Kroken på døren for Google Analytics i Europa?

IP-adresser, nettleserparametere og pseudonymisert cookie-informasjon til analyseformål er personopplysninger, konkluderte det østerrikske datatilsynet før helgen.

Datatilsynet i Østerrike (DSB) konkluderte 13. januar med at bruken av Google Analytics, er ulovlig. Vedtaket dreper i prinsippet verdens mest brukte analyseverktøy, noe som vil ha store markedsmessige konsekvenser for Google.

Norske virksomheter kan også bli med i dragsuget dersom de ikke følger med i timen.

Selv om datatilsynet i Østerrike ikke rettslig kan binde norske virksomheter, er det sannsynlig at lignende vedtak også vil komme i Norge i løpet av kort tid. Dette skyldes at den europeiske personvernlovgivningen skal forstås og tolkes likt, uavhengig av hvilket europeisk datatilsyn som behandler klagen.

Det norske Datatilsynet har allerede nå uttalt at det vil anbefale norske virksomheter å se etter andre alternativer til Google Analytics. Nettsideeiere som benytter seg av Google Analytics gjør derfor lurt i å enten vurdere alternative leverandører av analyseverktøy som oppbevarer personopplysningene i Europa, eller få på plass tiltak som for eksempel å oppbevare krypteringsnøkkelen trygt i EØS-området.

Avgjørelsen kom etter at personvernaktivisten Maximilian Schrems og hans personvernorganisasjon Noyb («None of your business») klaget inn 101 europeiske virksomheter, hvorav tre norske selskaper, for brudd på reglene om overføring av personopplysninger til land utenfor EØS.

Felles for virksomhetene er at de alle har brukt Google Analytics eller Facebook Connect.

Masseproduksjonen av klager fra personvernorganisasjonen er en reaksjon på at mange aktører i både EU og USA har ignorert EU-domstolens Schrems II-avgjørelse fra 16. juli 2020. Dommen fastslo at amerikanske myndigheters etterretningsadgang og mangel på rettsmidler krenker europeisk personvern.

Klager er en person som besøkte en østerriksk nettside om helse samtidig som vedkommende var innlogget på sin Google-konto. DSB mente at personens opplysninger ble overført til USA på ulovlig vis.

Google mente at selv om nettsidens bruk av Google Analytics innebar overføring av data til USA, var ikke dataene å anse som «personopplysninger». Google argumenterte også for at selskapet uansett hadde implementert tilstrekkelige sikkerhetstiltak for å beskytte eventuelle personopplysninger. I alle tilfeller mente Google at det var liten sannsynlighet for at amerikansk etterretning ville være interessert i de personopplysningene Google eventuelt mottok.

Det østerrikske datatilsynet avviste disse påstandene.

Avgjørelsen fra DSB viser at ip-adresser, nettleserparametere og pseudonymisert cookie-informasjon til analyseformål er personopplysninger. Dette gjelder uavhengig av om de siste sifrene i ip-adressen er blitt fjernet, noe mange virksomheter har trodd var en tilstrekkelig anonymisering.

Dermed krever informasjonen samme beskyttelse som «vanlige personopplysninger».

Kravet til beskyttelse gjelder med andre ord uavhengig om informasjonen inneholder direkte opplysninger om identiteten til brukeren av nettsiden som navn, adresse og telefonnummer, eller om identifisering kun muliggjøres indirekte.

Behandlingen av vedtaket har også bevist at Google i stor grad, uavhengig av den gjennomførte pseudonymiseringen, klarer å gjenkjenne brukerne hvis de er logget inn på sin Google-konto. I vurderingen av om Google overførte personopplysninger ut av EØS fant DSB det ikke relevant at Google selv ikke sitter på alle opplysningene som kreves for å muliggjøre en faktisk identifisering.

DSB viste videre til at Googles organisatoriske sikkerhetstiltak ikke var tilstrekkelige. Avtalerettslige forpliktelser gir dårlig beskyttelse overfor amerikansk etterretning, siden avtalene ikke binder amerikanske myndigheter.

For tekniske tiltak konkluderte DSB med at det var usikkert om det er mulig å beskytte data som overføres fra EØS til USA fra den amerikanske etterretningen. DSB konkluderer derfor med at Googles kryptering av data lagret i USA ikke vil være tilstrekkelig beskyttelse av dataene så lenge amerikanske myndigheter i henhold til såkalte Fisa 702 kan pålegge Google å utlevere også krypteringsnøkkelen.

Foreløpig er det ikke kjent om den aktuelle nettsideeieren har fått eller vil få bot for sin bruk av Google Analytics.

Selv om Noyb har uttalt at organisasjonens hovedmål ikke er tilfeldige europeiske virksomheter og forbrukere, men at de ønsker å legge press på amerikanske myndigheter og de store amerikanske tilbyderne, vil bøter på opptil 20 millioner euro eller fire prosent av organisasjonens globale årlige omsetning svi godt.

Schrems og Noyb har vist at de er på krigsstien, og det vil nok ikke endre seg med det første.

Artikkelen er skrevet av advokat Christine Stousland, og ble første gang publisert i DN 18.01.2022