Den österrikiska dataskyddsmyndigheten Datenschutzbehörde (DSB) har beslutat att en icke namngiven webbplatsoperatör i EU brutit mot artikel 44 i dataskyddsförordningen (GDPR) för att ha exporterat personuppgifter till en importör i USA, Google LLC, genom fortsatt användning av Google Analytics utan att säkerställa en adekvat skyddsnivå, vilket krävs enligt kapitel V i GDPR. Beslutet kom efter ett klagomål från en klagande som företräddes av NOYB. Klagomålet var ett av de 101 klagomål som NOYB lämnat in mot EU-företag för fortsatt användning av Google Analytics och Facebook Connect, som påstås utsätta EU:s personuppgifter för USA:s övervakningslagar i strid med kraven i EU-domstolens dom i Schrems II-målet (läs mer om detta här och här).
Efter att NOYB:s klagomål lämnats in i augusti 2020 lämnade Google i april 2021 ett svar till DSB som bekräftade att Google, när det gäller överföringar av uppgifter om webbplatsbesökare från webbplatsoperatörer i EU till Google genom användning av Google Analytics-verktyget, förlitat sig på standardavtalsklausuler (SCC) i enlighet med artikel 46.2 GDPR. Google hävdade vidare att företaget, i enlighet med Schrems II-domen och i linje med EDPB:s rekommendationer 01/2020, vidtagit kompletterande åtgärder inklusive rättsliga, tekniska och operativa åtgärder, för att säkerställa en adekvat nivå av skydd.
NOYB lämnade därefter i maj 2021 en ytterligare inlaga till DSB som svar på Googles inlaga och avvisade tanken att de åtgärder som Google beskrev var tillräckliga för att effektivt skydda uppgifter som överförts från EU, och uppmanade DSB att överväga ett bötesbelopp på upp till 6 miljarder euro mot Google för den påstådda överträdelsen av kapitel V i GDPR.
Inledningsvis behandlade DSB frågan om de uppgifter som överförts från webbplatsoperatören till Google genom användning av Google Analytics utgjorde personuppgifter enligt artikel 4.1 GDPR, och betonade att tillämpningen av GDPR och därmed klagans framgång, förutsätter en positiv slutsats på denna fråga. DSB framhöll särskilt att åtminstone unika online-identifierare, som identifierar både den klagandes webbläsare eller enhet och den första svaranden (genom den första svarandens konto-ID på Google Analytics i egenskap av webbplatsoperatör), adressen och HTML-titeln på webbplatsen och de undersidor som den klagande besökt, information om webbläsare, operativsystem, skärmupplösning, språkval, datum och tid för besöket på webbplatsen och IP-adressen för den enhet som den klagande använde överfördes från webbplatsoperatören till Google genom användning av Google Analytics, och drog slutsatsen att dessa uppgifter var tillräckliga för att identifiera den registrerade och därför ska betraktas som personuppgifter enligt GPDR.
Efter att ha fastställt att webbplatsoperatörens användning av Google Analytics utgjorde en överföring av personuppgifter, både mot bakgrund av ovanstående och de villkor för att det ska föreligga en överföring av uppgifter som anges i EDPB:s nyligen antagna riktlinjer 05/2021 om samspelet mellan tillämpningen av artikel 3 och bestämmelserna om internationella överföringar enligt kapitel V i GDPR (nedan kallade riktlinjerna för överföring av uppgifter), bedömdes om överföringen var föremål för en lämplig mekanism för att säkerställa en adekvat skyddsnivå i enlighet med artikel 44 GDPR.
DSB noterade Googles förlitande på SCC enligt artikel 46 GDPR och att företaget kompletterat med ytterligare åtgärder enligt Schrems II-domen, men framhöll att sådana åtgärder endast kan anses vara effektiva i den mån de åtgärdar de specifika brister som identifierats i bedömningen av tredjelandet. DSB konstaterade i samband med detta att den tekniska åtgärden kryptering i vila (encryption at rest) inte kan åberopas i den mån Google har en direkt skyldighet att ge tillgång till eller överlämna importerade uppgifter som Google har i sin ägo eller förvar eller under sin kontroll, att de kompletterande åtgärder som Google genomfört inte på ett effektivt sätt tog itu med de identifierade bristerna i skyddet av personuppgifter, dvs. de amerikanska underrättelsetjänsternas möjligheter till åtkomst och övervakning. DSB ansåg därför att en adekvat skyddsnivå inte kunde garanteras genom artikel 46 GDPR, och fann vidare att överföringen av personuppgifter stred mot artikel 44 GDPR, och avvisade vidare förekomsten av ett undantag enligt artikel 49 GDPR.
Med hänvisning till riktlinjerna för överföring av personuppgifter konstaterade DSB att överträdelsen kunde tillskrivas webbplatsoperatören, men eftersom Google i egenskap av dataimportör inte lämnar ut den klagandes personuppgifter är kraven i kapitel V inte tillämpliga på Google i detta specifika fall.
Mot bakgrund av ovanstående konstaterade DSB att Google Analytics inte kan användas i enlighet med kapitel V i GDPR. DSB fann dessutom att webbplatsoperatören hade brutit mot GDPR, men avvisade kravet mot Google med motiveringen att kapitel V i GDPR inte är tillämplig på Google i det aktuella fallet. DSB angav dock att det kommer att fatta ett separat beslut om en eventuell överträdelse från Googles sida av artiklarna 5, 28.3 (a) och 29 GDPR.
DSB ålade inte några påföljder eller korrigerande åtgärder och konstaterade att webbplatsoperatören fusionerade med ett företag med säte i München och att möjligheten till ett förbud mot överföringar till Google därför skulle behöva behandlas av den relevanta tyska myndigheten.