Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

IP-adresser, Google och integritetsskydd: Därför är IP-adresser för Google alltid potentiellt personuppgifter

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel som PDF
📄 Artikel som PDF (endast för nyhetsbrevsprenumeranter)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

IP-adressen (nätverksadresser) utgör för Google-koncernen potentiellt alltid personuppgifter. Orsakerna är mångfaldiga och behandlas i artikeln. Således är IP-adressen, när den skickas till Google, oberoende av nationella lagar att betrakta som personuppgift.

Inledning

EU-domstolen har redan tidigare avgjort, nämligen den 19 oktober 2016 (mål nr C-582/14), att IP-adresser alltid ska betraktas som personuppgifter när ett lands lag tillåter att anslutningsinnehavaren kan spåras till en IP-adress. Det räcker med den objektiva möjligheten att detta kan göras. Det gäller även om flera tredje parter måste inrättas, till exempel Telekom och BND eller i andra länder andra organisationer eller företag.

I Tyskland bekräftade BGH (Tysklands federala högsta domstol) domen från EU-domstolen (se BGH-dom den 16 maj 2017 – VI ZR 135/13). För att i Tyskland kunna spåra en person som är av kriminaltekniskt intresse, kan man i samband med utredning om brott hitta uppgifter om vem som har abonnemang till den personen.

I andra länder kan detta vara annorlunda, eftersom nationella straffsökningsskatter i andra länder kan vara utformade på ett annat sätt än i Tyskland.

Google behöver inte hitta ägaren till en IP-adress för att ett personligt samband ska uppstå. Google har enklare objektivt sätt att göra det på.

Se inlägg.

Om Google får din IP-adress eller min så är den potentiellt alltid personuppgiftsrelaterad. Google får din IP-adress när du besöker en webbplats från datorn och webbplatsen Google Fonts eller ett annat Google-verktyg integreras. Även om du använder Google Analytics med IP-anonymisering är detta fallet. Anonymiseringsalternativet säger enligt Google att de lovar att inte använda din redan alltid erhållna IP-adress (detta skulle vara den bästa tolkningen av Googles löften och markeras härmed som teoretisk).

Varför din IP-adress för Google alltid kan kopplas till dig som person, förklarar jag i följande.

Google-konto

Nästan var och en av er har ett Google-konto. Det gäller även då ni aldrig själva lagt upp ett sådant. Google ger er helt enkelt ett konto, om ni använder Googles sökmotor, Google Maps eller ett Android-smartphone (om det är standard och inte ent-Google-t).

Så gör Google det:

  • De kallar till exempel upp Googles sökmotor (vilket ni naturligtvis inte gör, eftersom det finns andra sökmotorer som Ecosia, DuckDuckGo eller Xayn).
  • Google frågar sig själv vid första besöket (eller om du har raderat dina kakor innan dess), om du är med på en obehövlig behandling av personuppgifter (den fettryckta formuleringen kommer från mig och är som en mycket förenklad presentation. Precis sagt skulle man för Google:s datahantering behöva skriva hundratals sidor).
  • Oavsett vad du klickar på, skapar Google alltid ett konto för dig och sparar en identifierare för dig i ett eller flera kakor. Dessa kakor heter ENID, __Secure-ENID eller också NID eller IDE (eller hur som helst, det avslöjar Google inte. Till exempel letar jag fortfarande efter en trovärdig förklaring till betydelsen av kakorna DV, OTZ, SOCS och AES).

Ni kan därmed kopplas till ett Google-konto av Google när som helst ni besöker en sida från Google, använder ett Google-enheter eller besöker en sida som har inaktiverat en Google-tjänst eller en tjänst som utbyter data med Google (t.ex. en reklamplattform som alltid Cookie Matching bedriver).

Med hjälp av ett av de nämnda cookies kan Google identifiera dig till 100 %. Det fungerar till exempel när en webbplats har inmatat reCAPTCHA-pluginget från Google eller använder Google Maps-plugingen i en populär variant. Till Google reCAPTCHA ska bara kort sägas att detta plugin verkligen använder många cookies med detaljerad utformning.

Så uppstår allmänt en personlig anknytning

Artikel 29-gruppen är föregångaren till den europeiska dataskyddsförvaltningen och fastställd i Art. 94 DSGVO. Denna grupp har tolkat DSGVO och kommit fram till att en datavärde kan vara personbehandling om det är lämpligt för att skilja en person från andra inom en grupp av människor. Den här uppfattningen företräds också av Irlands dataskyddsmyndighet i sin motivering till straffavgiften mot WhatsApp.

Därmed skulle en personuppgiftsliknande situation redan vara given, om man med den kan skilja sig från en grupp av personer ("a person can be singled out from a group of persons").

En personlighetsanknytning uppstår dock tydligare när en personbunden datavärde finns tillgängligt. Denna är då givet, om antingen direkt eller indirekt kan slutas på dig som Maxi Musterperson. En direkt slutsats är särskilt möjlig via ditt namn och din adress.

En indirekt slutsats är möjlig om du har en datavärde som du objektivt kan identifiera till en specifik person. Till exempel kan man från ett Fordonets registreringsskylt identifiera vem bilen är registrerad för. Säkert känner ni till det från den påföljd (från hörsägningen naturligtvis bara) som du får om du kört för fort. Även en telefonnummer kan spåras tillbaka till en person, eftersom numret är registrerat till en person. På samma sätt kan en mailadress spåras tillbaka till en person. En av mina mailadresser heter klaus.meffert@dr-dsgvo.de. Här finns det två personliga kopplingar. Först och främst är mitt namn i mailadressen inlagt. Sedan kan man genom en NIC-fråga (DENIC i detta fall) upptäcka vem domänen dr-dsgvo.de är registrerad för. DENIC anger villkoren för detta, som exempelvis omfattar att genomdriva namn- och identifieringsrättigheter men också en "rättsfel av webbplatser". NIC står för Network Information Center, DENIC för det tyska NIC

Ju mer data som presenteras om en person, desto snabbare kan man dra slutsatsen att det är en specifik person. Om mailadressen herberto.buechneri@web.de är känd, tillsammans med IP-adressen 4711, tillsammans med User-Agent Firefox97.Windows10.Version.1873, tillsammans med besök på många webbplatser från denna IP, tillsammans med kod för ett Google-konto, tillsammans med ofta inmatad adress i Google Maps Wielandtstr. 999 i 66666 Frankfurt, tillsammans med GPS-koordinater från ett Android-smartphone, tillsammans med telefonnummer för ett Android-smartphone, så kommer denna person sannolikt att vara fullständigt identifierbar. Man kunde säga att denna person kan objektivt identifieras. Detta följer logiken i EuGH-domstolens dom "Breyer". Objektivt identifierbar innebär att flera tredje parter måste involveras, såsom straffrättsliga myndigheter, telekommunikationsmyndigheter eller användarnämningsföljande företag som Google. Mindre än de data som nämnts ovan skulle säkerligen också räcka. Dessutom kan man anta att en person som till exempel Herbert Büchner heter, även då kan hittas om mailadressen den namnet Herberto Büchneri närmger.

Varför kan Google (objektivt) direkt på dig som person med namnet X sluta, förklarar jag genom fakta.

Det uppstår en personlighetskoppling för Google

I första hand anser jag att det inte spelar någon roll vad du heter och var du bor. Google vill i stället lära känna dig så bra som dina föräldrar aldrig kan. Det fanns en gång en studie om datapunkter, som samlades in via Facebook Likes, som precis visar på detta.

Efter att Google har bestmöjligt kunnat lära känna er, kan du på Google-annonsplattformen påverkas i din åsikt och ditt beteende på ett vinstgivande sätt. Det gäller också hur du beter dig vid val.

I princip är det för Google ointressant vem du heter och var du bor. Google vill inte skicka dig något paket, utan snarare meddela andra vad dina vanor och preferenser är. Ju mer du kan påverkas, desto mer pengar kan Google och andra tjäna med dig.

Ändå kan Google med hjälp av spår från internet ofta identifiera dig som en person.

Kända är det att Google har samlat in mycket data om dem. Till exempel:

  • Din IP-adress (alltid när du besöker en Google-sida, använder ett Google-enheter, besöker en webbplats med ett Google-plugin eller (direkt eller indirekt) använder en tjänst som utbyter data med Google).
  • Din Gerätekennung (User-Agent): Skickas tillsammans med din IP-adress till Google.
  • Referer: Webbplatsen du kom från när du besökte en webbplats som skickade data (direkt eller indirekt) till Google.
  • Den just nämnda besökta webbplatsen själv.
  • Ytterligare data, som samlas in av Google-tjänster som Google Analytics. Till exempel är Viewport, det vill säga storleken på ditt webbläsarfönster.
  • Google-Cookies, som används på Googles egna webbplatser.
  • Samma Google-Cookies som ovan, som används vid användning av Google Plugins, vilka är inlagda på webbplatser som ni besöker.
  • Andra Google-cookies likt förra men som endast används i Google-plugins på tredjepartswebbplatser. Till exempel Google Analytics cookies, som alltid sparar användar-IDs och tilldelar er en identifierare för att kunna spåra era aktiviteter på internet så bra som möjligt.
  • Dina själva inmatade uppgifter i ett uttryckligen av dig anlagt Google-konto. Här tillhör personuppgifts E-postadress, särskilt då du har en egen domän eller ditt riktiga namn står innan @-tecknet.
  • Dina räkningssiffror, om du använder en betald Googel-tjänst. Yes, även du som Google-kund är en användare på internet med rättigheter.
  • Dina inmatade inloggningsuppgifter, om du använder en gratis eller betald Google-tjänst. Till exempel begärs din e-postadress för att använda Google Analytics. Även när du använder Google Play Store på Android-smartphones begärs din e-postadress.
  • Sökord: De ord du sökt efter i Google-sökningen. Vi påminner oss: Du har ett Google-konto.
  • Statiska IP-adresser: Det ska finnas människor som har en (bara) registrerad IP-adress permanent hyrd. Den är lika personbunden som ett privat fordon med körkortsskylt. Där är vi nog överens, eller?

Antalet poster i denna lista visar snabbt att Google kan få mycket information om dig. Om du ger ut din e-postadress till Google på grund av de möjligheter som nämns, är du inte bara synlig för Google som en användare, utan också som en person. Du är då ägaren till e-postadressen maximusterperson@mydomain4711.de. Vem du är kan kanske redan framgå av din e-postadress själv. Men om inte, skulle ett efterföljande sökande på internet antagligen leda till att man identifierar dig som Maxi Musterperson. Tänk bara på en XING-profil där ditt riktiga namn är kopplat till den angivna e-postadressen. Kanske har du nämnt din e-postadress, werichbinweissniemand@wirklichjetzt.de, i företagsinformationen för din webbplats. Vi vet alla att (i varje fall i Tyskland och antagligen också i Österrike) i företagsinformationen för ett medie som en webbplats står namn och adress på personer. Om du inte vill göra dig besvär med att skriva in din e-postadress, hittar man ofta den informationen genom en WHOIS-förfrågan, till exempel för domäner med suffixet .at i Österrike.

Några webbplatser erbjuder ett Kontaktformulär. Jag har precis hittat en fall som skickade alla uppgifter som jag hade skrivit in i formuläret till Facebook när jag tryckte på "Skicka". Samma sak kan också ske till Google istället. Särskilt kan URL:er från webbplatser, som till exempel Sökord, skickas till Google Analytics och sedan till Google. Om jag söker efter mitt eget namn på en webbplats vet Google vem jag kunde vara. Om jag sedan söker efter mitt namn på Google och kan koppla min IP-adress med mitt namn i andra sammanhang, så ökar sannolikheten att jag är den personen snabbt till nästan säkerhet.

Den som ofta använder Google Maps, brukar oftast ange sin bostadsort som start- eller slutpunkt. Även här är personbehandlingen snabbt etablerad.

Google vet om en fiktiv användare har besökt några webbplatser (bara ett utdrag för att exemplet inte ska bli för långt):

  • Husdjur
  • Köper regelbundet hundfoder
  • Manlig
  • Arbetsgivare eller på annat sätt sysselsatt
  • Betalade även för dyrare inköp (men inte: dyra TV-apparater)
  • Har ett konto på bank X och ett på bank Y samt ett aktieägartillgång
  • Intresserad av konst
  • Resa gärna till Sydamerika
  • Cyklar gärna cykel
  • Driver gärna vintersporter
  • Intresserad av mode
  • Hatt erektionssvårigheter eller söker ofta efter medicin inom detta område
  • Laddat upp bilder från en stadsresa (troligen med GPS-koordinater i bildmetadatat)
  • Använder webbläsareversion X under Windows 10 Home med skärmupplösning Z samt Android-smartphone modell Y
  • Bor i Frankfurt am Main eller i omedelbar omgivning
  • Sätter ofta följande adress i routinplaneringen in: Hansaplatz 999, 66666 Frankfurt/M
  • Sätter ofta följande adress i routinplaneringen: Blauring 888, 66667 Frankfurt/Main
  • Låt oss bortse från det, så blir det för enkelt: Har mailadressen abcd4711@08151617.de
Fiktivt exempel. Hur många personer det nog finns som uppfyller alla dessa kriterier?

Om du använder Google Sök och klickar på en hittning, vet Google alltid att du har besökt webbplatsen X, som står bakom hittningen. Besöker du sedan från webbplats X en helt annan webbplats Y via ett externt länk som finns där, vet Google också om det, så länge webbplats Y använder ett tjänst som till exempel Google Fonts.

Om du har registrerat din webbplats i Google Search Console, har du åtminstone gjort två saker där: Du har angivit webbadressen och en e-postadress. Om Google sedan skickar dig e-post på grund av detta, får de då din IP-adress när du läser e-posten och inte blockerat bilder. Google vet då att den IP-adressen X tillhör personen som har registrerat e-postadressen Y och webbplatsen Z. Detta är knappt något annat än en personsbezug på internet. Klarar det finns fall där detta ändå inte sker, men dessa är redan ganska sällsynta. Särskilt om de andra ovan nämnda möjligheterna också beaktas.

Fortsättningsvis ska nämnas att kombinationen av IP-adress och User-Agent utmärker dig och mig med hög sannolikhet. Med hjälp av cookies, WLAN-signal och eventuellt ytterligare metoder kan även dynamiska IP-adresser jämkas. Metoden kallas i sig för Session Stitching. Över huvud taget är IP-adresser från kabelförsörjningar ofta stabila under månader. Vissa människor ska ha en statisk IP-adress som kan hyras till ett lågt pris. Om vi nu inte vill tala om bilar med Android Auto eller över Google Nest eller Google Smartwatches.

En ytterligare möjlighet att spåra en användare inom ett webbläsare är att använda ETag. En demo-sida visar hur du och jag som användare kan spåras även utan cookies, IP-adresser, browser-fingeravtryck eller liknande. Även efter att webbläsaren har stängts, minst i mitt fall, fortsatte åtkomsttällaren för mig att öka och började inte från noll innanför nytt.

Varför har någon skapat ett Google-konto?

Google hade nyligen en ogillad samtyckesfråga på sidan för Googles sökmotor och sidan för Google Maps. De tvingades klicka fem eller sex gånger för att inte ge sitt samtycke. Istället fick man bara klicka en gång för att ge sitt samtycke. Om man sedan, som föreslagits av representanter för dataskyddshatare, regelbundet tömde sina cookies, tvingades man återigen genomföra en klickorgie om man ville använda Googles sökmotor eller Maps.

Google har här en utväg för dig: Skapa ett Google-konto själv. Du måste bara lägga in din e-postadress och ett lösenord. När du sedan tar bort dina cookies, behöver du bara snabbt logga in (om möjligt med fyllt i login-fält) istället för att klicka fem gånger.

Google vet då också igen vem du är (nyckelord: e-postadress och historik över din internetaktivitet som Google har kopplat till ditt profil). Hur praktiskt, för då kan tidigare av dig raderade cookies återupprättas. Bra för Google och reklamindustrin, men sämre för personer som du och jag.

Sammandrag

Den IP-adressen låter Google ofta en personlig anknytning till. Tillsammans med den User-Agent förbättras bilden av dig från Googles synvinkel.

När du sedan använder cookies till exempel från ett vanligtvis (!) befintligt Google-konto, kommer du som internetanvändare snabbt att glänsa. Alternativt kan en Super-cookie som den Chrome Browser, som utgör en kakor, användas. I stället för Chrome kan även ett Android-smartphone från Google användas, med vilket du vänligtvis ger din dataspande till Google.

Från din Surf-Historie skulle du kunna identifieras som en specifik person redan utifrån den informationen. Det finns ju inte många människor i Tyskland med samma 40 preferenser. I regel finns det bara en person med en viss e-postadress. Och om det är ett äktenskap, kan man ofta se av innehållet i en meddelande vem som skrivit, om det är Peter eller Erna eller båda.

IP-adressen är för Google ett personuppgiftsdatum även i Österrike.

Bevis genom logik eller sakkunnigt utlåtande. Även läsa Googles integritetspolicy hjälper.

Google vet via Google Search Console vilka webbplatser som tillhör dig, och personuppgifterna ligger där på bordet. Men kanske har du bara registrerat dig för att slippa den besvärliga frågan om kakor från Google med fem klickar? Då har Google din e-postadress, som ofta innehåller direkt eller indirekt personuppgifter. Observera att i Artikel 4 § 1 DSGVO definieras personuppgifter så att de även inkluderar personuppgiftskopplade uppgifter!

Även om IP-adressen i andra länder än Tyskland kan anses som icke personuppgiftsbehandling: För koncernen Google, som försöker kartlägga alla internetanvändare världen över, är IP-adresserna från de många orsakerna potentiellt alltid personuppgifter. Därför leder användningen av Google Fonts till att personuppgifter överförs till Google, och det är webbplatsens ansvariga som har inaktiverat Googles skrift.

Om någon (kalla honom Adam eller Eva) skulle föra en klagomål i Österrike, skulle han eller hon bara behöva ha ett Google-konto som är kopplat till en bra e-postadress. Då kunde det fastställas att den IP-adressen tillhörande klaganden betraktas som personbehandling av Google. Kanske räcker det med att han har ett Google Android-smartphone.

Google Fontsidébrott

Google Fonts villkor för användninghänvisar till Google APIs Terms of Service. Senare benämner som leverantör "Google LLC med säte i 1600 Amphitheatre Parkway, Mountain View, Kalifornien 94043, USA".

Att amerikanska underrättelsetjänster kan ha fler IP-adresser än en webbplats som finns i fält, skog och äng borde vara uppenbart för alla.

Från de nämnda användningsvillkoren hänvisas också till Google's dataskyddsinformationer. Där står det (fetstext av mig):

Din plats kan bestämmas med olika grad av noggrannhet. Till detta använder vi:

  • GPS- och andra sensoruppgifter från din enhet
  • IP-adress
  • Aktiviteter i Googles tjänster, till exempel dina sökfrågor och platser som du märkt med ett etikett, såsom din bostad eller arbetsplats
  • Informationer om objekt nära din enhet, som till exempel trådlösa nätverksanslutningar, radioantenner och bluetoothäftiga enheter
Källa: https://policies.google.com/privacy

Där heter det fortsättningsvis:

Till de data vi samlar in räknas unik identifiering, webbläsarens typ och inställningar, enhets typ och inställningar, operativsystemet, information om mobilnätet som mobiloperatörens namn och telefonnummer samt apparversionsnumret. Vi samlar också data om hur era appar, webbläsare och enheter interagerar med våra tjänster. Till detta räknas bland annat IP-adressen, kraschrapporter, systemaktivitet samt datumet, klockslaget och referens-URL för din begäran.

Vi samlar in dessa uppgifter när en Google-tjänst kontaktar våra servrar på ditt enhet, till exempel när du installerar en app från Play Store eller om en tjänst frågar efter automatiska uppdateringar. Om du använder ett Android-enheter med Google-appar kontaktar din enhet regelbundet Googles servrar för att lämna in data om ditt enhet och anslutningen till våra tjänster. Till dessa uppgifter hör exempelvis typen av din enhet och namnet på din mobiloperatör, kraschrapporter, de appar du har installerat och beroende på inställningarna på din enhet ytterligare information om hur du använder ditt Android-enheter.

Källa: https://policies.google.com/privacy

Det går dock ännu längre:

Vi samlar in data om dina aktiviteter i våra tjänster. Dessa data använder vi till exempel för att föreslå ett YouTube-klipp som du kanske tycker om. Bland annat kan följande aktivitetdata samlas in:

  • Termer du söker efter
  • Filmer som du tittar på
  • Innehåll och annonser som du tittar på och interagerar med
  • Språk- och ljuddata
  • Affärsmässiga aktiviteter
  • Personer som du kommunicerar med eller utbyter innehåll med
  • Aktiviteter på webbplatser och appar från tredjepartsleverantörer som använder våra tjänster
  • Den Chrome-webblistoria som du har synkroniserat med ditt Google-konto
Källa: https://policies.google.com/privacy

Google använder dessa många data enligt egna uppgifter för att personifiera data och annonser (med reklam genererade Google senast ca 66 % av omsättningen på 160 miljarder dollar ett år).

Kurzfassung: Google erkänner (åtminstone) att alla direkt vid Google uppkomna data genom dataläckor används för att bättre lära känna er och påverka er med annonser.

Exkurs: Felaktiga argument

På CRonline-bloggen publicerades en artikel med titeln "Google Fonts: Stötande varningar". Där presenteras några saker på ett felaktigt sätt. Detta kommer jag att gå in på i följande delar:

Det skulle inte heller ske någon datatransfer till USA. Man nämner lastfördelning respektive serverarkitektur som argument. Dessutom talas det om GET-requests. Allt detta är rättsligt ointressant. Om en amerikansk underrättelsebyrå knackar på hos Google LLC, USA (den självutnämnda ägaren till Google Fonts) och begär åtkomst till ett Google-server, måste Google ge dem åtkomsten, så länge det finns en rättslig grund som kräver detta (Cloud Act, EO12333 eller FISA 702 exempelvis).

Det skulle inte ens finnas någon personlig koppling till IP-adressen som skickas till Google på grund av Google Fonts. Det är fullständigt nonsens eller en helt obetydlig påstående, som jag hoppas min tidigare inlägg visar. Endast kunskapen om ett utdrag ur historiken för internetanvändningen hos en person räcker till att känna igen personen. Vem som inte accepterar detta bör komma ihåg att Google har kännedom om de potentiellt alltid personbundna e-postadresserna från användare, och därtill IP-adressen. Via tidsförloppet kan det också vara flera IP-adresser. Dessa kan kopplas samman med varandra på olika sätt som Google har tillgängliga. Cookies är bara en möjlighet, cookie-löst spårning är en annan, Google-enheter är en tredje, GPS-signal från mobilen är en fjärde, Android Auto är en femte, Google-kundkonto är en sjätte osv.

På CRonline-bloggen görs följande fullständigt meningslösa påstående: „Den GET-anrop som den drabbade gjorde till Google Inc. innehöll inte personuppgifter, utan bara en meningslös teckensträng.” Först och främst är det Google LLC, inte Google Inc. Det borde i alla fall ett jurist som skriver artikeln på bloggen veta. Dessutom: Finns det fortfarande någon Google Inc.? Andra: Denna "meningslösa teckensträng" verkar vara så upplysande att Google med den tjänar cirka 100 miljarder dollar i omsättning per år. Som jag skrev tidigare är strängen inte meningslös. Dessutom är IP-adressen alltid kopplad till User-Agent när en anrop görs via ett webbläsare. Därmed blir IP-adressen inte mindre upplysande.

Då görs i CRonline-bloggen också följande påstående: „IP-adressen ger ju ingen slutsats om det slutliga enheten och därmed användaren, utan bara om anslutningen till internet.“ Det är naturligtvis också fel. När man är inloggad i sitt Google-konto (det som Google alltid skickar med sig när man öppnar Google-sök eller Google Maps eller använder någon annan Google-tjänst eller enhet) får man vanligtvis ett cookie (se min tidigare artikel). Detta cookie finns på användarens slutliga enhet. När man läser in cookies skickas också användarens IP-adress till Google. Hmm, nu är IP-adressen ju faktiskt användar- och enhetsbaserad. Jag använder själv bara min dator. Det ska väl finnas datorer som flera människor använder (då dock sannolikt högst två eller tre personer). Microsoft har en gång upptäckt detta och infört en inloggningfunktion i Windows, som hanterar lagringsutrymmet och programmen separat för varje användare. Så även om flera människor använder samma dator (något som den tilltalade sannolikt inte skulle hävda själv, utan snarare att bevisat av motparten) vore en enhet att betrakta som användarbaserad om den är ansluten till internet. Enbart på grund av Google-cookierna som skickas från operativsystemet för varje användare.

Google använder den erhållna IP-adressen som Signal och kopplar detta signal med ytterligare signaler samt med personuppgifter. Därmed uppstår ur varje signal en personuppgiftsvärdet.

Se min artikel samt artikeln 4 § 1 i GDPR.

Ansvarsfördelningen för webbplatsens ägare nekar artikeln i CRonline-bloggen också och hänvisar till att Google enligt villkoren för Google Fonts inte skulle "voodoo" genomföra. Hmm, det har jag läst på ett helt annat sätt. Se min tidigare inlägg samt citaten från Googles integritetspolicy som länkar till villkoren för Google Fonts. Borde jag kanske ändå bli advokat och att författaren av artikeln i CRonline skulle söka sig ett nytt yrkesområde, eller har jag läst fel på integritetspolicyn? Klarar ni mig gärna om det finns något att förklara. Ett återkommande efterforskande har gett samma resultat som tidigare av mig beskrivet. Även mer: Om andra integritetsbestämmelser än de från Google till den länkade plattformen för Google Fonts skulle gälla, vore det då de där Google skriver: "Såvitt detta enligt dataskyddslagstiftningen krävs av parterna, överenskommer parterna om integritetsbestämmelser mellan dataansvariga." Klicka på länken och då handlar det om Controller-Controller. Controller heter ansvarig, Controller-Controller är en gemensam ansvarighet (i alla fall en ansvarighet av två parter). Lyder också så som om författaren till artikeln i CRonline inte hade rätt.

Sammanfattning: Artikeln i CRonline-bloggen saknar fakta. Det kan diskuteras om massabekräftelser är rättssökande, men att avvisa dem som en överträdelse är helt fel och bara akademiskt. Naturligtvis har du Auskunftsanspruch mot en webbplatsägare för att granska lagligheten i behandlingen om denne använder Google Fonts på sin hemsida. Om en massbekräftelse också har denna rätt står på ett annat blad.

En fiktiv varning

Sådana en förklaring kunde några personer i Tyskland säga för att visa att ett personsamtal hos Google finns när det gäller en påverkad person, om Google Fonts har blivit infogad på en besökt webbplats:

Härliga ansvariga för ett brott mot Google Fonts

De har integrerat Google Fonts på din webbplats xyzabd4711.de som jag besökte den X. om Y. timmen.

Genom detta har min IP-adress och min enhetsidentifiering (User-Agent) överförts till din ansvar hos Google LLC (1600 Amphitheatre Parkway, Mountain View, Kalifornien 94043, USA; kort "Google"). Det nämnda Google är enligt egen uppgift leverantören av Google Fonts.

Detta skedde utan rättslig grund. Jag gav ingen samtyckesåtgärd och det fanns inget avtal mellan oss. Vidare kan ni inte hänvisa till ett berättigat intresse. Se de utförliga utläggningarna i detta inlägg. Således har ni behandlat mina personuppgifter utan rättslig grund (jämför art. 4 nr 2 DS-GVO samt art. 6 nr 1 DS-GVO).

Det handlar om min personuppgift (se artikeln 4 punkt 1 i dataskyddsförordningen), eftersom Google kan koppla ihop min IP-adress och användaragent med mitt Google-konto i Google Search Console eller andra Google-tjänster som jag använder. Google Search Console använder jag till exempel för att optimera prestationen på min webbplats i den av er säkert kända Google-sökningen. För att använda Google Search Console måste jag lämna över min e-postadress och telefonnummer till Google. Min e-postadress är samma som jag skriver till er med nu. Min e-postadress är personuppgift på flera sätt. För det första innehåller den mitt fullständiga namn för att bygga upp förtroende vid e-postkommunikation. För det andra kan man objektivt ta reda på vem som äger domänen genom DENIC.

Förutom det cookie som Google sätter varje gång jag använder Googles sökmotor eller Google Maps så sätts minst ett cookie med en identifierare, som Google kan använda för att igenkänna mig nästa vecka. Detta cookie överförs tillsammans med min IP-adress. Varje gång jag anger två adresser i Google Maps för att planera en rutt så får Google vetskap om det och min IP-adress. Dessa uppgifter kan Google kombinera för att från min IP-adress identifiera var jag bor (dvs den enda med namnet jag har och som matchar min e-postadress).

Min IP-adress kan därför, även om den byter (dynamisk IP-adress), av Google spåras tillbaka till samma person, nämligen mig. För att det inte ska räcka använder jag ibland också en statisk IP-adress eftersom jag behöver den för att driva egna webbtjänster. Den statiska IP-adressen är direkt spårbar tillbaka till mig, som ett ögonblicksbesked i min avtal med telekommunikationsföretaget som tillhandahåller denna IP-adress.

Jag kunde nämna ytterligare skäl varför min IP-adress, som ni överlämnar till Google utan rättslig grund, är personuppgiftsliknande. Ni hittar dessa argument i en artikel på Dr. DSGVO. Dessutom rekommenderar jag att läsa domen från EU-domstolen den 19 oktober 2016 – C-582/14, särskilt RN. 49, som också behandlar dynamiska IP-adresser och anser det tillräckligt att ett rättsligt medel finns för att återföra en datavärde till en person så att datavärdet är personuppgiftsliknande i enlighet med artikel 4 punkt 1 DS-GVO.

Straffbelagd förbehållsunderkännande

De har att underlåta…

Typiska motiveringar
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

IP-adresser: Grundläggande och DSGVO