Österrikiska DSB: Användning av Google Analytics bryter mot EU-domstolens beslut "Schrems II".
I ett banbrytande beslut har den österrikiska dataskyddsmyndigheten ("Datenschutzbehörde" eller "DSB") beslutat om ett modellfall från noyb att den kontinuerliga användningen av Google Analytics bryter mot GDPR. Detta är det första beslutet om de 101 modellklagomål som lämnats in av noyb i kölvattnet av det så kallade "Schrems II"-beslutet. År 2020 beslutade EU-domstolen att användningen av amerikanska leverantörer strider mot GDPR, eftersom amerikanska övervakningslagar kräver att amerikanska leverantörer som Google eller Facebook tillhandahåller personuppgifter till amerikanska myndigheter. Liknande beslut förväntas i andra EU-länder, eftersom tillsynsmyndigheterna har samarbetat i dessa fall i en "arbetsgrupp" inom Europeiska dataskyddsstyrelsen (EDPB). Det verkar som om det österrikiska DSB-beslutet är det första som kommer att utfärdas.
eU-domstolens avgörande från 2020 når den verkliga världen. I juli 2020 meddelade EU-domstolen sitt banbrytande avgörande "Schrems II", där man slog fast att en överföring till amerikanska leverantörer som omfattas av FISA 702 och EO 12.333 strider mot reglerna om internationella dataöverföringar i GDPR. EU-domstolen ogiltigförklarade följaktligen överföringsavtalet "Privacy Shield", efter att ha ogiltigförklarat det tidigare avtalet "Safe Harbor" 2015. Även om detta sände chockvågor genom teknikbranschen har amerikanska leverantörer och EU:s dataexportörer i stort sett ignorerat fallet. Precis som Microsoft, Facebook och Amazon har Google förlitat sig på så kallade "standardavtalsklausuler" för att fortsätta dataöverföringar och lugna sina europeiska affärspartners.
Max Schrems, hedersordförande för noyb.eu:"I stället för att faktiskt anpassa sina tjänster så att de överensstämmer med GDPR har amerikanska företag försökt att helt enkelt lägga till lite text i sina integritetspolicyer och ignorera EU-domstolen. Många EU-företag har följt efter i stället för att ta till rättsliga alternativ."
SCC och "TOM" inte tillräckligt. Även om Google har gjort inlagor där man hävdar att man har genomfört "tekniska och organisatoriska åtgärder" ("TOMs"), vilket inkluderar idéer som att ha stängsel runt datacenter, granska förfrågningar eller ha baslinjekryptering, har DSB avvisat dessa åtgärder som helt värdelösa när det gäller amerikansk övervakning (sidorna 38 och 39 i beslutet):
"Närdet gäller de avtalsmässiga och organisatoriska åtgärder som beskrivits är det inte uppenbart i vilken utsträckning [åtgärderna] är effektiva i den mening som avses ovan."
"Närdet gäller de tekniska åtgärderna är det inte heller möjligt att se (...) i vilken utsträckning [åtgärden] faktiskt skulle förhindra eller begränsa åtkomsten för amerikanska underrättelsetjänster enligt amerikansk lag."
Max Schrems:"Detta är ett mycket detaljerat och välgrundat beslut. Slutsatsen är: Företag kan inte längre använda amerikanska molntjänster i Europa. Dethar nu gått 1,5 år sedan domstolen bekräftade detta en andra gång, så det är mer än dags att lagen också verkställs."
Beslutet är relevant för nästan alla webbplatser i EU. Google Analytics är det vanligaste statistikprogrammet. Även om det finns många alternativ som är hostade i Europa eller kan vara självhostade, förlitar sig många webbplatser på Google och vidarebefordrar därmed sina användardata till det amerikanska multinationella företaget. Det faktum att dataskyddsmyndigheter nu gradvis kan förklara amerikanska tjänster olagliga sätter ytterligare press på EU-företag och amerikanska leverantörer att gå över till säkra och lagliga alternativ, som hosting utanför USA. Ett liknande beslut om överföringar mellan EU och USA fattades av Europeiska datatillsynsmannen (EDPS) en vecka tidigare.
Max Schrems:"Vi förväntar oss att liknande beslut nu kommer att falla gradvis i de flesta EU-medlemsstater. Vi har lämnat in 101 klagomål i nästan alla medlemsstater och myndigheterna har samordnat sitt svar. Ett liknande beslut fattades också av Europeiska datatillsynsmannen förra veckan."
Långsiktig lösning. I det långa loppet verkar det finnas två alternativ: Antingen anpassar USA det grundläggande skyddet för utlänningar för att stödja sin teknikindustri, eller så måste amerikanska leverantörer lagra utländska data utanför USA.
Max Schrems:"På lång sikt behöver vi antingen ett ordentligt skydd i USA, eller så kommer vi att få separata produkter för USA och EU. Jag skulle personligen föredra bättre skydd i USA, men det är upp till den amerikanska lagstiftaren - inte till någon i Europa."
Google LLC faller inte under överföringsreglerna? DSB har avvisat krav mot Google LLC som mottagare av data, med motiveringen att reglerna om dataöverföring endast gäller för EU-enheter och inte för mottagare i USA. DSB meddelade dock att man kommer att undersöka Google LLC ytterligare med avseende på eventuella överträdelser av artiklarna 5, 28 och 29 i GDPR, eftersom det förefaller tveksamt om Google hade rätt att lämna ut personuppgifter till den amerikanska regeringen utan en uttrycklig order från EU:s dataexportör. DSB kommer att fatta ett separat beslut i denna fråga.
Max Schrems:"För oss är det avgörande att de amerikanska leverantörerna inte bara kan skjuta över problemet på EU:s kunder. Vi har därför väckt talan även mot den amerikanska mottagaren. DSB har delvis avvisat detta tillvägagångssätt. Vi kommer att se över om vi ska överklaga denna del av beslutet."
Ingen påföljd (ännu). Beslutet behandlar inte en eventuell påföljd, eftersom detta ses som ett "offentligt" verkställighetsförfarande, där den klagande inte hörs. Det finns ingen information om huruvida en sanktion har utfärdats eller om DSB planerar att utfärda en sanktion. GDPR föreskriver böter på upp till 20 miljoner euro eller 4% av den globala omsättningen i sådana fall.
Max Schrems:"Vi skulle anta att det också finns en sanktion för EU:sdataexportör, men vi har hittills bara fått ett delbeslut som inte behandlar denna fråga."
Ytterligare verkställighet av tyska dataskyddsmyndigheter. Eftersom den österrikiska dataexportören har fusionerats med ett tyskt företag har den österrikiska DSB endast haft jurisdiktion för överträdelserna tidigare. DSB sade att man kommer att ta upp ett förbud mot framtida dataöverföringar med den relevanta myndigheten vid dataexportörens nya huvudkontor i Tyskland.
Bakgrund och juridisk analys. noyb har också publicerat en djupare juridisk analys på GDPRhub.eu.
