UPPDATERING av 101 klagomål: Österrikiska datainspektionen avvisar "riskbaserat tillvägagångssätt" för dataöverföringar till tredje land
Efter de banbrytande besluten från den österrikiska och franska datainspektionen om att användningen av Google Analytics är olaglig, har den österrikiska datainspektionen nu fattat ett andra beslut som går ännu längre: Den förklarade att användningen av Googles IP-anonymisering är en värdelös skyddsåtgärd för dataöverföringar mellan EU och USA. DSB förkastade vidare begreppet "riskbaserat tillvägagångssätt" som Google hade argumenterat för.
Vissa myndigheter i Europa har samtidigt avslutat ärendena: De spanska och luxemburgska dataskyddsmyndigheterna har båda avslutat klagomålsförfaranden utan att kommentera den olagliga användningen av Google Analytics, eftersom den berörda webbplatsen slutade använda Google Analytics.
- Länk till engelsk översättning av det redigerade beslutet
- Länk till det redigerade tyska originalet
- Länk till tidigare österrikiskt beslut
- Länk till tidigare franskt Beslut på franska
GDPR innehåller inte något "riskbaserat tillvägagångssätt" för dataöverföringar. Efter Schrems II förespråkade Big Tech och branschjurister ett "riskbaserat tillvägagångssätt" för dataöverföringar. De föreslog att ytterligare skyddsåtgärder, som begärts av EU-domstolen, endast skulle vara nödvändiga om det föreligger en "betydande risk för den registrerades rättigheter och friheter". Så kallade standardavtalsklausuler bör räcka för "lågriskfall", t.ex. när "endast" uppgifter som online-identifierare eller IP-adresser överförs. DSB har nu konstaterat att denna uppfattning är felaktig: GDPR känner inte till något riskbaserat tillvägagångssätt för dataöverföringar till osäkra tredjeländer, som t.ex. USA.
"DSB har slutligen avslöjat det "riskbaserade tillvägagångssättet" för dataöverföringar för vad det är: ett klumpigt försök att mildra EU-domstolens tydliga rättspraxis. I de relevanta artiklarna om dataöverföringar används inte ordet "risk" en enda gång." - Marco Blocher, dataskyddsjurist på noyb
Googles IP anonymisering skyddar inte data. Det österrikiska DSB avvisade också Googles argument att webbplatser kan aktivera IP-anonymisering när de använder verktyg som Google Analytics för att effektivt skydda de överförda uppgifterna från övervakning. Detta avvisades av två skäl: för det första påverkar Googles IP-anonymisering endast IP-adressen som sådan. Uppgifter såsom online-som onlineidentifierare som ställs in via cookies eller enhetsdata överförs i klartext. För det andra sker IP-anonymiseringen först efter det att uppgifterna har överförts till Google.
"Det är nu bekräftat att bara för att IP-adresser blir anonymiseras i ett skede av processen, behandlas IP-adresserna fortfarande initialt. Anonymisering en identifierare inte heller övervinner det faktum att det finns andra identifierare." - Marco Blocher, dataskyddsjurist på noyb
Nationella tillvägagångssätt trots EDPB:s arbetsgrupp. Datainspektionerna skulle ha tagit ett samordnat grepp om noybs101 klagomål, men den arbetsgrupp som inrättats verkar inte leverera: medan de österrikiska och franska datainspektionerna grundligt har undersökt användningen av verktyg som överför personuppgifter till USA, har den spanska datainspektionen helt enkelt avfärdat ett klagomål eftersom webbplatsleverantören har tagit bort Google Analytics från webbplatsen efter klagomålet. Inget sägs om huruvida dataöverföringarna till USA före borttagandet har varit olagliga eller inte. På samma sätt har DPA i Luxemburg avvisat tre klagomål avseende dataöverföringar till Facebook-servrar i USA, eftersom webbplatserna har tagit bort verktygen.
"Att stoppa överträdelser gör inte en tidigare överträdelse laglig. Enligt dessa myndigheters logik skulle man inte få fortkörningsböter om man slutade köra för fort vid något tillfälle." - Marco Blocher, dataskyddsjurist på noyb
