Op 13 januari 2022 werd er een behoorlijke bom losgelaten op ‘privacyland’: de Oostenrijkse privacytoezichthouder (Datenschutzbehörde of DSB) oordeelde dat het gebruik van Google Analytics in strijd is met de AVG. Want hoewel Google Analytics stelt persoonsgegevens te beschermen tegen de Amerikaanse overheid door het nemen van technische en organisatorische maatregelen, ziet de DSB niet in hoe deze maatregelen bescherming bieden tegen de mogelijkheid tot surveillance door de Amerikaanse Inlichtingendiensten. Immers, Google Analytics wordt onder Amerikaans recht als ‘aanbieder van elektronische communicatiediensten’ beschouwd en als gevolg daarvan onderworpen aan toezicht van Amerikaanse inlichtingendiensten. Deze inlichtingendiensten kunnen Google Analytics vervolgens verplichten om (persoons)gegevens van EU-burgers te verstrekken.
Juridisch gezien is de uitspraak van DSB juist en te begrijpen. Er wordt niet voldaan aan de gestelde voorwaarden ten aanzien van gegevensbescherming en dus handelt Google Analytics in strijd met de AVG. Maar welk onrecht wordt er in de praktijk voorkomen door het gebruik van Google Analytics te verbieden? Van hoeveel ondernemingen zal de Amerikaanse inlichtingendienst Google Analytics nou daadwerkelijk verzoeken om persoonsgegevens te overhandigen? Is het, met andere woorden, niet meer een puur juridische uitspraak die voor ondernemingen meer problemen oplevert dan dat het voordelen oplevert voor EU-burgers?
Want dat deze uitspraak niet alleen juridische gevolgen heeft moge duidelijk zijn. De gegevens die bedrijven verkrijgen middels diensten als Google Analytics zijn van groot – zo niet essentieel – belang voor de winstgevendheid van een onderneming. Inzet van Google Analytics kan ervoor zorgen dat de dienstverlening dusdanig is ingericht dat het aansluit bij de behoeftes van de afnemers, de onderneming kostenefficiënt is, maar ook dat de onderneming kan concurreren met organisaties van buiten de EU. Er wordt daarom door bedrijven veel geld gestoken in het doen van goede analyses. Door het niet meer kunnen gebruiken van Google Analytics zullen de betreffende ondernemingen worden gedwongen om andere diensten in te kopen en opnieuw in te richten. Dit kost tijd en geld. En wie zullen die kosten moeten betalen? De afnemers van deze bedrijven, oftewel de consument waarvan de persoonsgegevens worden beschermd met deze uitspraak.
Veel van deze consumenten zal het volgens mij om het even zijn of de Amerikaanse inlichtingendiensten inzage kunnen krijgen in hun persoonsgegevens. Misschien zullen ze het wel vervelend vinden als het ze letterlijk gevraagd wordt of ze het ermee eens zijn als het gebeurt. Maar ik vermoed dat ze dat offer echt wel willen brengen als ze weten wat de (mogelijke) consequenties zijn wanneer dat niet gebeurt. Als blijkt dat de diensten of de goederen die ze afnemen vele malen duurder zullen worden, omdat bedrijven veel meer kosten moeten maken wanneer de minimale mogelijkheid bestaat dat hun gegevens met de inlichtingendiensten in de VS worden gedeeld. Ik kan me namelijk voorstellen dat de gemiddelde consument niks te verbergen heeft en dus geen gevolgen zal ondervinden van een dergelijke gegevensdeling.
Begrijp me niet verkeerd, ik ben er zeker voorstander van dat eenieder zich aan de wet houdt. Maar ik vraag me af en toe wel af of we het ondernemingen in de EU niet té moeilijk maken met alle verplichtingen uit de AVG. Van bedrijven wordt verwacht dat ze de bescherming van persoonsgegevens tot in de vezels van hun bestaan hebben ingericht. Terwijl de gemiddelde EU-burger – geen feit, maar een mening gebaseerd op basis van rondvragen in mijn eigen omgeving – zonder blikken of blozen de meest gevoelige persoonsgegevens het wereldwijde web opslingert op het moment dat ze daar voor zichzelf een voordeel in zien of gewoon omdat het leuk is om te delen (bijvoorbeeld op Facebook of Instagram). Dat betekent niet dat ik niet vind dat bedrijven persoonsgegevens goed moeten beschermen, maar dat ik me wel afvraag of er van de wetgeving meer moet dan burgers verwachten.
Hoe het ook zij, door de vasthoudendheid van Max Schrems en zijn Non Of Your Business (NOYB) zal Google Analytics mogelijk niet de enige (cloud)dienst zijn waar ondernemend Europa (voorlopig) geen gebruik meer van zal kunnen maken. Immers, ook van diensten als Hotjar, Teams, Microsoft 356, AWS en ontelbare andere diensten weten we niet geheel zeker wat er met de persoonsgegevens in de VS gebeurt. En of er dus niet in strijd wordt gehandeld met de AVG door het gebruik ervan. Althans, zolang er geen oplossing komt voor de bescherming van persoonsgegevens van EU-burgers tegen de surveillance mogelijkheden van de Amerikaanse overheid.
Max Schrems zelf ziet twee mogelijkheden om uit deze – toch wel – impasse te geraken: óf de VS past de basisbescherming voor buitenlanders aan om hun Tech-industrie te ondersteunen, óf Amerikaanse providers zullen buitenlandse data buiten de VS moeten hosten of afzonderlijke producten moeten ontwikkelen voor gebruikers in de EU. Mijn hoop is op de eerste oplossing gericht. Dat lijkt me eerlijker voor het speelveld van ondernemers over de gehele wereld.