Österrike: Googles ip-anonymisering är en otillräcklig skyddsåtgärd vid överföring av personuppgifter

Den österrikiska dataskyddsmyndigheten (DSB) har, efter tidigare beslut om att användningen av Google Analytics är olaglig (läs mer om detta här), utfärdat ett andra beslut. Enligt DSB är användningen av Googles ip-anonymisering är en otillräcklig skyddsåtgärd vid överföring av personuppgifter mellan EU och USA. DSB har även förkastat begreppet riskbaserat tillvägagångssätt som Google använt som argument för överföringen.

Efter EU-domstolens dom i Schrems II-målet förespråkade ett antal stora aktörer en riskbaserad strategi för överföringar till tredje land, vilket innebar att ytterligare skyddsåtgärder, som begärts av EU-domstolen, endast ska vara nödvändiga om det finns en betydande risk för den registrerades rättigheter och friheter, och att standardavtalsklausuler (SCC) bör räcka för lågriskfall som till exempel när endast uppgifter som online-identifierare eller ip-adresser överförs. Enligt DSB är denna uppfattning felaktig då dataskyddsförordningen (GDPR) inte innehåller någon riskbaserad strategi för överföring av uppgifter till tredjeländer, som exempelvis USA.

DSB avvisade också Googles argument om att webbplatser kan aktivera ip-anonymisering när de använder verktyg som Google Analytics för att effektivt skydda de överförda uppgifterna från övervakning. Detta avvisades av DSB då Googles ip-anonymisering endast påverkar ip-adressen som sådan, och att uppgifter som online-identifierare som anges i cookies eller enhetsdata överförs i klartext. Vidare sker ip-anonymiseringen först efter det att uppgifterna har överförts till Google.

Mer information

Myndighet: Österreichische Datenschutzbehörde (DSB)

Land: Österrike

Lagrum: Art. 44 GDPR, art. 77 GDPR

Sanktionsavgift: N/A

Mottagare: Google Analytics

Beslutsnummer: N/A

Beslutsdatum: 2020-08-18

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.