Släppa lagar och älsklingsaffärer håller på att bli ett minne blott för stora teknikföretag, särskilt i Europa där en rad domar utgör ett stort hot mot en av Googles flaggskeppsprodukter.

Mer än hälften av världens webbplatser använder Google Analytics för att hjälpa sina ägare att förstå användarnas beteende.

Programvaran, som distribuerar cookies för att spåra användarbeteende, kostar ingenting i kontanter – även om den stora mängden data bidrar till att driva på Googles enorma vinster.

År 2020 slogs dock ramverket som övervakar hur personuppgifter överförs från EU till USA ned av EU-domare på grund av oro över snokning av amerikanska spionbyråer.

Aktivister har sedan dess lämnat in dussintals fall till tillsynsmyndigheter i Europa och hävdat att verktyget bryter mot EU-medborgarnas grundläggande rättigheter.

Tillsynsmyndigheter i flera länder har dömt ut till aktivisternas fördel och förklarat att Google Analytics är oförenligt med den europeiska dataskyddsförordningen (GDPR).

Domsluten lämnar många europeiska företag i kläm.

De kan hoppa över Google och gå över till ett integritetskompatibelt alternativ som kostar pengar, eller vänta och hoppas på en lösning från Google, tillsynsmyndigheterna eller politikerna.

På fredagen tillkännagav USA och EU att de i princip kommit överens om ett nytt ramverk för att tillåta dataöverföringar, men lämnade inga ytterligare detaljer.

Den österrikiske advokaten Max Schrems, som ledde kampanjen för att ogiltigförklara de tidigare överenskommelserna, skrev på Twitter att det verkade som ett annat "lapptäcke"-upplägg utan någon väsentlig reform av USA:s snoopingsregler.

"Låt oss vänta på ett sms, men min första satsning är att det kommer att misslyckas igen", skrev han.

Möjliga korrigeringar

Förra veckan sa Google att de skulle släppa en ny version av sin programvara som inte skulle lagra IP-adresser, den unika koden som kan identifiera enskilda datorer.

Det amerikanska företaget har också byggt datacenter i Europa.

Effekten av dessa potentiella korrigeringar är dock oklart. Tillsynsmyndigheter har ännu inte kommenterat.

"Dataskyddsmyndigheter har inte lösningen", säger Florence Raynal från den franska tillsynsmyndigheten CNIL, som har dömt Google emot.

"Den lösningen måste tillhandahållas av regeringar på politisk nivå."

Amerikanska företag omfattas av en lag som kallas Cloud Act som tillåter amerikanska säkerhetsbyråer att komma åt data från utländska medborgare oavsett var den lagras.

Även om Google har hävdat att risken med Cloud Act är teoretisk, gör den det ändå svårt för amerikanska företag att följa GDPR.

'Vid ett vägskäl'

Marie-Laure Denis, chef för CNIL, som ses som en ledare vars beslut följs av andra tillsynsmyndigheter, sammanfattade dilemmat vid en konferens för International Association of Privacy Professionals (IAPP) i Paris förra veckan.

Hon sa om amerikanska företag att "deras affärsmodell borde utvecklas, eller så borde den amerikanska rättsliga ramen utvecklas".

Men hon accepterade att situationen för europeiska företag som använder Google Analytics var "komplicerad".

Pascal Thisse, som driver en byrå som ger företag råd om hur de ska följa GDPR, säger att företag befinner sig "vid ett vägskäl" utan någon tydlig uppfattning om vilken väg de ska ta.

"Om du säger åt en kund som använder Google Ads att ta bort Google Analytics kollapsar allt eftersom det är grunden för systemet", säger han.

Men för att följa europeiska domar skulle företag behöva bevisa att USA:s underrättelsetjänst inte är intresserad av den insamlade informationen – ett åtagande långt bortom små företags möjligheter.

Advokat Schrems accepterar också att det inte finns någon enkel lösning.

"Det är svårt för oss eftersom vi vanligtvis försöker föra saker där det finns en lösning och i det här fallet har vi ett politiskt problem", sa han till ett virtuellt evenemang förra veckan innan USA-EU tillkännagivandet.

Han sa att amerikansk lag tillåter massövervakning av icke-amerikanska medborgare, vilket krockade med EU:s stadga om grundläggande rättigheter.

"Antingen ändrar USA sina lagar eller så ändrar EU sina grundläggande grundprinciper", sa han.