez, és figyelmen kívül hagyták a Bíróságot. Sok uniós vállalat követte ezt a példát, ahelyett, hogy a jogi lehetőségekre váltott volna."
Az SCC-k és a "TOM-ok" nem elegendőek. Bár a Google beadványaiban azt állította, hogy "technikai és szervezeti intézkedéseket" ("TOM-ok") hajtott végre, amelyek olyan ötleteket tartalmaztak, mint az adatközpontok körüli kerítés, a kérelmek felülvizsgálata vagy az alapszintű titkosítás, a DSB elutasította ezeket az intézkedéseket, mivel azok teljesen haszontalanok az amerikai megfigyeléssel kapcsolatban (a határozat 38. és 39. oldala):
"A felvázolt szerződéses és szervezeti intézkedések tekintetében nem nyilvánvaló, hogy [az intézkedés] milyen mértékben hatékony a fenti megfontolások értelmében"
"Ami a technikai intézkedéseket illeti, szintén nem felismerhető (...), hogy [az intézkedés] milyen mértékben akadályozná meg vagy korlátozná ténylegesen az amerikai hírszerző ügynökségek hozzáférését az amerikai jog figyelembevételével."
Max Schrems:"Ez egy nagyon részletes és megalapozott határozat. A lényeg a következő: A vállalatok nem használhatnak többé amerikai felhőszolgáltatásokat Európában. Már 1,5 éve, hogy a Bíróság ezt másodszor is megerősítette, így több mint ideje, hogy a törvényt végre is hajtsák."
A határozat szinte minden uniós weboldalra vonatkozik. A Google Analytics a legelterjedtebb statisztikai program. Bár számos alternatíva létezik, amelyeket Európában hosztolnak, vagy amelyek saját tárhelyen is üzemeltethetők, sok weboldal támaszkodik a Google-ra, és ezáltal továbbítja felhasználói adatait az amerikai multinacionális vállalatnak. Az a tény, hogy az adatvédelmi hatóságok most fokozatosan illegálisnak nyilváníthatják az amerikai szolgáltatásokat, további nyomást gyakorol az uniós vállalatokra és az amerikai szolgáltatókra, hogy a biztonságos és legális lehetőségek, például az USA-n kívüli tárhelyek felé mozduljanak el. Az Európai Adatvédelmi Biztos (EDPS ) egy héttel korábban hasonló döntést hozott az EU-USA adattovábbítással kapcsolatban.
Max Schrems:"Arra számítunk, hogy a legtöbb EU-tagállamban most fokozatosan hasonló döntések születnek. Szinte valamennyi tagállamban 101 panaszt nyújtottunk be, és a hatóságok összehangolták a válaszlépéseket. Az Európai Adatvédelmi Biztos is hasonló határozatot hozott a múlt héten."
Hosszú távú megoldás. Hosszú távon úgy tűnik, két lehetőség van: Vagy az USA adaptálja a külföldiekre vonatkozó alapszintű védelmet a technológiai iparuk támogatása érdekében, vagy az amerikai szolgáltatóknak az Egyesült Államokon kívül kell tárolniuk a külföldi adatokat.
Max Schrems:"Hosszú távon vagy megfelelő védelemre van szükség az Egyesült Államokban, vagy külön termékekkel fogunk végezni az USA és az EU számára. Én személy szerint jobban örülnék a jobb védelemnek az Egyesült Államokban, de ez az amerikai jogalkotón múlik - nem pedig bárkinek Európában."
A Google LLC nem tartozik az átruházási szabályok hatálya alá? A DSB elutasította a Google LLC-vel mint adatátvevővel szembeni követeléseket, és úgy vélte, hogy az adattovábbításra vonatkozó szabályok csak az uniós jogalanyokra vonatkoznak, az amerikai címzettekre nem. A DSB azonban közölte, hogy a Google LLC-t tovább fogja vizsgálni a GDPR 5., 28. és 29. cikkének esetleges megsértésével kapcsolatban, mivel kérdésesnek tűnik, hogy a Google az uniós adatátadó kifejezett megbízása nélkül adhatott-e át személyes adatokat az amerikai kormánynak. A DSB külön határozatot fog hozni ebben az ügyben.
Max Schrems:"Számunkra döntő fontosságú, hogy az amerikai szolgáltatók nem háríthatják a problémát egyszerűen az uniós ügyfelekre. Ezért az amerikai címzett ellen is benyújtottuk az ügyet. A DSB részben elutasította ezt a megközelítést. Felülvizsgáljuk, hogy fellebbezünk-e a határozat ezen eleme ellen."
Büntetés (még) nincs. A határozat nem foglalkozik potenciális büntetéssel, mivel ezt "nyilvános" végrehajtási eljárásnak tekintik, ahol a panaszost nem hallgatják meg. Nincs információ arról, hogy kiszabtak-e büntetést, vagy hogy a DSB tervez-e büntetést is kiszabni. A GDPR ilyen esetekben 20 millió euróig vagy a globális forgalom 4%-áig terjedő büntetést ír elő.
Max Schrems:"Feltételeznénk, hogy az uniós adatexportőrre is kiszabható büntetés, de eddig csak részleges határozatot kaptunk, amely nem foglalkozik ezzel a kérdéssel."
További végrehajtás a német adatvédelmi hatóságok által. Mivel az osztrák adatexportőr összeolvadt egy német céggel, az osztrák DSB csak a korábbi jogsértésekre volt illetékes. A DSB közölte, hogy a jövőbeni adattovábbítás tilalmát az adatátadó új németországi székhelyének illetékes hatóságánál fogja felvetni.
Háttér és jogi elemzés. a noyb mélyebb jogi elemzést is közzétett a GDPRhub.eu oldalon.
