English version below

De Oostenrijkse gegevensbeschermingsautoriteit (Datenschutzbehörde) heeft besloten dat het gebruik van Google Analytics in strijd is met de AVG. De Oostenrijke privacytoezichthouder oordeelde dat bij het gebruik van Google Analytics persoonsgegevens (waaronder user identifiers, IP-adressen en browserparameters) gedeeld worden met Google in de VS. Na de Schrems II uitspraak van het Europese Hof van Justitie mogen persoonsgegevens alleen onder doorgegeven worden naar derde landen als er voldoende aanvullende waarborgen getroffen zijn. De gebruiker van Google Analytics in dit geval voldeed daar niet aan.

Doorgifte van persoonsgegevens naar de VS

Op grond van de AVG mogen persoonsgegevens alleen doorgegeven worden naar landen buiten de Europese Economische Ruimte (EER) als er sprake is van een adequaat beschermingsniveau. Dat adequate beschermingsniveau kan op verschillende manieren geborgd worden. Doorgifte naar de VS vond in veel gevallen plaats op basis van het Privacy Shield. In de Schrems II uitspraak is bepaald dat de doorgifte naar de VS op grond van het Privacy Shield nietig is omdat de VS geen beschermingsniveau bieden dat gelijkwaardig is aan het niveau binnen de Europese Unie. Doorgifte naar de VS kan sinds juni 2020 alleen nog plaatsvinden op basis van goedgekeurde binding corporate rules of de model contractsbepalingen (standard contractual clauses (SCC)) van de Europese Unie mits de doorgevende organisatie daarbij aanvullende waarborgen treft om in een adequaat beschermingsniveau te voorzien.

Oordeel van de Oostenrijkse privacytoezichthouder

De Oostenrijkse toezichthouder stelt dat weliswaar tussen de gebruiker van Google Analytics en Google SCC gesloten worden én aanvullende waarborgen getroffen worden maar dat deze gezien de Amerikaanse surveillance wetgeving niet toereikend zijn. Zo schrijft de toezichthouder op haar website: “De maatregelen die naast de standaardbepalingen inzake gegevensbescherming werden uitgevoerd, waren vanuit het oogpunt van de gegevensbeschermingsautoriteit niet doeltreffend, aangezien zij de door het Hof van Justitie geïdentificeerde mogelijkheden voor toezicht en toegang door Amerikaanse inlichtingendiensten niet uitsloten.”. Het gebruik van Google Analytics is daarom in strijd met de AVG. Deze uitspraak kan vergaande gevolgen hebben wanneer dit standpunt door meer toezichthouders wordt overgenomen.

De Nederlandse privacytoezichthouder over Google Analytics

De Nederlandse tegenhanger van de Datenschutzbehörde, de Autoriteit Persoonsgegevens (AP), publiceerde al een aantal jaar geleden een handleiding voor het privacy vriendelijk instellen van Google Analytics. Die handleiding is nu geüpdatet met een bericht dat de AP naar aanleiding van twee klachten het gebruik van Google Analytics in Nederland onderzoekt. De AP schrijft dat zij begin 2022 aan zal geven of het gebruik van Google Analytics is toegestaan of niet. To be continued!

Meer informatie of vragen?

Mocht u naar aanleiding van dit bericht vragen hebben, aarzel dan niet om contact op te nemen met Caro Mennen via caro.mennen@pellicaan.nl of een van de andere leden van het privacy team.

Google Analytics soon to be banned?!

The Austrian Data Protection Authority (Datenschutzbehörde) has decided that the use of Google Analytics constitutes a violation of the GDPR. The Austrian privacy regulator ruled that when using Google Analytics, personal data (including user identifiers, IP addresses and browser parameters) are shared with Google in the US. Following the Schrems II ruling of the European Court of Justice, personal data may only be transferred to third countries if sufficient additional safeguards have been created. The user of Google Analytics in this case did not comply with this obligation.

Transfer of personal data to the US

Pursuant to the GDPR, personal data may only be transferred to countries outside the European Economic Area (EEA) if there is an adequate level of protection. That adequate level of protection can be ensured in various ways. In many cases, transfer to the US took place on the basis of the Privacy Shield. In the Schrems II judgment it was ruled that the transfer to the U.S. on the basis of the Privacy Shield is void because the U.S. does not offer a level of protection that is equivalent to the level within the European Union. Since June 2020, transfers to the US can only take place on the basis of approved binding corporate rules or the European Union's standard contractual clauses (SCC) provided that the transferring organization provides additional safeguards to ensure an adequate level of protection.

Judgment of the Austrian privacy regulator

The Austrian regulator states that although SCC have been concluded between the user of Google Analytics and Google as well as that even though additional safeguards are in place, these are not sufficient given the US surveillance legislation . The Austrian regulator writes on its website: "The measures implemented in addition to the standard data protection provisions were not effective from the point of view of the DPA, since they did not exclude the possibilities of surveillance and access by U.S. intelligence agencies identified by the ECJ." The use of Google Analytics therefore violates the GDPR. This ruling could have far-reaching consequences if this position is adopted by more regulators.

The Dutch privacy regulator on Google Analytics

The Dutch counterpart of the Datenschutzbehörde, the Autoriteit Persoonsgegevens (AP), already published a manual for the privacy-friendly setup of Google Analytics a few years ago. That manual has now been updated with a notice that, in response to two complaints, the AP is investigating the use of Google Analytics in the Netherlands. The AP writes that in early 2022 it will indicate whether the use of Google Analytics is permitted or not. To be continued!

More information or questions?

If you have any questions regarding this message, please do not hesitate to contact Caro Mennen or one of the other members of the privacy team.