突发新闻:奥地利数据保护局(“Datenschutzbehörde”或“DSB”或“DPA”)裁定,使用 Google Analytics 的奥地利网站提供商违反了 GDPR。
这项裁决源于欧洲联盟法院 (CJEU)于 2020 年做出的一项裁决,该裁决指出,托管在美国的云服务无法遵守《通用数据保护在奥地利现已被禁止条例》(GDPR) 和欧盟隐私法。做出这一裁决的原因是,美国的监控法要求美 墨西哥数据 国服务提供商(例如谷歌或 Facebook)向美国当局提供个人数据。
2020 年的这项裁决被称为“Schrems II”,标志着“隐私盾”的终结。该框架允许将欧盟数据传输到获得认证的美国公司。
这一裁决一出,科技行业一片哗然,但许多美国和欧盟公司却选择对此案视而不见。正是这种视而不见的选择,让一家奥地利企业陷入了数据保护机构的火线,不仅损害了该品牌的声誉,还可能面临高达2000万欧元(相当于该机构全球营业额4%)的巨额罚款。
关于奥地利数据保护机构的示范案例
在这个特定的案例中,noyb(欧洲数字权利中心)发现,由于该组织使用 Google Analytics, IP 地址(根据 GDPR 将其归类为个人数据)和其他标识符通过 cookie 数据发送到了美国。
此典型案例促使数据保护机构(在奥地利 赌博网站的搜索引擎优化(seo) 现已被禁止DPA)裁定,使用谷歌分析(Google Analytics)的奥地利网站提供商违反了《通用数据保护条例》(GDPR)。相信其他欧盟成员国也将很快效仿这一裁决。我们预计,大多数欧盟成员国的类似决定将逐渐减少。我们已向几乎所有成员国提交了101份投诉,相关部门已协调处理。欧洲数据保护监督机构上周也发布了类似的决定。
如果您使用 Google Analytics,这意味着什么?
如果从这个案例中可以学到一件事,那就是忽视这些法庭裁决并继续使用 Google Analytics 并不是一个可行的选择。
如果您在奥地利运营网站,或者您的网站为 联合王国数据 奥地利公民提供服务,您应该立即从您的网站中删除 Google Analytics。
对于其他欧盟成员国的企业
我们也强烈建议您在 noyb 和当地数据保护机构开始针对更多企业之前采取行动。 美国公司并没有真正调整服务以符合《通用数据保护条例》(GDPR),而是试图简单地在其隐私政策中添加一些文字,无视欧洲法院的裁决。许多欧盟公司也纷纷效仿,而不是选择合法途径。马克斯·施雷姆斯
不过,从您的网站移除 Google Analytics 并不意味着您需要完全放弃网站分析。目前有多种Google Analytics 替代方案可供选择。尤其是 Matomo,它是一个功能强大的开源网络分析平台,可让您100% 拥有数据所有权,并符合 GDPR 规定。