anonym.legal
Takaisin BlogiinGDPR & Vaatimustenmukaisuus

DSB Itävalta: DPA Schrems I & II:n Takana — Mitä NOYB:n Tapaukset Tarkoittavat Tietosi Siirroille

Itävallan DSB on NOYB:n kotimaan DPA (422 valitusta käsitelty 2022-2024). Google Analytics -päätös, Schrems III -riski ja 78 % DSB:n tapauksista kohdistuu tietosiirtoihin. Teknisiä vaatimuksia noudattamiselle.

March 7, 20268 min lukuaika
Austria DSBNOYBSchremsGDPR data transfersEU-US privacy

Itävallan Datenschutzbehörde (DSB) on pääasiallinen valvontaviranomainen NOYB:n — None of Your Business — tekemille valituksille, joka on Max Schremsin perustama yksityisyydensuojan puolustamiseen keskittyvä organisaatio. NOYB on jättänyt yli 1,000 strategista GDPR-valitusta vuodesta 2018 lähtien, ja DSB on käsitellyt 422 niistä vuosina 2022-2024. DSB:n valvonnan ymmärtäminen tarkoittaa myös strategisen oikeudenkäynnin ymmärtämistä, joka on muokannut EU:n tietosiirtolakia kahdesti.

NOYB ja DSB: Strateginen Valvontamalli

Schrems I (2015): Max Schremsin valitus Facebookin EU-US-tietosiirroista kumosi lopulta Safe Harbor -kehyksen, jota käytti yli 4,000 yritystä.

Schrems II (2020): Schremsin seuraava haaste kumosi EU-US Privacy Shieldin, mikä vaikutti yli 5,000 yritykseen ja laukaisi hätäneuvottelut, jotka johtivat nykyiseen EU-US Tietosuojakehykseen (2023).

Odotettu Schrems III (2025-2026): NOYB on jättänyt haasteita DPF:n riittävyyspäätökselle, väittäen, että FISA:n osio 702 on edelleen yhteensopimaton GDPR:n kanssa. CJEU:n lähettämistä odotetaan.

78 % DSB:n valvontatapauksista liittyy tietosiirtoihin tai kolmansien osapuolien integraatioihin — tämä siirtoihin keskittyvä lähestymistapa on Itävallan valvonnan määrittävä ominaisuus.

DSB:n Google Analytics -päätös

DSB:n tammikuussa 2022 tekemä Google Analytics -päätös määritti mallin kaikille myöhemmille siirtojen valvonnalle:

  1. IP-osoitteet ovat henkilötietoja. Jopa lyhennetyt IP-osoitteet yhdessä istuntotietojen kanssa mahdollistavat uudelleen tunnistamisen Googlen tietokannassa.
  2. Yhdysvaltalaisten toimittajien pääsy = siirto. Kun Yhdysvaltojen insinöörit voivat käyttää EU:n käyttäjätietoja (tukemiseen, ylläpitoon tai oikeudelliseen pakkoon), tämä pääsy muodostaa tietosiirron GDPR:n mukaan.
  3. SCC:t ilman riittävää TIA:ta = rikkomus. Standardisopimusehdot ilman siirron vaikutusten arviointia, joka osoittaa, että Yhdysvaltojen valvontalaki ei kumoa niitä, ovat riittämättömiä.

DSB totesi, että Itävallan verkkosivuston ylläpitäjä — ei Google — oli vastuussa laittomasta siirrosta. Tämä periaate vaikuttaa jokaiseen EU:n yritykseen, joka upottaa kolmansien osapuolien skriptejä.

Lisätekniikat: Mikä Todellisuudessa Toimii

Schrems II:n jälkeen EDPB julkaisi ohjeita lisätekniikoista, joita tarvitaan, kun pelkät SCC:t ovat riittämättömiä. DSB valvoo näitä ohjeita:

Salaus EU:ssa pidetyillä avaimilla: Jos EU:n henkilötiedot salataan ennen siirtoa Yhdysvaltoihin, ja salauksen purkuavaimet pidetään yksinomaan EU:ssa sijaitsevien avainten haltijoiden toimesta, tiedot ovat käytännössä anonyymejä GDPR:n siirtotarkoituksia varten — Yhdysvaltojen viranomaiset eivät voi pakottaa pääsyä tietoihin, joita he eivät voi lukea.

Pseudonymisointi ennen siirtoa: Jos siirrettävät tiedot sisältävät vain pseudonyymejä tunnisteita (uudelleen tunnistamisen avain pidetään EU:ssa), siirretyt tiedot eivät ole "henkilötietoja" siirtoa varten.

Paikallinen käsittely: Tiedot, jotka eivät koskaan poistu EU:ssa isännöidystä infrastruktuurista, välttävät siirtovaatimukset kokonaan. Vain aggregoidut, todella anonymisoidut tilastot siirretään.

DSB on todennut, että organisaatioiden, jotka käyttävät Yhdysvaltojen SaaS-toimittajia EU:n henkilötietojen käsittelyssä, on joko toteutettava nämä toimenpiteet tai osoitettava, että tiedot ovat todella anonymisoituja.

Schrems III -riski Yhdysvaltalaisia Toimittajia Käyttäville Organisaatioille

Organisaatiot, jotka luottavat pelkästään EU-US Tietosuojakehykseen (DPF) Yhdysvaltojen tietosiirroissa, kohtaavat erityisen riskin: jos NOYB:n CJEU-haaste onnistuu — kuten tapahtui Safe Harborin (2015) ja Privacy Shieldin (2020) kanssa — organisaatioiden on heti etsittävä vaihtoehtoisia siirtomekanismeja.

Organisaatiot, jotka käyttävät lisätekniikoita (salaus EU:ssa pidetyillä avaimilla, aito anonymisointi ennen siirtoa), ovat suojassa DPF:n kumoamisriskiltä. Siirtoa ei teknisesti tapahdu, jos tiedot ovat todella anonymisoituja tai salattuja avaimilla, joihin Yhdysvaltojen toimittaja ei voi päästä käsiksi.

Erityisesti Itävallan toiminnoille: verkkosivuston analytiikka, joka käyttää Yhdysvaltalaisia työkaluja (Google Analytics, Mixpanel, Amplitude), CRM-järjestelmät, joissa on Yhdysvaltalaisia emoyhtiöitä (Salesforce, HubSpot), ja pilvi-infrastruktuuri, jossa on Yhdysvaltojen pääsy hallintaoikeuteen, luovat kaikki DSB:n valvontariskin. Vähentäminen tarkoittaa, että näissä järjestelmissä olevat henkilötiedot on joko todella anonymisoitu ennen kuin ne saavuttavat toimittajan järjestelmät tai salattu avaimilla, joita EU:n rekisterinpitäjä pitää yksinomaan.

Liittyvät Artikkelit

GDPR & Vaatimustenmukaisuus

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Vaatimustenmukaisuus

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Vaatimustenmukaisuus

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet