anonym.legal
Tilbage til BlogGDPR & Overholdelse

DSB Østrig: DPA'en bag Schrems I & II — Hvad NOYB-sager betyder for dine datatransfers

Østrigs DSB er den hjemlige DPA for NOYB (422 klager behandlet 2022-2024). Google Analytics-afgørelsen, Schrems III-risikoen, og 78% af DSB-sagerne målretter datatransfers. Tekniske overholdelseskrav.

March 7, 20268 min læsning
Austria DSBNOYBSchremsGDPR data transfersEU-US privacy

Østrigs Datenschutzbehörde (DSB) er den førende tilsynsmyndighed for sager indgivet af NOYB — None of Your Business — den privatlivsadvokatorganisation grundlagt af Max Schrems. NOYB har indgivet over 1.000 strategiske GDPR-klager siden 2018, og DSB har behandlet 422 af dem i 2022-2024. At forstå DSB's håndhævelse betyder at forstå den strategiske retssag, der har omformet EU's datatransferlov to gange.

NOYB og DSB: Et Strategisk Håndhævelsesmønster

Schrems I (2015): Max Schrems' klage over Facebooks EU-US datatransfers annullerede i sidste ende Safe Harbor-rammen, der blev brugt af over 4.000 virksomheder.

Schrems II (2020): Schrems' efterfølgende udfordring annullerede EU-US Privacy Shield, hvilket påvirkede over 5.000 virksomheder og udløste en nødforhandling, der resulterede i den nuværende EU-US Data Privacy Framework (2023).

Forventet Schrems III (2025-2026): NOYB har indgivet udfordringer til DPF's tilstrækkelighedsbeslutning og hævder, at FISA Section 702 forbliver uforenelig med GDPR. En CJEU-henvendelse forventes.

78% af DSB's håndhævelsessager involverer datatransfers eller tredjepartsintegrationer — dette transfercentriske fokus er den definerende egenskab ved østrigsk håndhævelse.

DSB's Google Analytics Afgørelse

DSB's afgørelse om Google Analytics i januar 2022 etablerede mønsteret for al efterfølgende håndhævelse af transfers:

  1. IP-adresser er personoplysninger. Selv afkortede IP'er kombineret med sessionsdata muliggør re-identifikation i Googles database.
  2. Adgang til amerikanske leverandører = transfer. Når amerikanske ingeniører kan få adgang til EU-brugerdata (til support, vedligeholdelse eller juridisk tvang), udgør denne adgang en datatransfer under GDPR.
  3. SCC'er uden tilstrækkelig TIA = overtrædelse. Standardkontraktbestemmelser uden en Transfer Impact Assessment, der viser, at amerikansk overvågningslov ikke annullerer dem, er utilstrækkelige.

DSB fandt, at den østrigske hjemmesideoperatør — ikke Google — var dataansvarlig for den ulovlige transfer. Dette princip påvirker enhver EU-virksomhed, der indlejrer tredjeparts scripts.

Supplerende Tekniske Foranstaltninger: Hvad Virker Faktisk

Efter Schrems II udstedte EDPB vejledning om supplerende tekniske foranstaltninger, der kræves, når SCC'er alene er utilstrækkelige. DSB håndhæver denne vejledning:

Kryptering med EU-holdte nøgler: Hvis EU-personoplysninger krypteres før transfer til USA, og dekrypteringsnøgler udelukkende holdes af EU-baserede nøgleholdere, er dataene effektivt anonyme til GDPR-transferformål — amerikanske myndigheder kan ikke tvinge adgang til data, de ikke kan læse.

Pseudonymisering før transfer: Hvis de overførte data kun indeholder pseudonyme identifikatorer (re-identifikationsnøgle holdt i EU), er de overførte data ikke "personoplysninger" til transferen.

Lokal behandling: Data, der aldrig forlader EU-hostede infrastrukturer, undgår helt transferkrav. Kun aggregerede, virkelig anonymiserede statistikker overføres.

DSB har fundet, at organisationer, der bruger amerikanske SaaS-leverandører til behandling af EU-personoplysninger, enten skal implementere disse foranstaltninger eller demonstrere, at dataene er ægte anonymiserede.

Schrems III Risikoen for Organisationer, der Bruger Amerikanske Leverandører

Organisationer, der udelukkende er afhængige af EU-US Data Privacy Framework (DPF) til datatransfers til USA, står over for en specifik risiko: hvis NOYB's CJEU-udfordring lykkes — som skete med Safe Harbor (2015) og Privacy Shield (2020) — skal organisationer straks finde alternative transfermekanismer.

Organisationer, der bruger supplerende tekniske foranstaltninger (kryptering med EU-holdte nøgler, ægte anonymisering før transfer) er beskyttet mod DPF-ugyldighedsrisiko. Transferen finder teknisk ikke sted, hvis dataene er ægte anonymiserede eller krypterede med nøgler, som den amerikanske leverandør ikke kan få adgang til.

For østrigske operationer specifikt: webanalyse ved hjælp af amerikanske værktøjer (Google Analytics, Mixpanel, Amplitude), CRM-systemer med amerikanske moderselskaber (Salesforce, HubSpot) og cloud-infrastruktur med amerikansk tilgængelig admin-adgang skaber alle DSB-håndhævelseseksponering. Afhjælpningen er at sikre, at personoplysninger i disse systemer enten er virkelig anonymiserede, før de når leverandørens systemer, eller krypterede med nøgler, der udelukkende holdes af den EU-baserede dataansvarlige.

Kilder:

Relaterede Artikler

GDPR & Overholdelse

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Overholdelse

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Overholdelse

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Klar til at beskytte dine data?

Begynd at anonymisere PII med 285+ enhedstyper på tværs af 48 sprog.

Start Gratis PrøveperiodeSe Funktioner