Rendkívül érdekes bírósági döntés született egy adatvédelmi ügyben Ausztriában, ami tulajdonképpen törvényellenesnek nyilvánította az országban a Google Analytics használatát. A panaszt egy adatvédelmi aktivista nyújtotta be, aki száz másik ügyet is elindított az EU tagállamaiban, ezzel sürgetve a konkrét eset mögött meghúzódó nagyobb probléma megoldását.
Max Schrems a NOYB (None Of Your Business) adatvédelmi csoporttal közösen küzd azért, hogy a 2018-ban meghozott adatvédelmi szabályozást, a GDPR-t tényleg be is tartsák a nagy techvállalatok. Legújabb panaszhullámuk mögött az áll, hogy az európai ügyfeleknek vagy fogyasztóknak nyújtott szolgáltatások során keletkezett adatokat a Google, a Facebook és társaik az Egyesült Államokban található adatközpontjaikba továbbítják, ezzel pedig gyakorlatilag nem tudják garantálni, hogy a GDPR-ban meghatározott védelmet megkapják az európai polgárok adatai.
Ennek oka elsősorban az USA megfigyelési törvényeiben keresendő, aminek a működése az Egyesült Államok hírszerzési szerveinek lehetőséget ad, hogy az Európából átkerült adatokba betekintést nyerjenek. Az Európai Unió és amerikai partnerei között két megállapodás, a Safe Harbor és a Privacy Shield is született korábban, amik a kontinensünkről az Atlanti-óceán túloldalára vándorló adatok védelmét voltak hivatottak garantálni. Ám az Európai Unió bírósága mindkettőről kimondta, hogy alkalmatlan erre a feladatra, a Privacy Shield kapcsán 2020-ban döntött így a testület.
Az osztrák bíróság most ennek nyomán találta törvényellenesnek a Google Analytics használatát, és mivel a tömegesen beadott, hasonló kérelmeket egymás között is megvitatta több európai adatvédelmi hatóság, nem kizárt, hogy enyhébb ítéletek mellett néhány olyan, a jelenlegi gyakorlatot alapjaiban elutasító döntés is születik, mint Ausztriában. Amennyiben az adatok az Egyesült Államokba történő átküldését széles körben illegálisnak találnák az európai hatóságok, az komolyan átrajzolhatná a felhőalapú szolgáltatások piacát, de nem ez a legvalószínűbb változat a jövőbeli történésekre.
Megoldást jelenthetne, ha az amerikai fél úgy alakítaná saját törvényeit, hogy az USA-ban történő adatkezelés is megfeleljen a GDPR-nak, de erre látszik a legkevesebb esély. Ehelyett valószínűleg a Privacy Shield utódjaként az Egyesült Államok és az EU szakemberei egy újabb egyezséget próbálnak meg tető alá hozni, ami megállja a helyét az Unió Bírósága előtt is. Amennyiben viszont ez nem valósul meg elég gyorsan, nem kizárt, hogy az amerikai felhőszolgáltatóknak az USA-tól elzárt adatközpontokat kell létrehozniuk Európában, amire például a Google látszólag el is kezdett felkészülni, Németországban a helyi T-Systems segítségével.
