De Oostenrijkse databeschermingsautoriteit vindt dat het gebruik van Google Analytics door Europese websites in strijd is met de GDPR. De impact van de uitspraak is onduidelijk maar kan groot zijn.
Websites die Google Analytics gebruiken, schenden de GDPR. Dat vindt de Oostenrijkse databeschermingsautoriteit. Momenteel is het niet toegestaan om persoonsgegevens van Europeanen naar de VS te exporteren. Dat mag alleen als bedrijven de garantie kunnen bieden dat Europese gegevens beschermd zijn van overheidsspionage in de VS, en de verregaande spionagewetgeving in dat land maakt dergelijke garanties onmogelijk. Het Europese Hof van Justitie bevestigde die situatie al twee keer in de Schrems I en Schrems II-arresten.
Google Analytics
De arresten speelden tot nog toe vooral een belangrijke rol bij datatransfers van bijvoorbeeld Facebook, die vrij duidelijk in strijd zijn met de geldende wetgeving. De Oostenrijkse autoriteit vindt nu dat ook het gebruik van Google Analytics in strijd is met de GDPR.
Google Analytics is een standaardtool gebruikt door website-uitbaters wereldwijd om in het oog te houden wat er op hun site gebeurt (hoeveel bezoekers krijgt een pagina, blijven die bezoekers lang of niet, klikken ze door naar andere pagina’s…).
De uitspraak is opvallend, aangezien Analytics niet als doel heeft om personen te identificeren. Gegevens van bezoekers worden wel verwerkt om de prestaties van een site te monitoren, maar dat kan indien gewenst aan de hand van geanonimiseerde IP-adressen.
Unieke ID’s als persoonsgegevens
De Oostenrijke regulator stelt nu vast dat er wel degelijk transfers van persoonsgegevens plaatsvinden wanneer een Europees uitgebate website Analytics gebruikt. IP-adressen anonimiseren zou niet volstaan als oplossing. Google argumenteert dat de data geen persoonlijke gegevens betreft, maar daarin volgen de Oostenrijkers niet. Naast IP-adressen omschrijft de uitspraak ook unieke identificatienummers en browserparameters als problematisch.
Een uniek ID wordt onder andere gebruikt om vast te stellen of een websitebezoeker al eerder een specifieke site heeft bezocht. Dat is voor de uitgever relevant om websites en content te optimaliseren. Het ID wordt niet aan verdere informatie gelinkt, maar telt volgens de regulator toch als een persoonsgegeven. Voor artikel 4 van de GDPR maakt het echter niet uit of een uniek ID gekoppeld is aan een identificeerbaar persoon. Het feit dat zoiets theoretisch mogelijk is, volstaat.
Mogelijke impact
De uitspraak kwam er na een klacht van privacyvoorvechtersgroepering Noyb. Die organisatie wordt geleid door Maximiliaan Schrems van de gelijknamige arresten. De klacht was gericht tegen een niet nader genoemde website, waarbij de specifieke situatie werd onderzocht.
Het is onduidelijk in welke mate deze uitspraak zal resoneren op het brede gebruik van analytics. Noyb heeft nog zo’n honderd gelijkaardige klachten ingediend, verspreid over de meeste lidstaten. Als onderdeel van de GDPR coördineren de databeschermingsautoriteiten hun uitspraken, zodat toekomstige vonnissen in principe in lijn liggen met deze eerste Oostenrijkse uitspraak.
Transfers en verder gebruik analytics
De kern van de zaak lijkt dat Google Analytics bezoekers een anonieme maar unieke identificatiecode toekent. Die stelt website-uitbaters in staat om na te gaan hoe mensen hun site bezoeken. De codes zijn volgens de Oostenrijkse interpretatie van de GDPR persoonsdata. Bij het gebruik van Analytics komen de codes op de Amerikaanse infrastructuur van Google terecht, en vindt er dus een uitwisseling van persoonsgegevens plaats waarvoor momenteel geen toereikend juridisch kader bestaat. De uitwisseling is dan ook illegaal. Daardoor wordt het gebruik van Google Analytics in casu onmogelijk.
Om de werkelijke impact te zien, moeten we verdere uitspraken van andere regulatoren afwachten. De Oostenrijkse visie is in ieder geval problematisch voor websites groot en klein over de hele EU. Google Analytics is immers de standaard voor website-analyse. Het valt verder op dat privacygroepering Noyb zich met deze kruistocht niet langer tegen technologiereuzen richt, maar een impact wil hebben op Europese organisaties groot en klein.