UPDATE: CNIL besluit EU-VS-gegevensoverdracht aan Google Analytics onwettig

Apr 05, 2022

UPDATE: CNIL gelast drie controllers te voldoen aan GDPR na besluit dat gebruik Google Analytics illegaal is

Slechts enkele weken na de baanbrekende beslissing van de Oostenrijkse Gegevensbeschermingsautoriteit dat het voortdurend gebruik van Google Analytics in strijd is met de GDPR, heeft de Franse Gegevensbeschermingsautoriteit (CNIL) drie Franse websites bevolen om te voldoen aan de GDPR. Al deze beslissingen zijn gebaseerd op de 101 modelklachten van noyb die zijn ingediend na het arrest van het Hof van Justitie waarbij het Privacy Shield ongeldig werd verklaard. noyb verwacht soortgelijke beslissingen van de andere autoriteiten.

het arrest van het HJEU van 2020 raakt de echte wereld. In juli 2020 heeft het HJEU zijn baanbrekende "Schrems II"-arrest gewezen, waarin het oordeelde dat een doorgifte aan Amerikaanse aanbieders die onder FISA 702 en EO 12.333 vallen, in strijd is met de regels inzake internationale doorgifte van gegevens in de GDPR. Het HJEU heeft bijgevolg de doorgifteovereenkomst "Privacy Shield" nietig verklaard, nadat het in 2015 de vorige overeenkomst "Safe Harbor" nietig had verklaard. Hoewel dit schokgolven door de techindustrie heeft gestuurd, hebben Amerikaanse providers en EU data-exporteurs de zaak grotendeels genegeerd. Net als Microsoft, Facebook of Amazon heeft Google vertrouwd op zogenaamde "Standard Contract Clauses" om de gegevensoverdracht voort te zetten en zijn Europese zakenpartners te kalmeren.

Max Schrems, erevoorzitter van noyb.eu:"Het is interessant om te zien dat de verschillende Europese gegevensbeschermingsautoriteiten allemaal tot dezelfde conclusie komen: het gebruik van Google Analytics is illegaal. Er is een Europese taskforce en we gaan ervan uit dat deze actie wordt gecoördineerd en dat andere autoriteiten op dezelfde manier zullen beslissen."

Besluit relevant voor bijna alle EU-websites. Google Analytics is het meest gebruikte statistiekenprogramma. Hoewel er veel alternatieven zijn die in Europa worden gehost of zelf kunnen worden gehost, vertrouwen veel websites op Google en geven zij hun gebruikersgegevens door aan de Amerikaanse multinational. Het feit dat gegevensbeschermingsautoriteiten Amerikaanse diensten nu geleidelijk illegaal kunnen verklaren, zet bedrijven in de EU en Amerikaanse providers extra onder druk om over te stappen op veilige en legale opties, zoals hosting buiten de VS.

Oplossing op lange termijn. Op lange termijn lijken er twee opties te zijn: Of de VS past de basisbescherming voor buitenlanders aan om hun tech-industrie te ondersteunen, of Amerikaanse providers zullen buitenlandse gegevens buiten de Verenigde Staten moeten hosten.

Max Schrems:"Op lange termijn hebben we ofwel goede bescherming in de VS nodig, of we zullen eindigen met afzonderlijke producten voor de VS en de EU. Persoonlijk zou ik de voorkeur geven aan betere bescherming in de VS, maar dat is de taak van de Amerikaanse wetgever - niet van iemand in Europa."