Is Google Analytics in strijd met de GDPR?


In een opmerkzame beslissing gepubliceerd op 13 januari 2022 heeft de Oostenrijkse gegevensbeschermingsautoriteit het gebruik van Google Analytics op een Oostenrijkse website als strijdig met de GDPR bestempeld.

De procedure in kwestie werd opgestart ingevolge een klacht van NOYB, de ngo van privacyactivist Max Schrems, die doorheen de hele EER maar liefst 101 identieke modelklachten indiende in navolging van het Schrems II-arrest.

De eerste beslissing hierover lijkt nu gevallen te zijn voor de Oostenrijkse gegevensbeschermingsautoriteit ten aanzien van de beheerder van een Oostenrijkse website wegens het gebruik van Google Analytics.

Door de implementatie van Google Analytics vinden doorgiftes van persoonsgegevens plaats via de website van de Oostenrijkse onderneming naar de servers van Google in de Verenigde Staten. Aangezien Google in de VS kwalificeert als een elektronische communicatiedienst, is zij onderhevig aan Amerikaanse surveillantieregelgeving die de nationale inlichtingendiensten toelaat om zich toegang te (laten) verschaffen tot data beheerd door Amerikaanse ondernemingen, ook als het gaat om persoonsgegevens van Europeanen.


Ingevolgen Schremsn II moet een Transfer Impact Assessment te gebeuren om te kijken welke bijkomende maatregelen er moeten genomen worden om de verwerkte persoonsgegevens veilig te houden.

De door Google naar voor gebrachte HTTPS en bijkomende Google-encryptie werd als onvoldoende aanzien, onder meer omdat Google zelf de cryptografische sleutel bij zich houdt. Ook het reviewen van daadwerkelijke toegang door de Amerikaanse overheidsdiensten door Google met bijhorende berichtgeving naar klanten en de gepubliceerde policies en transparency reports van Google werden allemaal als niet voldoende aanzien. Ook de anonimisering van IP-adressen die Google optioneel voorziet werd als onvoldoende bescherming aanzien.

Conclusie

Deze beslissing wijst erop dat gebruikmaken van Amerikaanse cloudtoepassingen niet zomaar toegestaan is indien hierbij persoonsgegevens verwerkt worden. In 2021 werd door een Duitse toezichthouder al een gelijkaardige beslissing geveld waar zij het gebruik van MailChimp door een Duitse onderneming onrechtmatig achtte omdat persoonsgegevens werden bewaard in de VS zonder dat de onderneming een transfer impact assessment had uitgevoerd.

Het uitvoeren van een analyse van de tool en de mogelijke risico's die dit met zich meebrengt en het nemen van bijkomende veiligheidsmaatregelen is aldus vereist, zelfs voor tools zoals Google Analytics en Mailchimp.