Det østrigske datatilsyn har truffet afgørelse i en sag, hvor en østrigsk virksomhed har gjort brug af værktøjet Google Analytics på sin hjemmeside.
I kølvandet på EU-Domstolens afgørelse i den såkaldte Schrems II-sag indgav organisationen None of Your Business (”NOYB”) 101 klager til en række europæiske datatilsynsmyndigheder over bl.a. organisationer, som gør brug af værktøjet Google Analytics på deres hjemmesider, hvilket efter NOYB's opfattelse indebærer overførsel af personoplysninger om hjemmesidebesøgende til Google LLC i USA i strid med databeskyttelsesreglerne.
Det østrigske datatilsyn fandt i sagen, at personoplysninger om klager blev overført til Google LLC i USA, og at overførslen fandt sted på baggrund af EU-Kommissionens standardkontraktsbestemmelser (2010/87/EU). Tilsynet vurderede herunder – på baggrund af EU-Domstolens praksis i Schrems II-sagen – at overførslen var i strid med databeskyttelsesforordningens artikel 44, idet virksomheden ikke havde sikret et beskyttelsesniveau for de overførte oplysninger, der i det væsentlige svarer til beskyttelsesniveauet i EU.
Det østrigske datatilsyn fandt, at de supplerende foranstaltninger, som var blevet implementeret i tillæg til standardkontraktbestemmelserne, ikke var effektive. Det skyldes, at foranstaltningerne ikke forhindrede mulighederne for overvågning af og adgang til de overførte oplysninger fra amerikanske retshåndhævende myndigheder.
På den baggrund fandt det østrigske datatilsyn, at den østrigske virksomhed ikke kunne benytte Google Analytics-værktøjet under de foreliggende omstændigheder.
Hvad siger det danske tilsyn?
Datatilsynet har forståelse for, at mange private virksomheder og offentlige myndigheder benytter lignende værktøjer og først på baggrund af Schrems II-dommen fra EU-Domstolen og nu på som følge af afgørelsen fra det østrigske datatilsyn er i tvivl om, hvorvidt – og hvordan – man kan bruge sådanne værktøjer inden for rammerne af databeskyttelsesreglerne, herunder overholde reglerne om overførsel af personoplysninger til tredjelande.
Idet databeskyttelsesreglerne grundlæggende er et fælleseuropæisk regelsæt, som bl.a. har til hensigt at fremme det indre marked, er det afgørende, at de europæiske tilsynsmyndigheder har en fælles fortolkning af reglerne.
Datatilsynet vil derfor nu nærlæse afgørelsen fra vores østrigske kollegaer og løbende følge de øvrige afgørelser fra vores europæiske kollegaer i de 101 klagesager fra NOYB. Datatilsynet forventer herefter at udarbejde en opsummerende, vejledende tekst på baggrund af såvel den østrigske afgørelse som de øvrige forventede afgørelser om brugen af værktøjer såsom Google Analytics.