Introduktion

Efter Østrig, Italien og Frankrig har Danmark erklæret Google Analytics for "ulovligt". Denne beslutning blev for nylig meddelt af den danske databeskyttelsesmyndighed efter at have vurderet paneuropæiske sager vedrørende Google Analytics' brug af data. Hvad betyder dette egentlig for virksomheder, der bruger Google Analytics, og hvilken indvirkning vil det have?

For at besvare disse spørgsmål er vi nødt til at starte fra begyndelsen.

GDPR og Schrems II

I maj 2018 trådte GDPR - den generelle forordning om databeskyttelse - i kraft i EU-lovgivningen. Dette er en af de strengeste sikkerhedslove i verden og har til formål at beskytte brugernes privatliv. Du kan læse i detaljer om GDPR her.

Et par år senere, i 2020, fastslog EU-Domstolen, at Facebooks overførsel af brugerdata til USA er i strid med GDPR, kendt som Schrems II-dommen. Denne dom skyldtes, at amerikansk lovgivning gav efterretningstjenester adgang til EU-borgeres data, når de blev overført til USA - en direkte overtrædelse af GDPR.

Dommen gjorde i det væsentlige Facebooks og andre teknologivirksomheders som Google ulovlige handlinger. Men virksomhederne fandt et smuthul. Ved at give en standardkontraktklausul, som tidligere var godkendt af EU, kunne de lovligt fortsætte med at køre.

Østrig, Frankrig og Italien

I januar 2022 traf den østrigske databeskyttelsesmyndighed afgørelse i en lignende sag som Schrems II. Denne gang var Google Analytics i søgelyset. På grund af manglende aftaler mellem EU og USA om brugerdata kunne Google Analytics ikke garantere, at østrigske borgeres data ville blive beskyttet. Som følge heraf blev Google Analytics anset for at være ulovlig.

Snart ville de franske og italienske databeskyttelsesmyndigheder træffe en lignende beslutning, når de gennemgik den østrigske sag. Begge afgjorde, at Google Analytics under visse omstændigheder er ulovligt, hvilket giver mulighed for at skabe en bredere europæisk konsensus.

Efter disse domme har den franske datamyndighed anbefalet virksomheder at bruge en proxyserver for at undgå ulovligheder. Det er imidlertid kompliceret at bruge en proxy-server, og det vil give ubrugelige data. Få mere at vide om brugen af en proxyserver her.

Hvad sker der nu? 

Mange virksomheder i hele Europa, ikke kun i Danmark, bruger Google Analytics til at spore, analysere og evaluere kundedata. På den baggrund må der forventes en overgangsperiode; derfor er der på nuværende tidspunkt ikke behov for handling.

I denne periode forudser vi heller ikke noget teknisk svar, der øger anonymiseringen af data eller fysisk svar, som f.eks. at holde dataene inden for EU. Selv om der er tale om, at Google opbevarer data i Tyskland, er det komplekst og tidskrævende at få det til at ske.

Lad os derfor se på nogle alternative muligheder for fremtiden.

Vælg et andet analysefirma

Alle virksomheder, der opbevarer EU-borgeres data uden for EU, vil sandsynligvis få problemer med at overholde reglerne. Derfor er det bedst at undgå disse datasporingsselskaber.

Her er en kort liste over alternativer til Google Analytics:

Matomo

  • Lagre brugerdata i skyen i Tyskland
  • Import af data fra Google Analytics
  • Gratis med køb af ekstraudstyr
Google-Analytics-er-i-krænkelse-af-GDPR
Matomo

Fathom Analytics 

  • Lagre data på europæiske servere
  • Data er beskyttet og overholder GDPR
  • Nem installation og brugervenlig brugergrænseflade.
Google-Analytics-er-i-krænkelse-af-GDPR
Fathom Analytics

Plausible analyser 

  • Et værktøj uden cookies, der overholder GDPR
  • Europæisk cloud-infrastruktur
  • Venlig brugergrænseflade
Google-Analytics-er-i-krænkelse-af-GDPR
Plausible

Forbedre webstedet

  • Baseret og grundlagt i Danmark
  • Spor de besøgendes adfærd
  • 100 % ejerskab af data
Google-Analytics-er-i-krænkelse-af-GDPR
Forbedre webstedet

Cloud-hosted analytics-udbyder 

Her kan din virksomhed opbevare data et andet sted end datavirksomhedens placering. Selv om Matomo f.eks. er en virksomhed, der er beliggende i New Zealand, kan virksomheder via cloud-lagring skabe et komplet sæt EU-baserede dataanalyser ved at lagre data på Matomos tyske servere.

Google-Analytics-er-i-krænkelse-af-GDPR
Forbedre webstedet

Selvhostende analyseplatform 

Undgå risikoen for, at tredjeparter uden for EU bliver helt forbudt i hele Europa. Brug i stedet en selvhostet løsning som PostHog eller Piwik. Du står selv for hosting og vedligeholdelse og har i nogen grad adgang til professionelle rapporteringsmuligheder via softwareværterne.

PostHog-Google-Analytics-er-i-overtrædelse-af-GDPR
PostHog

Vent på Googles svar 

Google vil ikke droppe EU-markedet. Google vil finde en måde at forblive på, enten gennem en kortsigtet juridisk løsning eller en mere langsigtet teknisk løsning. I mellemtiden må vi vente lidt.

Google har allerede annonceret, at Google Analytics Universal vil blive pensioneret i juli 2023, og har frigivet en opgradering, Google Analytics 4, i marts. Da Google Analytics 4 blev bygget med brugeren i tankerne og med fokus på beskyttelse af personlige data, kan dette være svaret på GDPR-dommene.

Softwaren er ikke afhængig af cookies og IP-adresser, og alle brugeroplysninger præsenteres som hashede data. Men problemet består stadig - overførslen af data til USA. Det er her, at Google Analytics støder sammen med GDPR og bliver ulovligt.

Hvad vil din fremtid bringe?

Den måde, hvorpå virksomheder sporer data, vil fortsat ændre sig. Efterhånden som loven indhenter de store teknologiske fremskridt, vil mængden af data, du kan lagre eller behandle, blive begrænset yderligere. Vi tror, at der derfor vil være mange virksomheder, der bevæger sig i retning af en førstepartsstrategi for data.

En strategi for data fra første part ville indebære, at man klart og tydeligt, ikke i skjulte vilkår og betingelser, beder kunderne om frivilligt at dele deres data. Denne strategi er sammen med strammere regler et skridt i retning af, at privatlivets fred online afspejler privatlivets fred offline: kun at tillade lagring af data, hvis brugerne henvender sig til virksomhederne - ud over at besøge en webside eller indtaste et søgeord.

Vores sidste tanker om Google Analytics' afgørelse 

Med disse nylige afgørelser præciserer myndighederne loven over for teknologivirksomhederne om, hvad der er tilladt og hvad der ikke er tilladt. Derved former afgørelserne fremtiden for dataindsamling og har til formål at skabe en mere sikker digital verden og samtidig presse virksomhederne til at tage deres etiske ansvar for indsamling, overførsel og brug af data op til overvejelse.

Nye regler som GDPR vil fortsat kræve, at mange virksomheder tilpasser deres praksis og ændrer den måde, hvorpå data indsamles. Men så længe internettet eksisterer, vil fremtiden stadig indeholde data, og Google vil med garanti være en del af den fremtid.