Er de gale i Luxembourg?

Nedenstående artikel af Carey Lening giver et virkelig interessant perspektiv på Schrems II-dommen og ikke mindst de seneste afgørelser vedr. brug af Google Analytics og Fonts i fx Frankrig, Østrig og Tyskland.

https://www.grcworldforums.com/legal-and-regulation/regulators-are-playing-a-dangerous-game-on-the-internet/4040.article

Artiklens grundpræmis er at EU-domstolen (og de nationale datatilsyn) er fundamentalistiske (‘privacy-absolutist’) i deres tilgang, når man i de fremhævede eksempler ikke anlægger en risikobaseret tilgang i sin vurdering af, hvorvidt en IP-adresse er persondata. Og at denne fundamentalisme risikerer at undergrave fragmentere internettet som vi kender det, mens man i praksis ikke lever op til sit erklærede formål om at beskytte menneskers ret til privatliv.

Selve argumentet om, at domstole og tilsyn burde anlægge en risikobaseret tilgang til spørgsmålet om hvorvidt noget er persondata, forekommer at være lidt vinkelret på GDPR. Forordningen instruerer godt nok de dataansvarlige om at agere risikobaseret, men det er så vidt jeg kan se ift. at vurdere risikoen for de registrerede og vurderingen af foranstaltninger. Ikke ift. selve definitionen af persondata.

Men selv hvis man går ind på præmissen, at det er rimeligt at anlægge et risikobaseret perspektiv på hvorvidt noget er persondata, så har jeg altså svært ved at se, hvordan en IP-adresse sendt til Google kan betragtes som anonym og ikke-personhenførbar.

De fleste almindelige internetbrugere skifter sjældent deres eksterne IP-adresse (måske hver 14. dag eller deromkring?), så hvis et dansk website, som jeg besøger, sender min IP-adresse til Google (fordi de har implementeret Google Analytics, men selvom jeg har frabedt mig cookies og anden tracking) vil det da ikke undre, at Google i praksis udleder, at jeg er den samme, der tidligere på dagen har anvendt en af deres andre tjenester eller besøgt et andet site – hvor cookies måske ikke blev slået fra.

Når det er sagt, så er artiklens bekymring over hvor denne tilsynspraksis fører os hen, dvs. hvordan europæiske virksomheder i praksis skal fungere på et gennem-amerikaniseret internet uden at bryde reglerne, reel nok. I min ydmyge optik ligger løsningen dog hverken hos de nationale tilsyn eller EU-domstolen i Luxembourg, men hos lovgiverne i Bruxelles – og/eller hos de private virksomheder, herunder de amerikanske internetgiganter, med hvem vi naturligvis deler en enorm interesse i at finde kreative løsninger af problemet.

Helst i en fart.