Den österrikiska dataskyddsmyndigheten (DSB) har, efter tidigare beslut om att användningen av Google Analytics är olaglig (läs mer om detta här), utfärdat ett andra beslut. Enligt DSB är användningen av Googles ip-anonymisering är en otillräcklig skyddsåtgärd vid överföring av personuppgifter mellan EU och USA. DSB har även förkastat begreppet riskbaserat tillvägagångssätt som Google använt som argument för överföringen.
Efter EU-domstolens dom i Schrems II-målet förespråkade ett antal stora aktörer en riskbaserad strategi för överföringar till tredje land, vilket innebar att ytterligare skyddsåtgärder, som begärts av EU-domstolen, endast ska vara nödvändiga om det finns en betydande risk för den registrerades rättigheter och friheter, och att standardavtalsklausuler (SCC) bör räcka för lågriskfall som till exempel när endast uppgifter som online-identifierare eller ip-adresser överförs. Enligt DSB är denna uppfattning felaktig då dataskyddsförordningen (GDPR) inte innehåller någon riskbaserad strategi för överföring av uppgifter till tredjeländer, som exempelvis USA.
DSB avvisade också Googles argument om att webbplatser kan aktivera ip-anonymisering när de använder verktyg som Google Analytics för att effektivt skydda de överförda uppgifterna från övervakning. Detta avvisades av DSB då Googles ip-anonymisering endast påverkar ip-adressen som sådan, och att uppgifter som online-identifierare som anges i cookies eller enhetsdata överförs i klartext. Vidare sker ip-anonymiseringen först efter det att uppgifterna har överförts till Google.