Een beslissing van de Oostenrijkse waakhond voor gegevensbescherming om een ​​klacht tegen een website in verband met het gebruik van Google Analytics in stand te houden, belooft weinig goeds voor het gebruik van Amerikaanse cloudservices in Europa.De beslissing werpt een grote rode vlag op over routinematig gebruik van tools die de overdracht van de persoonlijke gegevens van Europeanen naar de VS vereisen voor verwerking - waarbij de waakhond constateert dat het IP-adres en identificatiegegevens in cookiegegevens de persoonlijke gegevens zijn van sitebezoekers, wat betekent dat deze overdrachten vallen onder de reikwijdte van de EU-wetgeving inzake gegevensbescherming.In dit specifieke geval was een IP-adres "anonimiseringsfunctie" niet correct geïmplementeerd op de website.Maar ongeacht die technische rimpel, vond de regelgever dat IP-adresgegevens persoonlijke gegevens waren, gezien de mogelijkheid om deze te combineren - als een "puzzelstuk" - met andere digitale gegevens om een ​​bezoeker te identificeren.Bijgevolg heeft de Oostenrijkse gegevensbeschermingsautoriteit vastgesteld dat de website in kwestie — een op gezondheid gerichte site met de naam netdoktor.at, die gegevens van bezoekers naar de VS had geëxporteerd als gevolg van de implementatie van Google Analytics — hoofdstuk V van de algemene verordening gegevensbescherming van de EU had geschonden ( AVG), die zich bezighoudt met gegevensoverdrachten buiten het blok."Amerikaanse inlichtingendiensten gebruiken bepaalde online identificatiegegevens (zoals het IP-adres of unieke identificatienummers) als uitgangspunt voor de bewaking van individuen", merkt de toezichthouder op in het besluit [via een machinevertaling van de Duitstalige tekst], en voegt eraan toe: “Met name kan niet worden uitgesloten dat deze inlichtingendiensten al informatie hebben verzameld met behulp waarvan de hier doorgegeven gegevens herleidbaar zijn tot de persoon van de klager.”Om tot zijn conclusie te komen, beoordeelde de toezichthouder verschillende maatregelen die Google zei dat het had geïmplementeerd om de gegevens in de VS te beschermen - zoals encryptie in rust in zijn datacenters;of zijn bewering dat de gegevens "als pseudoniem moeten worden beschouwd" - maar er waren onvoldoende waarborgen ingebouwd om de toegang van Amerikaanse inlichtingendiensten tot de gegevens effectief te blokkeren, zoals vereist om te voldoen aan de AVG-norm."Zolang de tweede respondent zelf [dwz Google] de mogelijkheid heeft om toegang te krijgen tot gegevens in platte tekst, kunnen de ingeroepen technische maatregelen niet als effectief worden beschouwd in de zin van de bovenstaande overwegingen", merkt het op een gegeven moment op, waarbij het type codering wordt afgewezen gebruikt als onvoldoende bescherming.De Oostenrijkse toezichthouder citeert ook eerdere richtlijnen van Duitse DPA's om de afwijzing van de "pseudonieme" claim van Google te ondersteunen - en merkt op dat hierin staat:” …het gebruik van IP-adressen, cookie-ID's, advertentie-ID's, unieke gebruikers-ID's of andere identificatiegegevens om gebruikers te (her)identificeren, vormt geen passende waarborgen om te voldoen aan de beginselen van gegevensbescherming of om de rechten van betrokkenen te beschermen.Dit komt omdat, in tegenstelling tot gevallen waarin gegevens worden gepseudonimiseerd om de identificerende gegevens te verbergen of te verwijderen, zodat de betrokkenen niet langer kunnen worden aangesproken, ID's of identifiers worden gebruikt om de individuen te onderscheiden en adresseerbaar te maken.Er is dus geen beschermend effect.Het zijn daarom geen pseudonimiseringen in de zin van overweging 28, die de risico's voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en verwerkers helpen bij het nakomen van hun verplichtingen op het gebied van gegevensbescherming."De algemene afwijzing door de gegevensbeschermingsautoriteit van elke juridisch relevante impact van de bundel van bovengenoemde "technische en organisatorische maatregelen" (zoals standaardversleuteling) - die door Google werden aangehaald om te proberen de klacht af te weren - is significant omdat dergelijke claims de heersende tactiek zijn die wordt gebruikt door in de VS gevestigde cloudreuzen om te proberen de naleving te masseren en ervoor te zorgen dat de gegevensoverdracht tussen de EU en de VS doorgaat, zodat ze gewoon door kunnen gaan.Dus als deze tactiek hier wordt genoemd, als gevolg van het gebruik van Google Analytics door een enkele website, kan en zal het worden gesanctioneerd door EU-regelgevers elders.Google Analytics is immers overal online.(Zie ook de uitgebreide lijst van extreem standaardmaatregelen die Facebook aanhaalt in een interne beoordeling van zijn EU-naar-VS-gegevensoverdrachten' - waarin ook Facebook probeert te claimen 'naleving' van de EU-wetgeving, zoals blijkt uit een eerder document.)Het achtergrondverhaal van de klacht hier is dat de Europese privacycampagnegroep noyb in augustus 2020 een volledige 101 klachten heeft ingediend bij DPA's over het hele blok, gericht op websites met regionale operators waarvan het had vastgesteld dat ze gegevens naar de VS stuurden via Google Analytics en/of Facebook Connect-integraties .Het gebruik van dergelijke analysetools lijkt misschien heel normaal, maar - juridisch gezien in de EU - is het allesbehalve omdat de overdracht van persoonsgegevens van de EU naar de VS al jaren gehuld is in rechtsonzekerheid.Het onderliggende conflict komt neer op een botsing tussen Europese privacyrechten en de Amerikaanse toezichtwet – aangezien de laatste buitenlanders geen enkel recht geeft over hoe hun gegevens worden opgepikt en bespied, noch enige manier om juridisch verhaal te halen voor wat er ook gebeurt met hun informatie wanneer deze binnen is. de VS, waardoor het voor geëxporteerde EU-gegevens extreem moeilijk wordt om de noodzakelijke standaard van "in wezen gelijkwaardige" bescherming te krijgen die het thuis krijgt als het in het buitenland is.Om het radicaal te vereenvoudigen: volgens de EU-wetgeving moeten Europese beschermingsniveaus met gegevens reizen.Terwijl de Amerikaanse wet zegt: 'we nemen uw gegevens;we vertellen je niet wat we doen;en je kunt er toch niets aan doen, sukkel!'.Amerikaanse cloudproviders die vallen onder Sectie 702 van de Foreign Intelligence Surveillance Act (FISA) zitten allemaal in het frame - dat een brede reeks technische giganten omvat, waaronder Google en Facebook, aangezien deze wet breed van toepassing is op "elektronische communicatiediensten" .Terwijl Executive Order 12.333, een mandaat uit het Reagan-tijdperk dat ook relevant is omdat het ook de bevoegdheden van de inlichtingendiensten om gegevens te verzamelen uitbreidde, wordt verondersteld kwetsbaarheden in de telecominfrastructuur aan te pakken.De juridische botsing tussen privacy en toezicht tussen de EU en de VS dateert op dit moment al bijna tien jaar.Het werd gekatalyseerd door de onthullingen van Snowden uit 2013 die de omvang van de massale surveillanceprogramma's van de Amerikaanse regering aan het licht brachten - en leidde in 2015 tot het Hof van Justitie van de EU om de veiligehavenregeling tussen het blok en de VS ongeldig te verklaren op grond van het feit dat EU-gegevens kon niet langer als veilig worden beschouwd toen het over de vijver ging.En terwijl Safe Harbor ongeveer 15 jaar bestond, duurde de haastig overeengekomen vervanging - het EU-VS-privacyschild - slechts vier jaar.Dus de levensduur van commercieel gerichte besluiten van de Europese Commissie om de trans-Atlantische gegevensstromen te smeren, ondanks de enorme privacyrisico's, is radicaal aan het slinken.Sommige klachten over risicovolle gegevensoverdrachten van de EU naar de VS dateren op dit moment ook al bijna tien jaar.Maar er hangt nieuwe handhavingsenergie in de lucht sinds een baanbrekende uitspraak van het HvJ-EU in juli 2020 – die de hernieuwde regeling voor gegevensoverdracht van de Commissie (Privacy Shield), waarop sinds 2016 door duizenden bedrijven werd vertrouwd om hun VS te stempelen, tenietgedaan overschrijvingen.De rechtbank heeft de doorgifte van persoonsgegevens naar zogenaamde derde landen niet geheel verboden.Daarom zijn deze datastromen medio 2020 niet van de ene op de andere dag gestopt.Er werd echter verduidelijkt dat dergelijke gegevensstromen per geval moeten worden beoordeeld op risico's.En het maakte duidelijk dat gegevensbeschermingsautoriteiten niet zomaar een oogje dichtknijpen voor naleving - hallo Ierland!- in plaats daarvan moeten ze proactief ingrijpen en overdrachten opschorten in gevallen waarin ze denken dat gegevens naar een risicovolle locatie zoals de VS stromen.In een langverwachte vervolginterpretatie van de rechterlijke uitspraak, bevestigden de richtlijnen van de European Data Protection Board (EDPB) dat overdracht van persoonsgegevens buiten de EU mogelijk nog steeds mogelijk is - als een reeks enge omstandigheden en/of voorwaarden van toepassing zijn.Zo kunnen de gegevens echt geanonimiseerd worden zodat het echt geen persoonsgegevens meer zijn.Of als u een reeks aanvullende maatregelen kunt toepassen (zoals technische zaken zoals het toepassen van robuuste end-to-end-codering - wat betekent dat een Amerikaanse entiteit geen toegang heeft tot gedecodeerde gegevens) - om het niveau van wettelijke bescherming te verhogen.Het probleem voor adtech-bedrijven zoals Google en Facebook is dat hun bedrijfsmodellen allemaal te maken hebben met toegang tot de gegevens van mensen.Het is dus niet duidelijk hoe dergelijke dataminingreuzen aanvullende maatregelen kunnen toepassen die hun eigen toegang tot deze kernbedrijfsgegevens radicaal beperken zonder een radicale verandering van model.Of, nou ja, het bundelen van hun diensten - en het lokaliseren van Europese gegevens en verwerking in de EU.De Oostenrijkse DPA-beslissing maakt duidelijk dat het huidige pakket maatregelen van Google, met betrekking tot de manier waarop Google Analytics werkt, niet adequaat is omdat het het risico niet wegneemt dat toezichthoudende instanties toegang krijgen tot de gegevens van mensen.Het besluit onderstreept de noodzaak van dergelijke aanvullende maatregelen om de standaardvoorzieningen daadwerkelijk te verbeteren, willen ze iets doen aan uw kansen op naleving.Europa geeft advies over het oplossen van internationale gegevensoverdrachten, dat is koud comfort voor FacebookAanvullend betekent natuurlijk extra.tl;dr je kunt niet doorgaan met volledig standaard beveiligingsprocessen, procedures, beleid, protocollen en maatregelen als een soort speciale Schrems II-vernietigende juridische magie, hoe graag je dat ook zou willen.(Een snel vergelijkbaar scenario dat het punt naar voren zou kunnen brengen: men kan - wettelijk gezien - geen feest houden tijdens een pandemie als de lockdown-regels sociale bijeenkomsten verbieden door simpelweg een 'breng je eigen fles'-tuinfeestje als een werkevenement te bestempelen. Niet zelfs als je de premier van het VK bent, in ieder geval niet als je lang in functie wilt blijven…)Het is eerlijk om te zeggen dat de reactie van de technische industrie op de Schrems II-uitspraak een massale, collectieve kop in het zand is geweest.Of, zoals de gelijknamige Max Schrems zelf, erevoorzitter van noyb, het in een verklaring verwoordt: “In plaats van diensten aan te passen om aan de AVG te voldoen, hebben Amerikaanse bedrijven geprobeerd om simpelweg wat tekst aan hun privacybeleid toe te voegen en het Hof van Justitie te negeren.Veel EU-bedrijven hebben het voorbeeld gevolgd in plaats van over te stappen op juridische opties.”Deze schertsvertoning is mogelijk geweest omdat er tot op heden niet veel regelgevende handhaving is geweest na de uitspraak van juli 2020.Ondanks de waarschuwing van het Europees Comité voor gegevensbescherming onmiddellijk dat er geen respijtperiode zou zijn om te voldoen.Voor het ongetrainde oog dat zou kunnen suggereren dat de collectieve strategie van de industrie - van het negeren van de juridische nachtmerrie die EU-naar-VS-overdrachten omhult in de hoop dat het probleem gewoon zou verdwijnen - heeft gewerkt.Maar, zoals het besluit van Oostenrijk aangeeft, slijpen de regelgevende versnellingen in de richting van een stel onbeschofte ontwaken.De Europese Commissie – die graag een vervanging van het EU-VS-privacyschild wil – heeft ook gewaarschuwd dat er deze keer geen snelle oplossing zal zijn, wat suggereert dat er ingrijpende hervormingen van de Amerikaanse toezichtwetgeving nodig zijn om de juridische kloof te overbruggen.(Hoewel de onderhandelingen tussen de Commissie en de VS over een vervangende overeenkomst voor gegevensoverdracht worden voortgezet.)Ondertussen beginnen de handhavingen van Schrems II te stromen - en binnenkort kunnen bevelen volgen om de Amerikaanse gegevensstromen te beëindigen.In een ander teken van toenemende handhaving heeft de Europese Toezichthouder voor gegevensbescherming (EDPS) - deze week nog - een klacht tegen het Europees Parlement gegrond verklaard over Amerikaanse gegevensoverdrachten waarbij gebruik wordt gemaakt van Google Analytics en Stripe.Het besluit van de EDPS berispt het parlement en beveelt het ook om de openstaande kwesties binnen een maand op te lossen.De andere 101 klachten die noyb in 2020 heeft ingediend, wachten ook nog op beslissingen.En zoals Schrems opmerkt, hebben de gegevensbeschermingsautoriteiten van de EU hun reactie op de kwestie van gegevensoverdracht gecoördineerd.Het is dus waarschijnlijk dat er de komende maanden een pijplijn van handhavingsacties zal zijn bij het gebruik van Amerikaanse cloudservices.En, nou ja, er valt veel zand uit de ogen.Hier is Schrems nogmaals over de redenering van de Oostenrijkse DPA: “Dit is een zeer gedetailleerde en degelijke beslissing.Waar het op neerkomt is: bedrijven kunnen in Europa geen gebruik meer maken van Amerikaanse clouddiensten.Het is nu 1,5 jaar geleden dat het Hof van Justitie dit voor de tweede keer bevestigde, dus het is meer dan tijd dat de wet ook wordt gehandhaafd.”"We verwachten dat soortgelijke beslissingen nu in de meeste EU-lidstaten geleidelijk zullen afnemen", voegt hij eraan toe, en hij merkt verder op dat de autoriteiten van de lidstaten hun reactie op de stroom klachten hebben gecoördineerd (de EDPB kondigde afgelopen herfst een taskforce over deze kwestie aan)."Op de lange termijn hebben we ofwel goede bescherming nodig in de VS, of we zullen eindigen met afzonderlijke producten voor de VS en de EU", zei Schrems ook, eraan toevoegend: "Ik zou persoonlijk de voorkeur geven aan betere bescherming in de VS, maar dit is tot de Amerikaanse wetgever – niet aan iemand in Europa.”Hoewel is vastgesteld dat netdoktor de AVG heeft geschonden, is het nog niet duidelijk of het een boete krijgt.Het kan ook in beroep gaan tegen de beslissing van de Oostenrijkse gegevensbeschermingsautoriteit.Het bedrijf heeft sindsdien zijn hoofdkantoor naar Duitsland verplaatst, wat de regelgevende jurisdictie van dit proces bemoeilijkt - en betekent dat het mogelijk te maken krijgt met aanvullende handhaving, zoals een bevel dat overdrachten verbiedt, in een vervolgactie van een Duitse toezichthouder.Er is nog een opmerkelijk element van de beslissing die Google's kant op is gegaan - voor nu.Hoewel de regelgevende instantie de klacht tegen netdoktor handhaafde, werd er niet geoordeeld dat Google's Amerikaanse bedrijf de gegevens heeft ontvangen/verwerken - en besloot dat de regels voor gegevensoverdracht alleen van toepassing zijn op EU-entiteiten en niet op de Amerikaanse ontvangers.Dat deel van de beslissing is een teleurstelling voor noyb, die overweegt in beroep te gaan - met Schrems als argument: "Het is cruciaal dat de Amerikaanse providers het probleem niet zomaar kunnen verschuiven naar EU-klanten."noyb wijst er verder op dat Google mogelijk nog steeds een hangende sanctie te wachten staat, aangezien de Oostenrijkse DPA heeft gezegd dat het verder zal onderzoeken met betrekking tot mogelijke schendingen van artikel 5, 28 en 29 AVG (gerelateerd aan de vraag of Google persoonlijke gegevens mag verstrekken aan de regering van de VS zonder uitdrukkelijk bevel van de gegevensexporteur van de EU).Het CBP heeft laten weten daarover een apart besluit te zullen nemen.Dus Google zit misschien nog steeds op de loer voor een AVG-inbreuk in Oostenrijk.Sancties op grond van de verordening kunnen oplopen tot 4% van de jaarlijkse wereldwijde omzet van een bedrijf.Hoewel bevelen om gegevensoverdrachten te verbieden uiteindelijk veel duurder kunnen blijken te zijn voor bepaalde soorten datamining-bedrijfsmodellen.Te weten: EU-privacywatchers zullen zich er al lang van bewust zijn dat de Europese activiteiten van Facebook in Ierland op straffe van boete staan ​​vanwege hetzelfde probleem met overdrachten tussen de EU en de VS.Ierland heeft in de herfst van 2020 een voorlopig bevel uitgevaardigd om overdrachten op te schorten door Facebook - wat leidde tot juridische stappen van de socialemediagigant om te proberen het bevel te blokkeren.De rechtszaak van Facebook is mislukt, maar een definitieve beslissing blijft hangende van de Ierse toezichthouder - die noyb een jaar geleden een snelle oplossing van de vintage-klacht beloofde.Dus de klok tikt echt op die klacht over gegevensoverdracht.En iemand zou Meta's hoofd spin-dokter, Nick Clegg, moeten bellen om te vragen of hij al klaar is om de stekker uit de Europese dienst van Facebook te trekken?Juridische clouds verzamelen zich boven Amerikaanse clouddiensten, na uitspraak van het HvJEUMax Schrems over de uitspraak van het EU-hof die Facebook in tweeën zou kunnen snijdenGebruik van Google Analytics en Facebook Connect door EU-websites gericht op privacyklachten na Schrems IIEuropees Parlement heeft EU-regels over gegevensoverdracht en toestemming voor cookies geschonden