Analyseværktøjet Google Analytics i strid med databeskyttelsesreglerne
Mange virksomheder gør brug af analyseværktøjet Google Analytics til at få et indblik i besøgendes adfærd på deres hjemmeside og hvordan besøgende konverterer til kunder. Datatilsynet har imidlertid fundet brugen af analyseværktøjet ulovlig efter en gennemgang af en afgørelse fra det østrigske datatilsyn.
Når man bruger Google Analytics, indsamles information om de besøgende på hjemmesiden, herunder f.eks. hvor lang tid de er på hjemmesiden, hvilke undersider de besøger, og hvilke links de klikker på. Gennem disse informationer kan man som virksomhed få en større forståelse for de kunder, som gør brug af hjemmesiden, og dermed mulighed for at optimere brugeroplevelsen.
Datatilsynet har imidlertid netop fastslået, at brugen af Google Analytics er i strid med databeskyttelsesreglerne (GDPR) og derfor ikke kan benyttes lovligt uden videre.
Google Analytics og databeskyttelse
For at databeskyttelsesreglerne kan finde anvendelse, skal der være tale om behandling af personoplysninger. Information bliver til personoplysninger, når det kan bruges til at identificere en konkret, fysisk person og behandles af en virksomhed.
Når man som forbruger besøger en hjemmeside, der anvender Google Analytics, bliver man tildelt en unik identifikator, som vil kunne bruges til at identificere forbrugeren. Som supplement til denne identifikator, bliver der indsamlet oplysninger om forbrugerens IP, geografiske lokation, browser, styresystem osv. Al denne information vil være med til at kunne identificere en konkret, fysisk person, hvorfor der er tale om behandling af personoplysninger, når man som virksomhed anvender Google Analytics.
Disse personoplysninger bliver automatisk overført til Google i USA, hvilket ifølge Datatilsynet er i strid med databeskyttelsesreglerne. Dette skyldes, at vi i EU har besluttet, at USA udgør et såkaldt usikkert tredjeland, idet deres databeskyttelsesregler ikke yder et lige så højt niveau af beskyttelse som de europæiske.
Datatilsynet om brugen af Google Analytics
Siden januar 2022 har det østrigske, franske og italienske datatilsyn truffet afgørelser om brugen af Google Analytics. I alle sagerne fandt tilsynsmyndighederne, at brugen af Google Analytics under de givne omstændigheder var i strid med databeskyttelsesreglerne.
Det danske datatilsyn har i forlængelse heraf udtalt, at sagerne fra Østrig, Frankrig og Italien er udtryk for en fælleseuropæisk holdning blandt tilsynsmyndighederne, hvilket betyder, at Datatilsynet i en konkret sag med lignende omstændigheder vil nå frem til samme resultat.
Datatilsynet har derfor fundet det nødvendigt at kigge nærmere på analyseværktøjet og udsendte den 21. september en pressemeddelelse, hvori de tilkendegav deres mening om brugen:
”Reglerne i GDPR er lavet for at beskytte europæiske borgeres privatliv. Det betyder blandt andet, at man skal kunne besøge en hjemmeside, uden at ens oplysninger kan ende i de forkerte hænder. Vi har gennemgået mulighederne i Google Analytics nøje og er kommet frem til, at man ikke kan bruge værktøjet i sin nuværende form uden at træffe yderligere foranstaltning.”
Vores kommentar
Det er således Datatilsynets holdning, at brugen af Google Analytics i dets nuværende form er i strid med databeskyttelsesreglerne. Såfremt danske virksomheder skal fortsætte med brugen af Google Analytics, skal der således foretages nogle ændringer af analyseværktøjet eller opsætningen heraf.
En mulig teknisk løsning er at anvende pseudonymisering ved en såkaldt ”reverse proxy”. En reverse proxy sikrer, at ingen besøgende kommunikerer direkte med hjemmesiden, så den faktiske IP-adresse aldrig afsløres. Dette gøres helt konkret via en ”tredjemand”, en proxy server, som pseudonymiserer al information, inden det bliver videresendt til Google i USA. Det er således kun denne ”tredjemand”, proxy-serveren, som kan tilkoble dataene fra forbrugeren med hjemmesiden, hvorfor Google i USA ikke vil modtage nogen personoplysninger. En anden løsning er at vælge et analyseværktøj, som er baseret i EU – f.eks. tjenesten Plausible.
Har du spørgsmål til ovenstående eller er du i tvivl om, hvorvidt din virksomheds brug af Google Analytics lever op til databeskyttelsesreglerne, er du velkommen til at kontakte advokat, Mia Storm, som er specialiseret i GDPR.