Oostenrijkse DPA verwerpt “risicogebaseerde aanpak” gegevensoverdracht

De Oostenrijkse privacy-autoriteit Datenschutzbehörde (DSB) heeft het gebruik van Googles IP-anonimisering verklaard tot een nutteloze beschermingsmaatregel voor gegevensoverdrachten tussen de EU en de Verenigde Staten. Het DSB verwierp ook het door Google bepleitte concept van een “risicogebaseerde aanpak”.

Risicogebaseerde aanpak

“Het DSB heeft eindelijk de “risicogebaseerde aanpak” voor gegevensoverdrachten ontmaskerd voor wat het is: een onhandige poging om de duidelijke jurisprudentie van het Hof van Justitie van de Europese Unie (HJEU) af te zwakken. In de relevante artikelen over gegevensoverdracht wordt het woord “risico” geen enkele keer gebruikt”, stelt Marco Blocher, advocaat gegevensbescherming bij NOYB. Dit is het European Centre for Digital Rights: een non-profitorganisatie gevestigd in Wenen met een pan-Europese focus.

Googles IP-anonimisering

Googles IP-anonimisering beschermt data niet. Het Oostenrijkse DSB verwierp ook de argumenten van Google dat websites IP-anonimisering kunnen activeren wanneer tools ingezet worden, zoals Google Analytics om de doorgegeven data effectief te beschermen tegen toezicht. Hiervoor werden twee redenen aangevoerd. De IP-anonimisering van Google heeft alleen consequenties voor het IP-adres als zodanig. Data zoals online-identificatoren die in cookies of apparaatgegevens worden bewaard, worden ongecodeerd verzonden. Tevens vindt deze IP-anonimisering plaats, nadat de data aan Google is overgedragen.

Andere identificatoren

“Het is nu bevestigd dat, ondanks dat IP-adressen in een bepaalde fase van het proces worden geanonimiseerd, de IP-adressen in eerste instantie nog steeds worden verwerkt. Het anonimiseren van één identificator neemt ook niet weg dat er nog andere identificatoren zijn”, aldus Marco Blocher.

Aanmelden voor onze nieuwsbrief