Oostenrijkse DSB: gebruik van Google Analytics is in strijd met "Schrems II"-uitspraak van het HJEU
In een baanbrekende beslissing heeft de Oostenrijkse gegevensbeschermingsautoriteit ("Datenschutzbehörde" of "DSB") in een modelzaak van noyb beslist dat het continue gebruik van Google Analytics in strijd is met de GDPR. Dit is de eerste beslissing over de 101 modelklachten die noyb heeft ingediend in de nasleep van het zogenoemde "Schrems II"-besluit. In 2020 besliste het Hof van Justitie (HJEU) dat het gebruik van Amerikaanse providers in strijd is met de GDPR, omdat Amerikaanse surveillancewetten Amerikaanse providers zoals Google of Facebook verplichten persoonsgegevens te verstrekken aan Amerikaanse autoriteiten. Soortgelijke beslissingen worden verwacht in andere EU-lidstaten, aangezien regelgevers in deze zaken hebben samengewerkt in een EDPB-"taskforce". Het lijkt erop dat het Oostenrijkse DSB-besluit het eerste is dat wordt uitgevaardigd.
2020 HJEU arrest raakt de echte wereld. In juli 2020 heeft het HJEU zijn baanbrekende "Schrems II"-arrest gewezen, waarin het oordeelt dat een doorgifte aan Amerikaanse aanbieders die onder FISA 702 en EO 12.333 vallen, in strijd is met de regels inzake internationale doorgifte van gegevens in de GDPR. Het HJEU verklaarde bijgevolg de doorgifteovereenkomst "Privacy Shield" nietig, nadat het in 2015 de vorige overeenkomst "Safe Harbor" nietig had verklaard. Hoewel dit schokgolven door de techindustrie heeft gestuurd, hebben Amerikaanse providers en EU data-exporteurs de zaak grotendeels genegeerd. Net als Microsoft, Facebook of Amazon heeft Google vertrouwd op zogenaamde "Standard Contract Clauses" om de gegevensoverdracht voort te zetten en zijn Europese zakenpartners te kalmeren.
Max Schrems, erevoorzitter van noyb.eu:"In plaats van daadwerkelijk diensten aan te passen om GDPR-compliant te zijn, hebben Amerikaanse bedrijven geprobeerd om gewoon wat tekst aan hun privacybeleid toe te voegen en het Hof van Justitie te negeren. Veel bedrijven in de EU hebben het voorbeeld gevolgd in plaats van over te stappen op juridische opties."
SCC's en "TOM's" niet genoeg. Hoewel Google heeft beweerd dat het "Technische en Organisatorische Maatregelen" ("TOMs") heeft geïmplementeerd, waaronder ideeën zoals het hebben van hekken rond datacentra, het herzien van verzoeken of het hebben van basislijn encryptie, heeft het DSB deze maatregelen verworpen als absoluut nutteloos als het gaat om VS surveillance (pagina 38 en 39 van het besluit):
"Met betrekking tot de geschetste contractuele en organisatorische maatregelen is het niet duidelijk, in hoeverre [de maatregel] effectief is in de zin van de bovenstaande overwegingen."
"Voor zover het de technische maatregelen betreft, is evenmin herkenbaar (...) in hoeverre [de maatregel] de toegang door Amerikaanse inlichtingendiensten daadwerkelijk zou voorkomen of beperken gelet op de Amerikaanse wetgeving."
Max Schrems:"Dit is een zeer gedetailleerd en degelijk besluit. Waar het op neerkomt is: Bedrijven kunnen geen Amerikaanse clouddiensten meer gebruiken in Europa. Het is nu 1,5 jaar geleden dat het Hof van Justitie dit voor de tweede keer bevestigde, dus het wordt meer dan tijd dat de wet ook gehandhaafd wordt."
Besluit relevant voor bijna alle EU-websites. Google Analytics is het meest gebruikte statistiekenprogramma. Hoewel er veel alternatieven zijn die in Europa worden gehost of zelf kunnen worden gehost, vertrouwen veel websites op Google en geven zij hun gebruikersgegevens door aan de Amerikaanse multinational. Het feit dat gegevensbeschermingsautoriteiten Amerikaanse diensten nu geleidelijk illegaal kunnen verklaren, zet bedrijven in de EU en Amerikaanse providers extra onder druk om over te stappen op veilige en legale opties, zoals hosting buiten de VS. Een soortgelijk besluit over doorgiften tussen de EU en de VS werd een week eerder genomen door de Europese Toezichthouder voor gegevensbescherming (EDPS).
Max Schrems:"We verwachten dat soortgelijke beslissingen nu geleidelijk in de meeste EU-lidstaten zullen vallen. We hebben 101 klachten ingediend in bijna alle lidstaten en de autoriteiten hebben de reactie gecoördineerd. Een soortgelijk besluit is vorige week ook door de Europese Toezichthouder voor gegevensbescherming genomen."
Oplossing op lange termijn. Op lange termijn lijken er twee opties te zijn: Of de VS past de basisbescherming voor buitenlanders aan om hun tech-industrie te ondersteunen, of Amerikaanse providers zullen buitenlandse data buiten de Verenigde Staten moeten hosten.
Max Schrems:"Op lange termijn hebben we ofwel goede bescherming in de VS nodig, of we zullen eindigen met afzonderlijke producten voor de VS en de EU. Persoonlijk zou ik de voorkeur geven aan betere bescherming in de VS, maar dat is de taak van de Amerikaanse wetgever - niet van iemand in Europa."
Google LLC valt niet onder Transfer Rules? Het DSB heeft claims tegen Google LLC als ontvanger van gegevens afgewezen, door te stellen dat de regels voor gegevensoverdracht alleen gelden voor EU-entiteiten en niet voor de ontvangers in de VS. Het DSB zei echter dat het Google LLC verder zal onderzoeken in verband met mogelijke schendingen van de artikelen 5, 28 en 29 van de GDPR, omdat het twijfelachtig lijkt of Google persoonsgegevens aan de regering van de VS mocht verstrekken zonder een uitdrukkelijk bevel van de gegevensexporteur in de EU. Het DSB zal hierover een afzonderlijk besluit nemen.
Max Schrems:"Voor ons is het van cruciaal belang dat de Amerikaanse providers het probleem niet zomaar kunnen afschuiven op EU-klanten. Daarom hebben wij de zaak ook tegen de Amerikaanse ontvanger aangespannen. Het DSB heeft deze aanpak gedeeltelijk verworpen. We zullen bekijken of we tegen dit onderdeel van de beslissing in beroep gaan."
(Nog) geen sanctie. Het besluit gaat niet over een mogelijke sanctie, omdat dit wordt gezien als een "openbare" handhavingsprocedure, waarbij de klager niet wordt gehoord. Er is geen informatie of er een sanctie is opgelegd of dat het DSB van plan is ook een sanctie op te leggen. De GDPR voorziet in dergelijke gevallen in boetes tot 20 miljoen euro of 4% van de wereldwijde omzet.
Max Schrems:"We zouden ervan uitgaan dat er ook een boete is voor de gegevensexporteur in de EU, maar we hebben tot nu toe slechts een gedeeltelijk besluit ontvangen dat niet ingaat op deze vraag."
Verdere handhaving door Duitse gegevensbeschermingsautoriteiten. Omdat de Oostenrijkse gegevensexporteur is gefuseerd met een Duitse onderneming was het Oostenrijkse DSB alleen in het verleden bevoegd voor de inbreuken. Het DSB zei dat het een verbod op toekomstige gegevensoverdrachten aan de orde zal stellen bij de bevoegde autoriteit in het nieuwe hoofdkantoor van de gegevensexporteur in Duitsland.
Achtergrond & juridische analyse. noyb heeft ook een diepere juridische analyse gepubliceerd op GDPRhub.eu.