POV: Østrigs datatilsyn dømmer Google Analytics ulovligt! Hvad betyder det for dig?

Faktisk er det ikke kun Google Analytics, men alle US-baserede services der modtager data fra EU, der er dømt ulovlige at anvende ifølge det Østrigske Datenschutcbehörde (DSB). Dermed vedrører det potentielt Google Analytics, Facebook, Google Ads, Zapier, Big Query, Amazon AWS, Microsoft 365 m.m.

I praksis kan det betyde, at EU-annoncører bliver tvunget til at optimere digitale marketing kampagner baseret på kliks eller alternativt handlinger i indkøbsplatformen – lead ads, video views, likes, kommentarer, engagement mm. og ikke reel effekt. Det vil sætte EU tilbage til den digitale stenalder!

Se hele dommen på noyb.eu (NoneOfYourBusiness).

Af dommen fremgår det, at de Standard Contractual Clauses, som Google har indført, ikke i tilstrækkelig høj grad sikrer, at fx NSA ikke kan anmode om og modtage persondata fra EU borgere.

Google har været hurtigt ude og skrive et modsvar på som kan læses her. Grundlæggende opfordrer Google EU og USA til at få færdiggjort version 2.0 af Privacy Shield, som blev dømt ulovlig i sin oprindelige version. Samtidig highlighter Google de gigantiske omkostninger som det sandsynligvis vil koste EU, hvis EU tager det til yderste konsekvens.

Version 2 har forsøgt at få et interview med det danske Datatilsyn, der angiveligt har indtaget en afventende position og venter og ser hvad de andre EU-kollegaer gør.

Hvad betyder det for dig som annoncør?

Det er ikke nok bare at skifte Analytics værktøj til fx SiteImprove, Adobe, Piwik eller lignende, selv om det kan løse udfordringen med behandling af persondata i USA.

Din virksomhed med vil stor sandsynligvis også arbejde med andre databehandlere i USA. Det er f.eks. tilfældet ved et Paid Search program (eks. Google Ads) eller Paid Social via f.eks. Facebook. Ved anvendelse af de værktøjer sendes der ligeledes persondata i (f.eks. cookie id’er og klik id’er) der identificerer annonceklik og brugere. De persondata sendes til platformene i USA.

Kommer Datatilsynet frem til at Google Analytics også er ulovligt i Danmark – af samme årsager som i Østrig – udelukkes også al effektmåling i Google Ads, Facebook, LinkedIn og andre teknologier, der behandler persondata i USA.

I praksis kan det betyde, at EU-annoncører bliver tvunget til at optimere digitale marketing kampagner baseret på kliks eller alternativt handlinger i indkøbsplatformen – lead ads, video views, likes, kommentarer, engagement mm. og ikke reel effekt. Det vil sætte EU tilbage til den digitale stenalder!

Forhåbentligt finder myndighederne på tværs af EU frem til en pragmatisk løsning, der tilgodeser brugernes interesser i privatliv, med virksomhedernes behov for at kunne agere konkurrencedygtigt i en globaliseret verden.

Datatilsynet har ikke sat en tidshorisont for hvornår de kommer med en udmelding. Vi må blot vente i spænding. Det er uden tvivl en ting, der skal holdes skarpt øje med i 2022.

Hvordan forbereder du din virksomhed?

Ind til datatillsynet kommer med en udmelding kan du forberede dig selv og din virksomhed ved at få styr på governance og din databehandling.

Hvis datatilsynet kommer forbi din virksomhed, du bør du have styr på:

  • Hvilke databehandlere du anvender og hvilke databehandleraftaler du har indgået?
  • Hvilken persondata du og dine databehandlere behandler?
  • I hvilke lande dine databehandlere behandler data?
  • Hvordan du håndterer en forespørgsel om indsigt i persondata?
  • Hvordan du sletter eller assisterer brugeren i at slette data?
  • Hvornår din data automatisk slettes?

Eksempler på løsninger og produkter, der hjælper dig med at f.eks. at minimerer behandling af persondata, sikrer bedre kontrol med behandling af persondata eller lignende:

  • Anonymisering af IP-adresser
  • Server-side tracking
  • Konfiguration af platforme til begrænset datadeling
  • Data-retention i platformene
  • Cookie less attribuering via. f.eks. datamodellering
  • Cookie less målretning via. f.eks. custom bidding algoritmer

Eksempler på løsninger og produkter der hjælper dig med f.eks. at kompensere for datatab i forbindelse med privacy restriktioner:

  • Google Consent Mode
  • Server side tracking
  • Facebook Conversion API (CAPI)
  • Valide samtykker til behandling af persondata

I Resolution har vi haft stor succes med at hjælpe annoncører med at kortlægge, risikovurdere og mappe de enkelte teknologier, databehandlere og databehandling. Hvis du har spørgsmål eller gerne vil have uddybet ovenstående kan du altid række ud til din kontakt hos Resolution.