UPDATE over 101 klachten: Oostenrijkse DPA verwerpt "risicogebaseerde aanpak" voor gegevensoverdracht naar derde landen
Na de baanbrekende besluiten van de Oostenrijkse en Franse gegevensbeschermingsautoriteiten dat het gebruik van Google Analytics illegaal is, heeft de Oostenrijkse gegevensbeschermingsautoriteit nu een tweede besluit genomen dat nog verder gaat: Het verklaarde het gebruik van Google's IP-anonimisering tot een nutteloze beschermingsmaatregel voor gegevensoverdrachten tussen de EU en de Verenigde Staten. Het DSB verwierp voorts het door Google bepleite concept van een "risicogebaseerde aanpak"
Sommige autoriteiten in Europa hebben tegelijkertijd de zaken gesloten: De Spaanse en Luxemburgse gegevensbeschermingsautoriteiten hebben beide klachtenprocedures gesloten zonder zich uit te spreken over het onrechtmatige gebruik van Google Analytics, aangezien de betrokken website het gebruik van Google Analytics heeft gestaakt.
- Link naar Engelse vertaling van geredigeerd besluit
- Link naar bewerkte Duitse origineel
- Link naar eerdere Oostenrijkse beschikking
- Link naar eerdere Franse Besluit
GDPR voorziet niet in "risicogebaseerde benadering" voor gegevensdoorgiften Na Schrems II pleitten Big Tech en juristen uit de sector voor een "risicogebaseerde aanpak" voor gegevensoverdrachten. Zij stelden voor dat aanvullende waarborgen, zoals gevraagd door de HvJEU, moeten alleen nodig zijn in geval van een "aanzienlijk risico voor de rechten en vrijheden van de betrokkene". Zogenaamde modelcontractbepalingen zouden moeten volstaan voor "gevallen met een laag risico", bv. wanneer "alleen" gegevens zoals online-identificatiegegevens of IP-adressen worden doorgegeven. Het DSB heeft nu vastgesteld dat dit standpunt onjuist is: de GDPR kent geen risicogebaseerde aanpak voor gegevensoverdrachten naar onveilige derde landen, zoals de VS.
"Het DSB heeft eindelijk de "risicogebaseerde aanpak" voor gegevensoverdrachten ontmaskerd voor wat het is: een onhandige poging om de duidelijke jurisprudentie van het HJEU af te zwakken. In de relevante artikelen over gegevensoverdracht wordt het woord "risico" geen enkele keer gebruikt." - Marco Blocher, advocaat gegevensbescherming bij noyb
Google's IP anonimisering beschermt gegevens niet Het Oostenrijkse DSB verwierp ook de argumenten van Google dat websites IP-anonimisering kunnen activeren bij het gebruik van tools zoals Google Analytics om de doorgegeven gegevens effectief te beschermen tegen toezicht. Dit werd om twee redenen verworpen: ten eerste heeft de IP-anonimisering van Google alleen gevolgen voor het IP-adres als zodanig Gegevens zoals online-identificatiegegevens in cookies of apparaatgegevens worden ongecodeerd doorgegeven. Ten tweede vindt de IP-anonimisering pas plaats nadat de gegevens aan Google zijn overgedragen.
"Het is nu bevestigd dat alleen omdat IP-adressen worden geanonimiseerd in een fase van het proces, de IP-adressen nog steeds in eerste instantie worden verwerkt Het anonimiseren van van één identificator neemt ook niet weg dat er andere identificatoren zijn."Marco Blocher, advocaat gegevensbescherming bij het noyb
Nationale benaderingen ondanks EDPB-taskforce De gegevensbeschermingsautoriteiten hadden een gecoördineerde aanpak gepland met betrekking tot de 101 klachten van noyb, maar de geïnstalleerde taskforce lijkt dit niet waar te maken: terwijl de Oostenrijkse en Franse gegevensbeschermingsautoriteiten een grondig onderzoek hebben ingesteld naar het gebruik van tools die persoonsgegevens naar de VS doorgeven, heeft de Spaanse gegevensbeschermingsautoriteit een klacht gewoon terzijde geschoven omdat de websiteaanbieder Google Analytics na de klacht van de website heeft verwijderd. Geen woord over de vraag of de gegevensoverdrachten naar de VS vóór de verwijdering al dan niet onwettig waren. Evenzo heeft de gegevensbeschermingsautoriteit van Luxemburg drie klachten over gegevensoverdrachten naar Facebook-servers in de VS afgewezen, omdat de websites de tools hebben verwijderd.
"Het stoppen van overtredingen maakt een overtreding uit het verleden niet legaal. Volgens de logica van deze autoriteiten zou je geen snelheidsovertreding mogen bekeuren als je op een bepaald moment stopt met te hard rijden." - Marco Blocher, advocaat gegevensbescherming bij noyb