Google Analytics kan være ulovlig

Det østerrikske datatilsynet (DSB) har undersøkt et nettsteds bruk av Google Analytics. De kom frem til at bruk av Google Analytics innebærer at personopplysninger sendes til USA.

– I lys av Schrems II-dommen fra EU-domstolen, som setter strenge vilkår for overføring av personopplysninger ut av EØS, kom våre østerrikske kolleger frem til at denne overføringen var ulovlig, forteller seksjonssjef Tobias Judin.

Også datatilsynet for EU-organene (EDPS) har kommet med en tilsvarende avgjørelse. Datatilsynet i Norge behandler også for tiden én sak som gjelder bruk av Google Analytics.

– Selv om vi ikke har konkludert i disse sakene, vil vi se hen til europeisk praksis i saksbehandlingen, sier Judin.

Vi vet at det også vil komme flere avgjørelser om Google Analytics fra andre europeiske datatilsynsmyndigheter. Derfor anbefaler vi nå alle å utforske alternativer til Google Analytics.

Tilsvarende avgjørelse i Frankrike

Det franske datatilsynet (CNIL) kom 10. februar med en tilsvarende avgjørelse. De kom også frem til at Google Analytics innebærer at personopplysninger sendes til USA. I tillegg pålegger de en fransk nettsideadministrator om å overholde personvernforordningen og, om nødvendig, slutte å bruke tjenesten under gjeldende forhold.

Les pressemelding fra CNIL på engelsk (cnil.fr).

Generelt problem

I Google Analytics er det mulig å avidentifisere IP-adressene til nettstedbrukerne, men det er viktig å merke seg at dette ikke vil løse problemene som det østerrikske datatilsynet trekker frem. Østerrikerne trekker frem at Google Analytics også innebærer cookies, og de erfarer at dersom en bruker fra før er logget på en Google-konto, er det mulig å koble analysedataene til Google-kontoen deres.

– Det er ikke nødvendigvis forbudt å sende personopplysninger til USA, men man må som regel iverksette en rekke tiltak for at dette skal være lovlig, sier Judin.

I den konkrete saken fant det østerrikske datatilsynet at slike tiltak ikke var på plass. Siden Google kontrollerer datainnhentingen og overføringen, vil det i praksis være vanskelig å se hvordan nettstedeiere kan sørge for at de nødvendige tiltakene er implementert.

Påvirker også andre verktøy

Selv om denne konkrete saken gjaldt Google Analytics, er det viktig å merke seg at også andre nettstedverktøy kan sende personopplysninger til USA. Flere verktøy sender mye mer data enn Google Analytics gjør. Derfor er det viktig at nettstedeiere har full oversikt over hvilke verktøy de bruker og hvilke personopplysninger de behandler gjennom verktøyene.

– Mange verktøy kan være ulovlige å bruke, og da må nettstedene fjerne dem omgående. I alvorlige saker risikerer man sanksjoner fra Datatilsynet, og siden det er så mye oppmerksomhet rundt disse problemstillingene nå, regner vi med å motta flere klager, sier Judin.

101 klagesaker

Etter at Schrems II-dommen ble avsagt sommeren 2020, har organisasjonen noyb klagd inn en rekke nettsider over hele EØS for bruk av Google Analytics (noyb.eu). Derfor sitter datatilsynsmyndigheter i hele Europa og behandler svært like klager, også Datatilsynet. Tilsynsmyndighetene har koordinert saksbehandlingen i en egen arbeidsgruppe i kontekst av Det europeiske personvernrådet (EDPB), og det er ventet at det kommer flere vedtak om bruk av Google Analytics i løpet av 2022.

Se avgjørelsen fra det østerrikske datatilsynet på tysk (pdf). Noyb har også gjort tilgjengelig en maskinoversatt versjon av avgjørelsen på engelsk på sine nettsider (noyb.eu).

Hva er ditt behov for webstatistikk?

Novacare har laget et eget analyseverktøy for Datatilsynet og har skrevet et blogginnlegg i kjølvannet av Google Analytics-vurderingene, som kan være til inspirasjon.

Hva er ditt behov for webstatistikk?