Google Analytics bryter mot GDPR. Finns det några alternativ?

Introduktion

Efter Österrike, Italien och Frankrike har Danmark förklarat Google Analytics olagligt. Beslutet tillkännagavs nyligen av den danska dataskyddsmyndigheten efter en bedömning av alleuropeiska fall som rör Google Analytics användning av uppgifter. Vad innebär detta egentligen för företag som använder Google Analytics och vilka konsekvenser kommer detta att få?

För att besvara dessa frågor måste vi starta från början.

Dataskyddsförordningen och Schrems II

I maj 2018 trädde GDPR (General Data Protection Regulations) i kraft i EU-lagstiftningen. Detta är en av de hårdaste säkerhetslagarna i världen och syftar till att skydda användarnas integritet. Du kan läsa i detalj om GDPR här.

Några år senare, 2020, beslutade EU-domstolen att Facebooks överföring av användardata till USA strider mot GDPR ( Schrems II-domen). Denna dom berodde på att amerikansk lag ger underrättelsetjänster tillgång till EU-medborgares uppgifter när de överförs till USA - ett direkt brott mot GDPR.

Domen gjorde i princip Facebooks och andra teknikföretags som Google olagligt. Men företagen hittade ett kryphål. Genom att tillhandahålla en standardavtalsklaus som tidigare godkänts av EU kunde de lagligt fortsätta att driva verksamheten.

Österrike, Frankrike och Italien

I januari 2022 avgjorde den österrikiska dataskyddsmyndigheten ett liknande fall som Schrems II. Den här gången stod Google Analytics i fokus. På grund av att det inte fanns några avtal mellan EU och USA om användaruppgifter kunde Google Analytics inte garantera att österrikiska medborgares uppgifter skulle skyddas. Som en följd av detta ansågs Google Analytics vara olagligt.

Snart, de Franska och Italienska dataskyddsmyndigheterna kommer att fatta ett liknande beslut när de granskade det Österrikiska fallet. Båda ansåg att Google Analytics under vissa omständigheter är olagligt, vilket gör det möjligt att skapa ett bredare europeiskt samtycke.

Efter dessa domar har den franska datamyndigheten rekommenderat företag att använda en proxyserver för att undvika olagligheter. Det är dock komplicerat att använda en proxyserver och det kommer att ge oanvändbara uppgifter. Läs mer om hur man använder en proxyserver här.

Vad händer efter? 

Många företag i Europa, inte bara i Danmark, förlitar sig på Google Analytics för att spåra, analysera och utvärdera kunddata. Med detta i åtanke kan man förvänta sig en övergångsperiod; därför behövs inga åtgärder för närvarande.

Under den här perioden förutspår vi inte heller någon teknisk reaktion, som ökar anonymiseringen av uppgifter, eller fysisk reaktion, som att hålla uppgifterna inom EU. Även om det talas om att Google ska lagra data i Tyskland så är det komplext och tidskrävande att få detta att hända.

Låt oss därför titta på några alternativa alternativ för framtiden.

Välj ett annat analysföretag

Alla företag som lagrar uppgifter om EU-medborgare utanför EU kommer sannolikt att få problem med denna regel. Därför är det bäst att undvika dessa företag som spårar uppgifter.

Här är en kort lista över alternativ till Google Analytics:

Matomo

  • Lagra användardata i molnet i Tyskland
  • Importera data från Google Analytics
  • Gratis med möjlighet att köpa extra funktioner.
Google-Analytics-är-i-brott mot GDPR
Matomo

Fathom Analytics 

  • Lagra data på europeiska servrar
  • Uppgifterna skyddas och överensstämmer med GDPR
  • Enkel installation och användarvänligt gränssnitt.
Google-Analytics-är-i-brott mot GDPR
Fathom Analytics

Plausible Analytics 

  • Ett verktyg utan kakor som uppfyller GDPR
  • Europeisk molninfrastruktur
  • Vänligt användargränssnitt
Google-Analytics-är-i-brott mot GDPR
Plausibelt

Site Improve

  • Baserat och grundat i Danmark
  • Spåra besökarnas beteenden
  • 100 % äganderätt till data
Google-Analytics-är-i-brott mot GDPR
Site Improve

Leverantör av molnbaserad analys 

Här kan ditt företag lagra data på en annan plats än dataföretaget. Även om Matomo till exempel är ett företag i Nya Zeeland kan företag genom molnlagring skapa en komplett uppsättning EU-baserade dataanalyser genom att lagra data på Matomos Tyska servrar.

Google-Analytics-är-i-brott mot GDPR
Site Improve

Självhostade analysplattform 

Undvik risken att tredje parter utanför EU blir helt förbjudna i hela Europa. Använd i stället en lösning med egen hosting som PostHog eller Piwik. Du ansvarar för hosting och underhåll och har viss tillgång till professionella rapporteringsmöjligheter via programmetshost.

PostHog-Google-Analytics-är-i-brott mot GDPR
PostHog

Vänta på Googles lösning 

Google kommer inte att släppa EU-marknaden. Google kommer att hitta ett sätt att stanna kvar, antingen genom en kortsiktig juridisk lösning eller en mer långsiktig teknisk lösning. Under tiden måste vi vänta.

Google har redan meddelat att Google Analytics Universal kommer att läggas ned i juli 2023 och släppte en uppgradering, Google Analytics 4, i mars. Eftersom Google Analytics 4 byggdes med användaren i åtanke och fokuserar på att skydda personuppgifter kan detta vara svaret på GDPR-besluten.

Programvaran är inte beroende av cookies och IP-adresser, och all användarinformation presenteras som hashade data. Men problemet kvarstår fortfarande - överföringen av uppgifter till USA. Det är här som Google Analytics krockar med GDPR och blir olagligt.

Hur ser din framtid ut?

Företagens sätt att spåra data kommer att fortsätta att förändras. I takt med att lagen hinner ikapp de stora tekniska framstegen kommer mängden data som du kan lagra eller behandla att begränsas ytterligare. Vi tror att många företag därför kommer att gå över till en första part data strategi.

En strategi för förstapartsdata skulle innebära att man tydligt ber kunderna om att frivilligt dela med sig av sina data, inte genom dolda villkor. Denna strategi, tillsammans med strängare bestämmelser, är ett steg mot att integriteten på nätet ska spegla integriteten utanför nätet: uppgifter får endast lagras om användarna kontaktar företagen - utöver att besöka en webbsida eller ange en sökterm.

Våra sista tankar om Google Analytics' beslut 

I och med de senaste domarna klargör myndigheterna lagen för teknikföretag om vad som är tillåtet och vad som inte är tillåtet. På så sätt formar domarna framtiden för datainsamling och syftar till att skapa en säkrare digital värld samtidigt som de pressar företagen att ta sitt etiska ansvar för insamling, överföring och användning av data.

Nya bestämmelser som GDPR kommer att fortsätta att kräva att många företag anpassar sina rutiner och ändrar hur data samlas in. Men så länge det finns internet kommer framtiden att innehålla data, och Google kommer garanterat att vara en del av den framtiden.

Andra insikter