Google Analytics

Google Analytics

 

Nyere europæisk praksis

I løbet af 2022 er der faldet afgørelser i flere sager om Google Analytics i Østrig, Frankrig og Italien.

Sagerne var foranlediget af klager, der var blevet indgivet af organisationen None of Your Business (”NOYB”) til en række europæiske datatilsyn i kølvandet på EU-Domstolens dom i Schrems II. Klagerne vedrørte brugen af værktøjet Google Analytics, som efter NOYBs opfattelse indebærer overførsel af personoplysninger om hjemmesidebesøgende til Google i USA i strid med databeskyttelsesreglerne.

Google Analytics er et værktøj, der gør hjemmesideejere i stand til at udarbejde statistik om hjemmesidebesøgende bl.a. med henblik på at kunne optimere hjemmesidens indhold. Det sker ved, at den besøgende tildeles en unik identifikator med henblik på, at der genereres statistik om hjemmesidebesøg, sidevisninger mv. I tillæg til den enkelte identifikator indsamles yderligere oplysninger om den besøgendes interaktion med hjemmesiden, tidspunktet, hvor den besøgende omtrentligt befinder sig, samt oplysninger om den besøgendes browser, operativsystem o. lign.

Europæiske organisationer, der ønsker at bruge Google Analytics, indgår aftale med Google Ireland Ltd herom. Som en del af dette aftalegrundlag tilbyder Google at indgå en såkaldt standardkontrakt, der giver de registrerede en række garantier og rettigheder i relation til overførslen af personoplysninger til Google LLC i USA.

Denne kontrakt kan imidlertid ikke altid i sig selv sikre et beskyttelsesniveau, der i det væsentlige svarer til beskyttelsesniveauet i EU/EØS. Det gælder særligt i tilfælde, hvor retshåndhævende myndigheder i tredjelandet kan få adgang til de overførte personoplysninger i et disproportionalt omfang og i strid med grundlæggende europæiske regler.

Konkret er den grundlæggende problemstilling i sagerne, at personoplysninger, som bliver overført til USA, i visse tilfælde ikke sikres et beskyttelsesniveau, der i det væsentlige svarer til beskyttelsesniveauet inden for EU/EØS. Det skyldes, at visse amerikanske lovregler – Foreign Intelligence Surveillance Act (FISA) sektion 702 og Executive Order 12 333, sammenholdt med Presidential Policy Directive-28 – ikke overholder EU-rettens krav om proportionalitet ved indgreb i grundlæggende rettigheder, ligesom de (europæiske) registrerede ikke har adgang til effektive retsmidler. Det har EU-Domstolen afgjort i den førnævnte Schrems II-sag. For overførsel af personoplysninger til organisationer i USA, der er omfattet af ovennævnte lovgivning, er det derfor nødvendigt at træffe supplerende foranstaltninger med henblik på, at beskyttelsesniveauet samlet set bringes op på et niveau, som i det væsentlige svarer til beskyttelsesniveauet i EU/EØS. Sådanne foranstaltninger kan være tekniske, kontraktuelle og organisatoriske.

I sagerne indikerede Google, at virksomheden havde truffet supplerende kontraktuelle, organisatoriske og tekniske foranstaltninger. Tilsynsmyndighederne vurderede imidlertid, at disse foranstaltninger ikke kunne sikre et effektivt beskyttelsesniveau for de overførte oplysninger, idet foranstaltningerne ikke var egnede til at imødegå adgang til personoplysningerne fra amerikanske retshåndhævende myndigheder.

Overførsel af personoplysninger til USA via Google Analytics skete dermed ulovligt.

Spørgsmål og svar

I sine svar til de europæiske tilsynsmyndigheder har Google oplyst, at alle oplysninger, der indsamles via Google Analytics, behandles og opbevares i USA.

Datatilsynet er derudover ikke bekendt med eventuelle ændringer i Googles tekniske opsætning siden afgørelserne, som medfører, at Google Analytics-værktøjet kan leveres uden overførsel af personoplysninger til USA. For en afklaring heraf må Datatilsynet henvise de organisationer, der benytter Google Analytics, til at rette henvendelse til Google som teknologileverandør.

Databeskyttelsesreglerne gælder grundlæggende for behandling af personoplysninger. Med andre ord gælder databeskyttelsesreglerne ikke, når oplysningerne, der indsamles og behandles, ikke er personoplysninger.

Siden afgørelserne har det været diskuteret, om det er muligt at opsætte Google Analytics på en sådan måde, at der ikke sker indsamling af personoplysninger.

Grundlæggende fungerer Google Analytics ved, at den besøgende tildeles en unik identifikator. I tillæg til den enkelte identifikator indsamles yderligere oplysninger om den besøgendes interaktion med hjemmesiden, tidspunktet, hvor den besøgende omtrentligt befinder sig, og oplysninger om den besøgendes browser, operativsystem o. lign.

Data sharing og Google Signals

Derudover findes en række indstillinger i Google Analytics, som tillader hjemmesideejeren at dele oplysninger med Google. Det drejer sig om de såkaldte data sharing-indstillinger, som tillader, at Google kan behandle de indsamlede oplysninger til brug for bl.a. udvikling af Googles produkter, og Google Signals, som tillader, at Google indsamler yderligere oplysninger bl.a. til brug for målrettet markedsføring.

Datatilsynet forstår dog, at det er muligt at undlade at aktivere disse indstillinger.

Datatilsynet forstår også, at Google i kølvandet på den østrigske tilsynsmyndigheds afgørelse fra januar 2022 er begyndt at stille yderligere indstillinger til rådighed for sine kunder, der gør det muligt at konfigurere værktøjet – i hvert fald Google Analytics 4 – således, at en lang række yderligere oplysninger om bl.a. browser, operativsystem mv. ikke indsamles.

Unik identifikator

Selv hvis de ovennævnte indstillinger er slået fra, og under forudsætning af, at Google Analytics konfigureres til indsamling af færrest mulige oplysninger, er det Datatilsynets umiddelbare opfattelse, at de resterende oplysninger, der indsamles via værktøjet, stadig udgør personoplysninger om de registrerede. Det skyldes, at der fortsat vil ske indsamling af den besøgendes unikke identifikator, oplysninger om den besøgendes interaktion med hjemmesiden, tidspunktet, samt hvor den besøgende omtrentligt befinder sig.

Baggrunden for denne opfattelse er, at en unik identifikator gør det muligt at udpege den enkelte person, som oplysningerne vedrører. Det gælder også selvom, det ikke er muligt at sætte konkret navn eller identitet på den pågældende person.

Databeskyttelsesforordningen fremhæver specifikt i sin præambel den omstændighed, at oplysninger, som gør det muligt at udpege en person, udgør personoplysninger. Generelt kan en fysisk person således anses for at være identificeret, når vedkommende individ kan adskilles fra alle andre blandt en større kreds af personer.

Datatilsynet anerkender, at der er tale om en bred fortolkning af begrebet personoplysninger, og hvornår databeskyttelsesreglerne dermed finder anvendelse. Det er dog ikke udtryk for en ny praksis, men har derimod været en fælleseuropæisk holdning siden 2007, hvor Artikel 29-gruppen (forgængeren til Det Europæiske Databeskyttelsesråd) vedtog en udtalelse om begrebet ”personoplysninger”. Udtalelsen kan findes her: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf

Derudover er et af databeskyttelsesreglernes grundlæggende formål at sikre en effektiv og fuldstændig beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatliv og retten til databeskyttelse.

Som alle andre EU-regler skal databeskyttelsesreglerne fortolkes i lyset af reglernes formål. En for snæver fortolkning af bl.a. begrebet ”personoplysninger” vil i den forbindelse indebære en risiko for, at reglerne ikke opfylder sit formål om at sikre en fuldstændig beskyttelse af borgernes rettigheder.

Nej, Datatilsynet har ikke udstedt et forbud mod brug af Google Analytics.

Datatilsynet har ikke beføjelse til at forbyde bestemte produkter, men vurderer – helt teknologineutralt – om behandling af personoplysninger på en eller flere måder, herunder ved hjælp af specifikke teknologier, sker i overensstemmelse med databeskyttelsesreglerne.

Det er fortsat – som med al anden behandling af personoplysninger – den dataansvarlige organisation, der skal kunne påvise, organisationens behandlingsaktiviteter sker i overensstemmelse med databeskyttelsesreglerne.

Hvis man mener, at ens opsætning og brug af Google Analytics adskiller sig fra de forhold, som Datatilsynet har set nærmere på, skal man dokumentere dette og være i stand til at påvise, hvordan de forskellige problemstillinger, som tilsynet har identificeret, ikke er relevante for organisationens brug af værktøjet.

Har man ikke anvendt en anden opsætning end den, som er udgangspunktet for Datatilsynets vejledning, men derimod en anden juridisk vurdering af forholdene, vil man som organisation påtage sig en standpunktsrisiko.

Datatilsynet vil i en konkret sag anlægge samme vurdering, som vi giver udtryk for her. Men som en administrativ tilsynsmyndighed er Datatilsynet underlagt domstolskontrol. I sidste ende er det dermed domstolene, der vil skulle tage stilling til, hvordan de forskellige forhold skal vurderes juridisk.

”Pseudonymisering” er defineret i databeskyttelsesreglerne som ”behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger”.

Ifølge Det Europæiske Databeskyttelsesråd er der imidlertid en række betingelser, der skal være opfyldt, for at pseudonymisering kan anses for at være en effektiv supplerende foranstaltning ved overførsel af personoplysninger til tredjelande.

En af disse betingelser er, at organisationen, der ønsker at benytte Google Analytics, gennem en fyldestgørende analyse kan påvise, at de pseudonymiserede oplysninger ikke kan henføres til en fysisk person uden brug af supplerende oplysninger. Denne analyse skal særligt tage højde for supplerende oplysninger, som retshåndhævende myndigheder i det pågældende tredjeland kan forventes at besidde og bruge for at henføre de pseudonymiserede oplysninger til en fysisk person.

Sådanne oplysninger, der kan bruges til at henføre pseudonymiserede oplysninger til en fysisk person, er bl.a. om IP-adresse.

Anonymisering af IP

Med hensyn til IP-adresse er en ofte fremhævet foranstaltning for Google Analytics (Universal Analytics) muligheden for IP-anonymisering. Ved denne foranstaltning sættes den sidste oktet (192.168.1.XXX) af de indsamlede IP-adresser til 0 (for IPv6 adresser sker dette for de sidste 80 bits). I sin dokumentation anfører Google, at denne anonymisering finder sted ”så snart som det er teknisk muligt”, og at IP-adressen aldrig bliver skrevet til en disk.

På baggrund af Googles svar til tilsynsmyndighederne står det dog ikke klart, om anonymiseringen (ved Universal Analytics) finder sted før overførsel af oplysningerne til USA.

Derimod fremgår det af Googles egen dokumentation, at indsamling af oplysninger via Google Analytics sker via regionale datacentre. Google benytter i den forbindelse den hjemmesidebesøgendes IP-adresse til at fastslå, hvor det nærmeste datacenter befinder sig. For besøgende, der tilgår en dansk organisations hjemmeside vil det sandsynligvis betyde, at de besøgende kobler til en europæisk server, inden oplysningerne sendes til Google i USA. Det kan dog i praksis også betyde, at besøgende, der tilgår en dansk organisations hjemmeside fra andre lande, fx fra Asien, aldrig kobles til en europæisk server, men kobles direkte til en Google-server i USA, hvis denne server er tættest på den besøgendes placering. Med andre ord kan de besøgendes IP-adresse blive overført til USA, inden der kan ske anonymisering heraf.

Google Analytics 4

Med hensyn til Google Analytics 4 fremgår det af Googles dokumentation, at IP-adresser benyttes til at fastslå den besøgendes omtrentlige placering, hvorefter adressen kasseres, inden oplysningerne logges på en server. Samme problemstilling som ved Universal Analytics er derfor også aktuel for Google Analytics 4, da der – afhængigt af den registreredes placering – kan ske opkobling direkte til bl.a. amerikanske servere, inden adressen kasseres.

Så hvad er problemet?

Udfordringen ved at der kan ske direkte opkobling til amerikanske servere er, at Google – som led i sædvanlige sikkerhedsforanstaltninger – formodningsvis har implementeret firewalls, der beskytter Googles infrastruktur, og at disse firewalls foretager logning af indkommen trafik.

Oplysninger fra sådanne logs kan krydsrefereres med oplysninger som indsamles til brug for Google Analytics. På den måde vil oplysninger om bl.a. IP-adresse kunne udledes, selvom denne oplysning ikke indsamles i tilknytning til Google Analytics.

Der findes herefter retlige kanaler såsom aftaler om gensidig retshjælp, hvorigennem offentlige myndigheder i tredjelandet via politiets og internetudbyderes mellemkomst kan opnå præcis viden om, hvilken fysisk person den pågældende IP-adresse knytter sig til.

I sidste ende betyder det, at de pågældende oplysninger ikke er effektivt pseudonymiserede, da retshåndhævende myndigheder i tredjelandet kan opnå adgang til supplerende oplysninger, der gør det muligt at henføre oplysningerne fra Google Analytics til en fysisk person.

Det Europæiske Databeskyttelsesråd har udarbejdet en række anbefalinger om supplerende foranstaltninger, som en organisation kan implementere i forbindelse med overførsel af oplysninger til tredjelande.

I sine anbefalinger fremhæver Databeskyttelsesrådet bl.a. pseudonymisering og kryptering som mulige tekniske foranstaltninger, der kan være effektive til at imødegå adgang til personoplysningerne fra retshåndhævende myndigheder og dermed bringe et utilstrækkeligt beskyttelsesniveau op på det påkrævede europæiske niveau.

Kryptering

Generelt kan kryptering være en effektiv supplerende teknisk foranstaltning. Det stiller dog nogle krav til opsætningen af krypteringen.

Før kryptering kan anses som en effektiv supplerende teknisk foranstaltning, skal krypteringsnøglerne være kontrolleret udelukkende af dataeksportøren eller en tredjemand inden for EU/EØS eller i et sikkert tredjeland.

Googles implementering af kryptering udgør derfor ikke en effektiv supplerende teknisk foranstaltning, idet krypteringen foretages af Google i USA. Her kan Google blive pålagt at give adgang til de overførte personoplysninger, som er i virksomhedens besiddelse, varetægt eller kontrol, herunder også de krypteringsnøgler, der gør oplysningerne læsbare. Google LLC har således adgang til personoplysningerne i klartekst, og krypteringen er derfor ikke effektiv i dette tilfælde.

Pseudonymisering

En anden mulig supplerende teknisk foranstaltning, der kan være relevant ved brug af Google Analytics, er pseudonymisering. Ifølge Det Europæiske Databeskyttelsesråd er der imidlertid en række betingelser, der skal være opfyldt, for at pseudonymisering kan anses for at være en effektiv supplerende foranstaltning.

Pseudonymisering kan i dette tilfælde implementeres ved at etablere en reverse proxy-server, der fungerer som knudepunkt for internettrafikken fra de hjemmesidebesøgende. På den måde kan en organisation opnå kontrol over, hvilke oplysninger der indsamles, og hvilke oplysninger der efterfølgende sendes til de servere, der benyttes til at levere værktøjet til webstatistik, fx Googles servere.

Organisationer, der ønsker at etablere en reverse proxy, skal være opmærksomme på, at proxyen skal være konfigureret på en sådan måde, at betingelserne for effektiv pseudonymisering er opfyldt. Det betyder grundlæggende, at offentlige myndigheder i importlandet ikke må kunne henføre de pseudonymiserede oplysninger til en identificerbar person hverken alene eller i kombination med yderligere oplysninger.

Den franske datatilsynsmyndighed har udarbejdet nærmere vejledning til organisationer, der ønsker at etablere en reverse proxy, som kan findes her: https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr

Nej. Personoplysninger, der overføres til lande uden for EU/EØS, skal nyde et beskyttelsesniveau i tredjelande, som i det væsentlige svarer til niveauet inden for EU.

Især retshåndhævende myndigheders mulighed for adgang til personoplysninger efter lovregler og praksis, der ikke opfylder EU-rettens mindstekrav, underminerer de registreredes grundlæggende rettigheder og frihedsrettigheder.

I tilfælde af, at denne adgang er mulig – og ikke kun når adgangen er sandsynlig – og de lovregler og praksis, der regulerer denne adgang, ikke gør det muligt at sikre de registrerede et beskyttelsesniveau, der i det væsentlige svarer til europæisk niveau, er det nødvendigt at træffe supplerende tekniske foranstaltninger for at gøre adgangen umulig eller ineffektiv.

Det er derfor ikke muligt at anvende en tilgang, hvor organisationen ikke træffer de nødvendige supplerende foranstaltninger, men alene påregner, at det er usandsynligt, at myndighederne i tredjelandet anmoder om de specifikke, overførte personoplysninger.

Efter Datatilsynets opfattelse er de generelle betingelser for overførsel af personoplysninger til tredjelande ikke sideordnede, men bør vurderes i den rækkefølge, som de fremgår af databeskyttelsesreglerne.

Det fremgår i den forbindelse, at der i særlige situationer kan ske undtagelse (fra de generelle betingelser for tredjelandsoverførsler). En af de beskrevne undtagelser er, hvis den registrerede udtrykkeligt giver samtykke hertil. Dette samtykke kan først gives, når den registrerede er blevet informeret om de mulige risici, som sådanne overførsler kan medføre for den registrerede.

Det er i den forbindelse de europæiske tilsynsmyndigheders opfattelse, at disse undtagelser – såsom samtykke – skal forstås snævert, således at undtagelserne ikke bliver til hovedreglen.

Brug af samtykke som overførselsgrundlag er derfor efter Datatilsynets opfattelse ikke foreneligt med en sædvanlig brug af Google Analytics, hvor der sker en generel overførsel af alle de oplysninger, der indsamles ved brug af værktøjet, dvs. hvor det vil være hovedreglen, at oplysningerne bliver overført til USA.

Efter den første afgørelse vedrørende Google Analytics fra den østrigske datatilsynsmyndighed har Google udtalt, at virksomheden i de 15 år, hvor Google har leveret Analytics-værktøjet, aldrig har modtaget den type af anmodning om udlevering af personoplysninger, som var omdrejningspunkt i sagen ved det østrigske datatilsyn.

Datatilsynet anerkender Googles åbenhed og ønske om at skabe yderligere transparens om de anmodninger fra retshåndhævende myndigheder, som virksomheden modtager.

Vurderingen af, hvorvidt ”problematisk” lovgivning i et tredjeland reelt finder anvendelse på specifikt de oplysninger, som en europæisk organisation ønsker at overføre til tredjelandet, kan dog ikke udelukkende basere sig på dataimportørens – her Googles – udsagn.

Det fremgår herunder af anbefalingerne fra Det Europæiske Databeskyttelsesråd og Datatilsynets vejledning om cloud, at sådanne udsagn skal være understøttet af objektiv, troværdig og tilgængelig information.

For nærmere om kravene til, hvordan en organisation kan dokumentere sin eventuelle vurdering af, at den ”problematiske” lovgivning ikke anvendes af myndighederne i tredjelandet på de specifikke oplysninger, der ønskes overført, henviser Datatilsynet til Det Europæiske Databeskyttelsesråds anbefalinger og tilsynets vejledning om cloud.

Datatilsynet opererer almindeligvis ikke med henstandsperioder for at lovliggøre eventuelle ulovlige behandlingsaktiviteter. Tværtimod har domme afsagt af EU-Domstolen principielt tilbagevirkende kraft. Det skyldes, at domme ikke er udtryk for ny lovgivning, men derimod fortolkning og forståelse af eksisterende lovgivning.

Dog indgår det naturligvis i Datatilsynets vurdering af en sag, i hvilket omfang en organisation aktivt tager skridt til at bringe sine behandlingsaktiviteter i overensstemmelse med reglerne. I særlige situationer som denne tillægges det også vægt, hvis en overførsel af personoplysninger tidligere har kunnet ske på baggrund af en tilstrækkelighedsafgørelse fra EU-Kommissionen, som for USA’s vedkommende bortfaldt med Schrems II-dommen i juli 2020. Det vil også indgå i vurderingen, hvor hurtigt efter afgørelsen en sådan proces for lovliggørelse er påbegyndt.

Organisationer i Danmark, der benytter Google Analytics under lignende omstændigheder, skal derfor vurdere, om deres eventuelle fortsatte brug af værktøjet sker inden for rammerne af databeskyttelsesreglerne. Hvis det ikke er tilfældet, har organisationen pligt til at lovliggøre sin brug af værktøjet, eller om nødvendigt ophøre med at benytte værktøjet.

For mulige alternative værktøjer til udarbejdelse af webstatistik kan Datatilsynet henvise til oversigten, der er udarbejdet af den franske tilsynsmyndighed, CNIL (på fransk).

Datatilsynet har dog ikke nærmere vurderet de pågældende værktøjer. Ansvaret for at kunne påvise, at brugen af værktøjet sker i overensstemmelse med databeskyttelsesreglerne, herunder de krav, som følger af Schrems II-afgørelsen fra EU-Domstolen, påhviler derfor de organisationer, som ønsker at benytte de pågældende værktøjer.

I marts 2022 offentliggjorde EU-Kommissionen og USA, at et nyt Trans-Atlantic Data Privacy Framework igen skal gøre det muligt at overføre personoplysninger mellem EU og USA efter Schrems II, som ophævede den kommissionsafgørelse, der tidligere gjorde disse overførsler mulige.

Datatilsynet hilser naturligvis EU-Kommissionens bestræbelser på at nå til enighed med USA om en ordning, der tillader udveksling af personoplysninger på tværs af Atlanten, velkommen, og mens ordningen med tiden kan få stor betydning, er principaftalen indtil videre alene en aftale om de overordnede linjer.

Aftalen er dog endnu ikke så konkret, at den gør nogen forskel for organisationer, der overfører personoplysninger til USA. Det skyldes, at der endnu ikke er noget nyt overførselsgrundlag og tilstrækkelighedsvurdering.

Datatilsynet forventer, at EU-Kommissionen – når de sidste detaljer er forhandlet på plads og aftalen er blevet udmøntet i juridiske dokumenter – vil anmode om en udtalelse fra Det Europæiske Databeskyttelsesråd. I givet fald vil Datatilsynet naturligvis deltage i dette arbejde i regi af Det Europæiske Databeskyttelsesråd og være med til at vurdere, om aftalen lever op til de krav, der blev opstillet af EU-Domstolen i forbindelse med Schrems II-dommen.

Det Europæiske Databeskyttelsesråd har tilsvarende erklæret sig parat til at bistå EU-Kommissionen med at sikre, sammen med USA, et nyt rammeværk, som fuldt ud stemmer overens med grundlæggende europæisk databeskyttelsesret.

En nærmere præcis tidshorisont for aftalen er dog fortsat ukendt.

Begge udgaver.

Google offentliggjorde i marts 2022, at værktøjet Google Universal Analytics bliver udfaset i juli 2023, og at Google fremadrettet alene vil stille værktøjet Google Analytics 4 til rådighed.

Datatilsynet forstår, at Google Universal Analytics og Google Analytics 4 teknisk og metodemæssigt fungerer forskelligt. Dog er der fortsat visse afgørende ligheder. Fælles for begge udgaver er, at den besøgende tildeles en unik identifikator, og at der i tilknytning til denne identifikator indsamles yderligere oplysninger om den besøgendes interaktion med hjemmesiden, tidspunktet, hvor den besøgende omtrentligt befinder sig, og oplysninger om den besøgendes browser, operativsystem o. lign.

Datatilsynet forstår også, at Google i kølvandet på den østrigske tilsynsmyndigheds afgørelse fra januar 2022 er begyndt at stille yderligere indstillinger til rådighed for sine kunder, der gør det muligt at konfigurere Google Analytics 4 således, at en lang række yderligere oplysninger om bl.a. browser, operativsystem mv. ikke indsamles.

Unik identifikator

Selv hvis disse indstillinger udnyttes, og Google Analytics 4 konfigureres til at indsamle færrest mulige oplysninger, er det Datatilsynets umiddelbare opfattelse, at de resterende oplysninger, der indsamles via værktøjet, stadig udgør personoplysninger om de registrerede. Det skyldes, at der fortsat vil ske indsamling af den besøgendes unikke identifikator, oplysninger om den besøgendes interaktion med hjemmesiden, tidspunktet, samt hvor den besøgende omtrentligt befinder sig.

Men Google Analytics 4 indsamler ikke IP-adresser. Er det så ikke nok?

Det fremgår af Googles dokumentation, at indsamling af oplysninger via Google Analytics sker via regionale datacentre. Google benytter i den forbindelse den hjemmesidebesøgendes IP-adresse til at fastslå, hvor det nærmeste datacenter befinder sig. For besøgende, der tilgår en dansk organisations hjemmeside vil det sandsynligvis betyde, at de besøgende kobler til en europæisk server, inden oplysningerne sendes til Google i USA. Det kan dog i praksis også betyde, at besøgende, der tilgår en dansk organisations hjemmeside fra andre lande, fx fra Asien, aldrig kobles til en europæisk server, men kobles direkte til en Google-server i USA, hvis denne server er tættest på den besøgendes placering. Med andre ord kan de besøgendes IP-adresse blive overført til USA, inden der kan ske anonymisering heraf

For Google Analytics 4 betyder det, at IP-adresser benyttes til at fastslå den besøgendes omtrentlige placering, hvorefter adressen kasseres, inden oplysningerne logges på en server. Der kan derfor – afhængigt af den registreredes placering – ske opkobling direkte til bl.a. amerikanske servere, inden adressen kasseres – også ved Google Analytics 4.

Så hvad er problemet?

Udfordringen ved at der kan ske direkte opkobling til amerikanske servere er, at Google – som led i sædvanlige sikkerhedsforanstaltninger – formodningsvis har implementeret firewalls, der beskytter Googles infrastruktur, og at disse firewalls foretager logning af indkommen trafik.

Oplysninger fra sådanne logs kan krydsrefereres med oplysninger som indsamles til brug for Google Analytics. På den måde vil oplysninger om bl.a. IP-adresse kunne udledes, selvom denne oplysning ikke indsamles i tilknytning til Google Analytics.

Der findes herefter retlige kanaler såsom aftaler om gensidig retshjælp, hvorigennem offentlige myndigheder i tredjelandet via politiets og internetudbyderes mellemkomst kan opnå præcis viden om, hvilken fysisk person den pågældende IP-adresse knytter sig til.

I sidste ende betyder det, at de pågældende oplysninger ikke er effektivt pseudonymiserede, da retshåndhævende myndigheder i tredjelandet kan opnå adgang til supplerende oplysninger, der gør det muligt at henføre oplysningerne fra Google Analytics til en fysisk person.