Europas hårda allmänna dataskyddsförordning (GDPR) har i första hand setts som ett problem för stora techföretag, under de nästan fyra år som den har funnits. Nu börjar det bli ett verkligt problem för europeiska kunder av amerikanska molntjänster, från återförsäljare till myndigheter.
På torsdagen hävdade integritetsförespråkare i Europa en delseger i ett österrikiskt fall som involverade en person som besökte en hälsorelaterad webbplats som använder Google Analytics, världens mest använda uppsättning verktyg för webbplatsägare för att spåra hur användare använder din webbplats .
Enligt den österrikiska dataskyddsmyndigheten bröt webbplatsoperatörerna mot GDPR genom att överföra användarens personuppgifter till Google i USA, vilket fastställts i en långtgående dom från 2020 av EU:s högsta domstol. , och skickade personuppgifter till ett företag i USA är olagligt om företaget inte kan garantera säkerheten för data från amerikanska underrättelsetjänster. Och tack vare US Foreign Intelligence Surveillance Act (FISA) kan inget amerikanskt företag erbjuda den garantin.
Konsekvenserna kan bli långtgående. Även om det här klagomålet gällde en enda webbplatsutgivare, var det ett av 101 klagomål som lämnades in samtidigt, för ett och ett halvt år sedan, av den stora tekniska dockspelaren Max Schrems och hans grupp för integritetsförespråkande NOYB (“Ingen i ditt företag”). Det massiva tillslaget fick EU:s dataskyddsmyndigheter att samordna sina svar, vilket med stor sannolikhet gjorde upp till 100 liknande beslut.
Om så är fallet skulle resultatet bli att webbplatser som är verksamma i Europa har ett starkt avskräckande från att sluta använda Google Analytics och andra USA-baserade molntjänster.
fallande dominobrickor
“Vi har lämnat in 101 klagomål i i princip alla medlemsländer. [de la UE]Schrems sa till Fortune på torsdagen. “De har bildat en insatsstyrka, så vi hoppas den andra [autoridades de protección de datos] ställs nu inför liknande beslut. Nu kan dominobrickor falla land för land.”
Domen var inte helt till förmån för NOYB, för även om den österrikiska tillsynsmyndigheten beslutade mot utgivaren av den icke namngivna webbplatsen – som Fortune förstår nu ägs av ett tyskt medieföretag – avvisade den den del av rättegången som riktade sig mot Google självt, resonerande. att den relevanta delen av GDPR endast ålade det företag som exporterade uppgifterna juridiska skyldigheter.
Det är också oklart om webbplatsens utgivare fick böter eller någon annan påföljd; det fullständiga beslutet har ännu inte offentliggjorts.
Även om det österrikiska beslutet är det första att ta itu med ett av dessa 101 anspråk, följer det ett liknande beslut som publicerades tidigare i veckan av European Data Protection Supervisor (EDPS), som har jurisdiktion specifikt över de viktigaste EU-institutionerna. Vakthunden sanktionerade Europaparlamentet för att ha använt Google Analytics och betalningstjänsten Stripe på en intern webbplats för att organisera COVID-19 PCR-tester.
återstående alternativ
Google sa i ett uttalande att företag och organisationer som använder Google Analytics “kontrollerar vilken data som samlas in av dessa verktyg och hur den används.”
“Google hjälper till genom att tillhandahålla en rad skyddsåtgärder, kontroller och resurser för efterlevnad”, sa han och tillade att verktygsuppsättningen inte identifierar eller spårar personer på webben.
När det gäller vad europeiska företag och organisationer behöver göra nu finns det några möjliga lösningar. En av dem är att sluta använda amerikanska molntjänster. En annan skulle vara att USA antar betydande övervakningsreformer som skulle göra det möjligt för amerikanska molnleverantörer att säkerställa säkerheten för utlänningars personuppgifter; det finns få tecken på att detta kommer att hända snart.
Det andra alternativet skulle vara att amerikanska molnleverantörer upprättar säkra europeiska datacenter i samarbete med lokala företag som skulle kontrollera åtkomsten till personlig data som lagras på servrarna. Google tillkännagav nyligen en sådan tjänst för företagskunder i Tyskland, med den lokala IT-jätten T-Systems som partner.
