Nyheder

En nyhed fra Danske Advokaters fagudvalg for databeskyttelse.

Af advokat Birgitte Toxværd, partner i Horten

I december 2021 traf det østrigske datatilsyn en afgørelse vedrørende Google Analytics. Tilsynet fandt, at en østrigsk virksomheds brug af Google Analytics var i strid med GDPR. Efterfølgende har både den europæiske datatilsynsmyndighed samt de franske og italienske datatilsyn fulgt trop med lignende afgørelser.

I kølvandet herpå har det danske datatilsyn undersøgt Google Analytics og dets indstillinger, vilkår og værktøjer, og den 21. september 2022 udsendte Datatilsynet en noget overraskende nyhed om Google Analytics. Datatilsynet meldte nemlig ud, at brugen af Google Analytics med standard konfigurationsindstillinger er i strid med GDPRs kapitel 5 om internationale overførsler, særligt til USA, og at virksomheder, der bruger Google Analytics skal træffe supplerende foranstaltninger for at anvende værktøjet lovligt. Tilsynet giver i udtalelsen også et bud på sådanne supplerende foranstaltninger, nemlig at oplysningerne - før de overføres til Google - bliver "pseudonymiserede", dvs. at de bliver omdannet til en form, hvor Google ikke kan bruge oplysningerne til at koble oplysningerne med de oplysninger, Google selv har om en bruger. Marketing-eksperter siger, at det i praksis vil indebære, at Google ikke kan spore personer rundt på internettet.

Helt grundlæggende er Google Analytics bygget op om et unikt ID, som hver bruger får, og som kan spore brugeren rundt mellem forskellige hjemmesider og med lidt udvidede indstillinger, både hos brugeren og hjemmesideindehaveren, også på tværs af brugerens udstyr. Det unikke ID lægger Google på brugernes browser via en cookie ved et besøg på en hjemmeside, der anvender Google Analytics.

Det unikke ID har en stor økonomisk værdi. Hvis du fx tilgår en hjemmeside fra en tablet den ene dag og en pc den næste dag, følger Google altså med rundt. Viden om dine interesser er penge værd og kan sælges til højstbydende i det bagvedliggende real-time-bidding system, hvor (ultimativt) annoncører og udbydere af reklameplads på hjemmesider handler baseret på interesseniveauet hos den bruger, der besøger hjemmesiden, og den pris en annoncør er villig til at betale for reklamepladsen.

Det unikke ID kan på samme måde anvendes til at spore, om en reklamekampagne på forskellige medier ender i et salg på annoncørens hjemmeside, dvs. det giver en indsigt i marketingmetoder; hvad virker, og hvad virker ikke.

Problemet er som sådan ikke denne sporing rundt på nettet, for det kan brugeren give samtykke til, hvis det formuleres rigtigt hos de involverede parter, men med Google Analytics er det springende punkt de mange datacentre og underleverandører i de såkaldt usikre tredjelande. Så længe Google ikke holder data-økosystemet med sporing rundt på hjemmesider inden for EU, vil der skulle være supplerende foranstaltninger i forbindelse med tredjelandsoverførsler. Cloud rimer ikke godt på EU, hverken datamæssigt eller økonomisk.

Datatilsynet konstaterer fx, at der opstår problemer, når brugere i tredjelande opkobler til et Google datacenter i tredjelande i forbindelse med besøg på en dansk hjemmeside. Googles datacentre har – formoder Datatilsynet – en firewall som en del af almindelige sikkerhedsforanstaltninger for at beskytte deres infrastruktur. En firewall logger typisk indkommen datatrafik, herunder den fulde IP-adresse.

Hermed opstår der et problem med GDPR. Selvom Google i forbindelse med brugen af Google Analytics ikke logger eller gemmer IP-adresser, vil IP-adresserne fra firewall-loggen nemlig kunne sammenstilles med de øvrige data, der er logget i Google Analytics, og alt dette kan ske i datacentre fx i USA. Googles EU-selskaber kan også anvende underdatabehandlere fx i USA og andre tredjelande, og p.t. har Google en meget lang liste over underleverandører i både sikre og usikre tredjelande, og mange i USA.

GDPR stiller strenge krav til overførsler af personoplysninger til usikre tredjelande, og den måde, som Google overfører personoplysninger på som standard, er ifølge Datatilsynet ikke tilladt efter Det Europæiske Databeskyttelsesråds retningslinjer, der fulgte i kølvandet på Schrems II-dommen fra juli 2020.

Det store spørgsmål er herefter, hvad man som virksomhed kan gøre for at løse denne problematik. Det kom det franske datatilsyn, CNIL, med et forslag til i form af "server side tracking". Datatilsynet henviser direkte til denne løsning i sin udtalelse om Google Analytics. Forslaget går ud på, at alle de data, der er personhenførbare, som minimum skal "pseudonymiseres" eller helt fjernes, inden de sendes til usikre tredjelande. Det vil helt konkret sige, at man ikke længere kan sende oplysningerne direkte fra brugernes enhed via cookies til Google eller nærmeste Google datacenter. Dataene skal først forbi en "mellemstation" i form af en "proxy server". Denne proxy server er en server, som hostes af eller på vegne af virksomheden i EU. På denne server kan oplysningerne modificeres, så de ikke længere er personhenførbare. Dvs. at fx IP-adresse og det unikke ID pseudonymiseres, inden de sendes videre. Pseudonymisering af det unikke ID er en udfordring for virksomhedernes datakvalitet, da Google derved ikke vil være i stand til at genkende brugeren på tværs af hjemmesider og udstyr og den mindre sporing giver ikke lige så gode data.

Mulighederne for at føre præcis statistik på de besøgende fx i forhold til hvilke sider, brugerne kommer fra, afskæres dog ved "server side tracking". Det begrænser fx muligheden for at måle, om en kampagne har haft den ønskede effekt.

Den amerikanske præsident, Joe Biden, underskrev den 7. oktober 2022 "Executive Order to Implement the European Union-U.S. Data Privacy Framework" (DPF). DPF skal i praksis afløse EU – U.S. Privacy Shield, som blev underkendt af EU-Domstolen med Schrems II-dommen i juni 2020. Dette løser på nuværende tidspunkt desværre ikke alle problematikker om tredjelandsoverførsler til USA, da der er datacentre og underdatabehandlere i mange andre usikre tredjelande end USA. Der er også stadig et stykke tid til, at virksomheder i EU reelt kan benytte DPF som overførselsgrundlag, og det hele er nok tidligst på plads i løbet af Q2 i 2023.

Det tidspunkt, hvor man kan benytte DPF som overførselsgrundslag, når man bruger Google Analytics eller andre lignende tjenester, ligger derfor formentlig stadig et stykke ud i fremtiden. Derudover venter Maximillian Schrems på sidelinjen og er klar til at udfordre DPF ved EU-Domstolen i en kommende "Schrems III".