Sverige siger nej til Google Analytics - hvad betyder det for dig og din hjemmeside?
Den 23. juni 2023 tog den svenske databeskyttelsesmyndighed (IMY) en bemærkelsesværdig beslutning. Fire afgørelser blev udstedt mod virksomheder, som havde integreret Google Analytics på deres websites.
Hver enkelt afgørelse konkluderede, at brugen af Google Analytics strider mod reglerne i GDPR.
To virksomheder blev oveni det idømt bøder, hvoraf den største var på 1 million euro. På IMY's hjemmeside finder du en pressemeddelelse (https://www.imy.se/en/news/four-companies-must-stop-using-google-analytics/) med en kort gennemgang af den juridiske kontekst.
Men der er meget mere at dykke ned i. Lad os sammen kigge nærmere på afgørelserne og konsekvenserne for brug af Google Analytics.
Juridiske udfordringer på dagsordenen
Alle fire sager udspringer af de 101 klager, som den non-profit organisation noyb (https://noyb.eu/en) har indgivet vedrørende Google Analytics og Facebook. Noyb har allerede haft succes med lignende sager i andre lande. De nye svenske afgørelser er i tråd med tidligere sager, da deres juridiske substans er baseret på Schrems II-dommen fra EU-Domstolen.
Schrems II-dommen pålægger virksomheder, der overfører data til USA, at indføre ekstra sikkerhedsforanstaltninger ud over de "standard"-sikkerhedsforanstaltninger, som GDPR kræver for alle dataoverførsler. Disse ekstra sikkerhedsforanstaltninger er nødvendige på grund af risikoen for statslig overvågning af udenlandske data, som vi bl.a. har set eksempler på i Snowden-sagen.
Men netop disse sikkerhedsforanstaltninger er ekstremt komplekse at implementere og faktisk umulige at indføre i forbindelse med Google Analytics. Det skyldes, at Google Analytics skal være i stand til præcist at identificere besøgende for at fungere.
Hvordan ser en af disse svenske afgørelser ud i praksis?
- En borger, repræsenteret af noyb, klagede over, at en virksomheds hjemmeside ulovligt overførte personlige data til USA.
- Virksomheden fremlagde de sikkerhedsforanstaltninger, de og Google havde implementeret for at sikre dataoverførslen.
- Databeskyttelsesmyndigheden (DPA) vurderede, at disse foranstaltninger var utilstrækkelige og pålagde virksomhederne at stoppe brugen af Google Analytics.
Kort fortalt betyder det her, at hvis din hjemmeside bruger Google Analytics, skal du være meget opmærksom på, hvordan du håndterer persondata og sikrer dig, at du overholder GDPR-reglerne.
Hvad er vinklen på disse afgørelser?"
Selvom de juridiske spørgsmål ikke har ændret sig siden tidligere afgørelser mod Google Analytics, er der nogle interessante nuancer i de nye afgørelser.
- For det første er der bøder involveret. Den største af de fire virksomheder - svenske Tele2, en af giganterne indenfor telekommunikation - blev idømt en bøde på hele 1 million euro. Tidligere har databeskyttelsesmyndigheder oftest valgt en mere diplomatisk fremgangsmåde, og kun bedt virksomheder om at stoppe brugen af Google Analytics. Det bliver spændende at se, om andre myndigheder vil følge IMY's eksempel. Hvis det sker, kan brugen af Google Analytics blive en bekostelig affære!
- Et andet interessant element i disse afgørelser er, at to af virksomhederne faktisk havde implementeret tekniske sikkerhedsforanstaltninger. Det vil sige, de har gjort en aktiv indsats for at sikre data, frem for bare at fylde i compliance-dokumenterne - noget, der er mere undtagelsen end reglen.
Dog var deres indsats ikke tilstrækkelig.
Myndigheden konkluderede, at hverken hashing af cookie-identifikatorer eller proxying af IP-adresser gennem server-side tagging er nok til at beskytte dataene.
Google indsamler og styrer en stor mængde data, som kan bruges til at forbinde pseudonymiserede data med enkeltpersoner. Eksempelvis kan en hash-identifikator forbindes med browserdata, der indsamles via en besøgendes Google-konto.
Google indsamler så meget data - via Google Analytics, Google-konti, deres API'er, deres (ulovlige) reklametrackere på Android-enheder osv. - at det er næsten umuligt at anonymisere de personlige data, du giver dem, korrekt. Ironisk nok ser det ud til, at Googles egen data-hungrende forretningsmodel nu bider dem i bagdelen under GDPR!
Den større sammenhæng
Google Analytics har allerede en historie med at være på kant med lovgivningen i EU's medlemslande. Men historien om dataoverførsler strækker sig endnu længere tilbage, og en kort opsummering kan bidrage til at belyse baggrunden for disse afgørelser.
Fra Snowden til Schrems: En rejse i overvågning og databeskyttelse
Det hele tog fart i 2012, da de berømte Snowden-filer kastede lys over USA's omfattende og uspecificerede overvågningsprogrammer, der særligt rettede sig mod data fra udlandet.
Året efter indgav den østrigske borger Max Schrems, som nu er en prominent fortaler for privatlivsrettigheder, en klage over Facebook Ireland. Schrems argumenterede for, at overførslen af hans persondata til det amerikanske hovedkontor i Facebook satte hans data i skudlinjen for amerikansk overvågning, hvilket han mente var i strid med EU's databeskyttelsesregler. Dette kickstartede en mangeårig juridisk slagmark.
Sagen nåede EU-Domstolen to gange, hvor domstolen i begge tilfælde satte en stopper for dataoverførselsaftaler mellem EU og USA. Disse afgørelser er kendt som Schrems I og II, og særligt Schrems II, der faldt i 2020, havde markante konsekvenser for dataoverførsler på grund af to hovedpunkter.
- For det første erklærede domstolen Privacy Shield-ordningen for ugyldig - en ordning der ellers tidligere har banet vejen for nem overførsel af data fra EU til USA.
- For det andet tog domstolen et dybdegående kig på standardkontraktbestemmelser (SCC'er), som er en udbredt metode for virksomheder at sikre compliance ved dataoverførsel. SCC'er er et sæt standardklausuler udformet af EU-Kommissionen, der kan inkorporeres i bindende aftaler med modtagere.
Det betyder, at hvis du ønsker at sende data uden for EU, kan du indsætte SCC'erne i en kontrakt. Disse klausuler vil så skitsere, hvad modtageren kan og ikke kan gøre med dataene. Det er en metode til at sikre, at personlige data bliver håndteret sikkert og fortroligt uden for EU's grænser.
Men der er et aber dabei.
Disse klausuler binder kun de parter, der indgår kontrakten, og de gør intet for at forhindre overvågning fra staten.
Med Schrems II blev SCC'erne ikke annulleret som mekanisme til dataoverførsel, men domstolen bestemte, at der skal tilføjes yderligere sikkerhedsforanstaltninger, når det er nødvendigt - som det er tilfældet med USA. Det betyder, at du ikke bare kan klippe-klistre dem ind og få kontrakten underskrevet. Du er nødt til at sikre dig, at SCC'erne virkelig fungerer for din dataoverførsel, og hvis de ikke gør det, skal du kompensere for den manglende beskyttelse på en eller anden måde. Problemet er bare, at det kan være utrolig vanskeligt at gøre.
Efterdønningerne af Schrems II
Umiddelbart efter fældningen af Schrems II, affyrede privacy-organisationen noyb (med Schrems ved roret) 101 strategisk rettede klager mod Google Analytics og Facebook Connect. Formålet var at presse de europæiske instanser til en konsekvent implementering af Schrems II.
De europæiske myndigheder koordinerede deres respons på disse klager, og resultatet var, at databeskyttelsesorganerne i Østrig, Frankrig, Italien, Finland, Norge, Danmark og Sverige afviste Google Analytics i deres afgørelser af noybs klager (bemærk, at Norges afgørelse endnu er midlertidig).
Alle disse afgørelser pejer i samme retning:
Google Analytics kan ikke sikre personlige data.
Med denne koordinerede indstilling på europæisk niveau, og med Frankrig og Italien i førersædet, vil flere myndigheder sandsynligvis følge trop. Det skal bemærkes, at selvom disse afgørelser officielt kun vedrører en specifik hjemmeside, så er de i realiteten et generelt slag mod Google Analytics. Den simple grund er, at virksomheder har minimal eller ingen mulighed for at beskytte personlige data mod overvågning, når de benytter Google Analytics.
Både myndigheder og eksperter på området er fuldt ud bevidste om, hvad der er på spil. Derfor har juridiske stridigheder omkring Google Analytics fået massiv opmærksomhed (dog ikke på TV2 News niveau), og Det Europæiske Databeskyttelsesråd har trådt i karakter for at sikre en ensartet implementering af Schrems II, frem for at overlade det til de enkelte landes myndigheder.
Mere end bare Google Analytics
Denne sag handler om mere end bare Google Analytics. For nogle måneder siden slog den irske myndighed ned på Meta (tidligere Facebook) med en gigantisk bøde på 1,2 milliarder euro og påbød virksomheden at indstille dataoverførsler til USA. Det har skabt en meget realistisk risiko for, at Facebook lukker ned i Europa.
For at være krystalklar, så er webanalyse og sociale netværk kun toppen af isbjerget for EU. En konsekvent implementering af Schrems II kan nemlig risikere at ramme utallige amerikanske udbydere, inklusiv nogle, der i øjeblikket er afgørende for europæiske virksomheder. Tænk eksempelvis på Oracle eller AWS (Amazon Web Services).
EU og USA arbejder i øjeblikket på en ny ramme for dataoverførsler for at løse denne gordiske knude. Men denne ramme skal stadig godkendes af medlemslandene og - det mest afgørende - klare sig igennem en juridisk udfordring ved EU-domstolen. Hvordan en "Schrems III"-dom vil falde ud er endnu uvist, men på nuværende tidspunkt er skæbnen for dataoverførsler mellem EU og USA stadig usikker.
Konklusion
I kølvandet på afgørelserne fra de franske og italienske databeskyttelsesinstanser, har stadig flere nationale myndigheder udtrykt deres holdninger om Google Analytics.
Nu begynder bøderne at tikke ind, og det er altså ikke et minut for tidligt at du overvejer at sige farvel til Google Analytics!
Lad os heller ikke glemme, at problematikken omkring dataoverførsler blot er toppen af isbjerget for Google Analytics. Vi taler om en enorm dataopsamlingsmaskine, der suger enorme mængder persondata til sig, og sammenkobler disse med endnu mere persondata, som er indsamlet af andre tjenester i Googles økosystem.
Hvis GDPR virkelig blev håndhævet effektivt, ville Google Analytics være ulovligt baseret på det, Google gør med persondata, uanset hvor dataet ender.