Warum Google´s anonymize_ip für die Compliance im internationalen Datentransfer nicht ausreicht.
Viele sind der Meinung, dass es iSd Schrems-II-Entscheidung (16.7.2020, C-311/18, Blogartikel) des EuGH als zusätzliche Maßnahme (neben dem Abschluss eines Auftragsverarbeitungsvertrages mit Google LLC bzw. Google Ireland und Standardvertrags/datenschutzklauseln) ausreichend ist, die von Google zur Verfügung gestellte Funktion „anonymize_ip“ (Informationen dazu finden Sie hier) zu verwenden, da dadurch die IP-Adresse dann anonymisiert ist, und keine personenbezogenen Daten erhoben werden.
Diese Aussage ist nicht korrekt.
Google selbst führt dazu aus:
"Die IPs werden anonymisiert oder maskiert, sobald die Daten bei Google Analytics eingehen und noch bevor sie gespeichert oder verarbeitet werrden."
Bildquelle: https://support.google.com/analytics/answer/2763052?hl=de
Daraus ergibt sich, dass die Anonymisierung direkt bei Google durchgeführt wird, daher diese
-
entweder in den USA bei Google LLC
(und damit nach einer Übermittlung in die USA) erfolgt, und daher nach der Entscheidung der Datenschutzbehörde unzulässig ist, oder
- von Google Ireland erfolgt, und damit auch im Einflussbereich von Google LLC (und damit auch im Fokus von FISA 702) als „Muttergesellschaft“ steht, und auch dem CLOUD-Act (Clarifying Lawful Overseas Use of Data - Act) unterliegt, und daher ein Zugriff durch die US-Behörden möglich ist.
Kommentar schreiben
Lehner Manfred (Freitag, 21 Januar 2022 15:34)
Ohne die IP-Adresse zu verwenden, wäre es schwierig, im Internet eine Kommunikation zw. einen Client und einen Server aufzubauen. Insofern liegt auf der Hand, dass bei einer Client-/Server-Kommunikation die IP-Adresse bis zum Server (im vorliegenden Fall ein Server von Google) gelangen muss. Das betrifft auch viele andere Tools, z.B. den weit verbreiteten "Google Tag Manager".