Schrems II i praktiken: vad det betyder för din webbanalys
Data Privacy Framework gjorde GA4 tekniskt lagligt igen. Det gjorde inte juristerna mindre försiktiga. Här är vad du faktiskt behöver veta för att fatta ett vettigt beslut.
Sammanfattning för dig som har bråttom
- Schrems II (2020) ogiltigförklarade Privacy Shield och därmed grunden för att överföra personuppgifter till USA. Standardavtalsklausuler (SCC:er) fungerade fortfarande, men endast med kompletterande tekniska skyddsåtgärder.
- Data Privacy Framework (2023) är ersättaren. Amerikanska bolag som certifierar sig får ta emot EU-persondata utan SCC:er. Google, Meta, Amazon, Microsoft är alla certifierade.
- Risken är inte borta. DPF kan ogiltigförklaras igen, precis som dess två föregångare. Schrems själv har redan stämt det. Och DPF skyddar inte mot amerikansk lagstiftning som CLOUD Act, FISA 702 och Executive Order 12333.
- För webbanalys specifikt finns inget värde av US-baserad behandling. Du får exakt samma siffror från en EU-hostad tjänst utan juridisk grävning.
- 2000Safe Harbor
Första EU-US-överföringsavtalet.
- 2015Schrems I ogiltigförklarar Safe Harbor
NSA-övervakning gör USA inte adekvat.
- 2016Privacy Shield
Ersättare för Safe Harbor.
- 2020Schrems II ogiltigförklarar Privacy Shield
FISA 702 och EO 12333 fortfarande problem.
- 2023Data Privacy Framework (DPF)
Ny mekanism, ny klagomekanism (DPRC).
- 2023Schrems III stämning lämnas in
Max Schrems argumenterar att DPF är samma sak igen.
- 2027-2030?Sannolikt DPF-utfall
Om mönstret håller får vi en tredje annullering.
Vad Schrems II faktiskt sa
EU-domstolen avgjorde i mål C-311/18 (Schrems II) den 16 juli 2020 att Privacy Shield-avtalet mellan EU och USA inte ger tillräckligt skydd för EU-medborgares personuppgifter. Kärnan i domen är teknisk: amerikansk lagstiftning, särskilt FISA 702 och Executive Order 12333, ger NSA och andra federala myndigheter rätt att kräva åtkomst till data hos amerikanska teknikbolag, utan att betroende person någonsin får veta om det.
EU-medborgare har enligt GDPR rätt till rättsligt skydd, rätt till information och rätt att få veta hur deras data behandlas. Amerikansk lagstiftning ger dem ingen av dessa rättigheter när data hamnar hos en NSA-förfrågan. Det är konflikten i sin enkelhet.
Data Privacy Framework, sammanfattat
I juli 2023 trädde EU-US Data Privacy Framework i kraft. Det är resultatet av ett politiskt avtal mellan EU och USA, plus en amerikansk Executive Order (14086) som inrättar en ny tvistelösningsmekanism för EU-medborgare, kallad Data Protection Review Court (DPRC). Bolag i USA kan ansluta sig till DPF, åta sig att följa GDPR-liknande principer, och därmed lagligt ta emot EU-personuppgifter utan SCC:er.
Tekniskt sett betyder det att Google Analytics 4, eftersom Google är DPF-certifierat, är lagligt att använda i EU igen, förutsatt att du har samtycke och informerar i din integritetspolicy.
Men flera saker har inte ändrats:
- FISA 702 och Executive Order 12333 finns kvar. De är amerikansk lagstiftning och kan inte ändras via ett politiskt avtal med EU.
- CLOUD Act från 2018 ger amerikanska myndigheter rätt att kräva data från amerikanska bolag oavsett var datan fysiskt lagras, inklusive europeiska datacenter.
- DPRC är inte en domstol i klassisk mening. Den är administrativ, processen är hemlig och ingen klagande får veta om utfallet i sitt enskilda fall.
Varför juristerna inte litar på det
Max Schrems, juristen som vann de två första målen, lämnade in en ny stämning mot DPF i september 2023. Hans argument är att DPF i praktiken är samma sak som Privacy Shield, bara med en ny domstol som inte är en domstol.
Historiskt har varje EU-US-överföringsmekanism dragits inför EU-domstolen och ogiltigförklarats inom 4 till 6 år: Safe Harbor (1999 - 2015), Privacy Shield (2016 - 2020), DPF (2023 - ?). Om mönstret håller går vi mot en tredje annullering någon gång mellan 2027 och 2030.
För dig som personuppgiftsansvarig betyder det att om du bygger din webbanalys på DPF idag, kan du behöva bygga om den om två till fyra år. För en webbanalys-installation är det inte katastrof. För en hel CRM-stack är det dyrt.
Vad IMY säger
Integritetsskyddsmyndigheten har varit konsekventa: DPF är en risk-acceptabel lösning för de flesta privatpersoner och näringslivet, men för offentlig sektor och särskilt känsliga verksamheter rekommenderas en EU-baserad tjänst. I praktiken betyder det att kommuner, regioner, myndigheter, vård och skola fortsätter att välja EU-alternativ även när det tekniskt sett vore lagligt att stanna i Google-stacken.
För privata bolag är det mer en affärsrisk- och resursfråga. Hur mycket är det värt att använda fem timmar per kvartal på att försvara en GA4-installation i procurement-frågor och vendor-frågeformulär?
Vad du faktiskt kan göra åt det
Det finns tre realistiska vägar för en svensk verksamhet 2026:
1. Behåll GA4 och hantera risken
Helt giltigt val för många. Förutsätter att du har samtyckesinhämtning (cookie-banner) på plats, att integritetspolicyn nämner DPF och att du loggar varför du bedömt att DPF är tillräcklig för era specifika behandlingar (transferimpactassessment, TIA).
2. Byt till en EU-hostad tjänst
Den enklaste vägen att eliminera US-överföringen helt. Cookie-fria alternativ som Spårlös, Plausible eller Fathom flyttar all behandling till EU-datacenter. Schrems II och DPF blir då irrelevanta för din webbanalys. Du behöver inte heller cookie-banner längre, eftersom tjänsterna inte sätter cookies eller lagrar direkta identifierare.
3. Self-hosted Matomo eller Umami på egna servrar
Maximal kontroll, men kräver att någon hos er sköter uppdateringar, backuper och säkerhet månadsvis. För medel- och storbolag med IT-team är det en bra väg. För SMB är det oftast överdimensionerat.
Vad du sparar genom att flytta
Det här är de konkreta saker som försvinner när du tar bort US-överföringen från webbanalysen:
- Behovet av en TIA (transfer impact assessment) specifikt för webbanalysen.
- En sub-processor som du måste lista i ditt eget DPA mot dina kunder.
- Cookie-banner-friktionen (förutsatt att du också tar bort andra trackers som kräver samtycke).
- En återkommande fråga i vendor-frågeformulär från större kunder.
- Risken att behöva byta plattform om DPF ogiltigförklaras.
Vad du behöver göra om du redan har bytt
Om du har gjort bytet, uppdatera följande dokument:
- Integritetspolicy: ta bort omnämnandet av Google Analytics och lägg till den nya tjänsten. Vårt integritetspolicy-exempel är skrivet att kopieras och anpassas.
- Cookie-banner: om webbanalys var enda grund för bannern kan du ta bort den helt. Annars förenkla den genom att ta bort analytics-kategorin.
- DPA-listan: ersätt Google LLC med den nya leverantören. Vårt DPA är förförberett enligt artikel 28 GDPR och kan skrivas under direkt.
- Säkerhetspolicy: notera att dataflödet nu håller sig inom EU. Detaljerna ligger på säkerhetssidan om du vill citera.
Mer läsning
- Är Google Analytics olagligt i Sverige 2026? - svenskt rättsläge sammanfattat
- Varför svenska företag byter från Google Analytics 2026 - vad som faktiskt driver beslutet
- Spårlös vs Google Analytics - jämförelsetabell