· 

Google und Tracking – die Entscheidung der Datenschutzbehörde bringt viele Fragen.

Warum Google´s anonymize_ip für die Compliance im internationalen Datentransfer nicht ausreicht.

 

 

 

Viele sind der Meinung, dass es iSd Schrems-II-Entscheidung (16.7.2020, C-311/18, Blogartikel) des EuGH als zusätzliche Maßnahme (neben dem Abschluss eines Auftragsverarbeitungsvertrages mit Google LLC bzw. Google Ireland und Standardvertrags/datenschutzklauseln) ausreichend ist, die von Google zur Verfügung gestellte Funktion „anonymize_ip“ (Informationen dazu finden Sie hier) zu verwenden, da dadurch die IP-Adresse dann anonymisiert ist, und keine personenbezogenen Daten erhoben werden.

 

 

Diese Aussage ist nicht korrekt.

 

Google selbst führt dazu aus:

 

"Die IPs werden anonymisiert oder maskiert, sobald die Daten bei Google Analytics eingehen und noch bevor sie gespeichert oder verarbeitet werrden."

 

 

 

Bildquelle: https://support.google.com/analytics/answer/2763052?hl=de


 

Daraus ergibt sich, dass die Anonymisierung direkt bei Google durchgeführt wird, daher diese

 

  • entweder in den USA bei Google LLC (und damit nach einer Übermittlung in die USA) erfolgt, und daher nach der Entscheidung der Datenschutzbehörde unzulässig ist, oder

  • von Google Ireland erfolgt, und damit auch im Einflussbereich von Google LLC (und damit auch im Fokus von FISA 702) als „Muttergesellschaft“ steht, und auch dem CLOUD-Act (Clarifying Lawful Overseas Use of Data - Act) unterliegt, und daher ein Zugriff durch die US-Behörden möglich ist.

Kommentar schreiben

Kommentare: 1
  • #1

    Lehner Manfred (Freitag, 21 Januar 2022 15:34)

    Ohne die IP-Adresse zu verwenden, wäre es schwierig, im Internet eine Kommunikation zw. einen Client und einen Server aufzubauen. Insofern liegt auf der Hand, dass bei einer Client-/Server-Kommunikation die IP-Adresse bis zum Server (im vorliegenden Fall ein Server von Google) gelangen muss. Das betrifft auch viele andere Tools, z.B. den weit verbreiteten "Google Tag Manager".