anonym.legal

By · Last updated 2026-06-05

Takaisin BlogiinGDPR & Vaatimustenmukaisuus

DSB Itävalta: Schrems ja tiedonsiirrot

Itävallan DSB on NOYB:n kotimaan valvontaviranomainen (422 käsiteltyä kantelua 2022–2024). Google Analytics -päätös, Schrems III -riski ja 78 % DSB-tapauksista keskittyvät tiedonsiirtoihin.

June 5, 20268 min lukuaika
Austria DSBNOYBSchremsGDPR data transfersEU-US privacy

DSB Itävalta: Schrems ja tiedonsiirrot

Itävallan Datenschutzbehörde (DSB) on NOYB:n kotimaan valvontaviranomainen. NOYB tulee sanoista None of Your Business. Max Schrems perusti järjestön. Se on tehnyt yli 1 000 GDPR-kantelua vuodesta 2018. DSB käsitteli 422 näistä tapauksista vuosina 2022–2024.

Tällä historialla on merkitystä. DSB on kahden oikeudenkäynnin keskipisteessä, jotka ovat jo muovanneet EU:n siirtosääntelyä.

NOYB ja DSB: Kaava toistuu

Schrems I (2015): Schrems teki kantelun Facebookin EU–USA-datavirroista. EU-tuomioistuin kaatoi Safe Harbor -järjestelyn. Yli 4 000 yritystä tukeutui silloin tähän kehykseen.

Schrems II (2020): Uusi haaste kohdistui Privacy Shieldiin. Yli 5 000 yritystä luotti siihen. Sen kaatuminen pakotti neuvottelemaan uudelleen. Tuloksena syntyi EU:n ja USA:n välinen tietosuojakehys (DPF). DPF tuli voimaan 2023.

Odotettu Schrems III (2025–2026): NOYB on riitauttanut DPF-riittävyyspäätöksen. Perusteena: FISA Section 702 on edelleen ristiriidassa GDPR:n kanssa. EU-tuomioistuimelle tehty ennakkoratkaisupyyntö on odotettavissa.

78 % DSB-tapauksista koskee rajat ylittäviä siirtoja tai kolmannen osapuolen työkaluja. Tämä painopiste erottaa itävaltalaiset valvojat muista EU-elimistä.

DSB:n Google Analytics -päätös

DSB:n tammikuun 2022 Google Analytics -päätös asetti standardin siirtotapauksille.

Päätöksessä esitettiin kolme keskeistä johtopäätöstä:

  1. IP-osoitteet ovat henkilötietoja. Jopa lyhennetyt IP-osoitteet voivat mahdollistaa uudelleentunnistamisen Googlen järjestelmissä. Istuntotietueet pahentavat tätä.
  2. Yhdysvaltalaisten toimittajien pääsy on siirto. Kun amerikkalaiset insinöörit voivat käyttää EU-käyttäjätietoja, tämä pääsy on GDPR:n mukainen siirto. Tämä koskee tukea, ylläpitoa ja tuomioistuinmääräyksiä.
  3. SCC:t ilman TIA:ta eivät riitä. Vakiosopimuslausekkeet edellyttävät siirtovaikutusarviointia. TIA:n on osoitettava, etteivät Yhdysvaltain tiedustelulait kumoa SCC-suojia.

DSB piti itävaltalaista toimijaa vastuullisena — ei Googlea. Toimija oli rekisterinpitäjä. Tämä koskee kaikkia EU-yrityksiä, jotka integroivat kolmansien osapuolten skriptejä. Rekisterinpitäjän velvollisuuksista on lisätietoja GDPR-vaatimustenmukaisuusoppaassamme.

Täydentävät tekniset toimenpiteet

Schrems II:n jälkeen EDPB julkaisi ohjeistuksen täydentävistä teknisistä toimenpiteistä. Näitä sovelletaan, kun SCC:t yksin eivät riitä. DSB valvoo tätä ohjeistusta.

DSB on hyväksynyt kolme lähestymistapaa:

Salaus EU:ssa säilytettävillä avaimilla. Salaa data ennen kuin se poistuu EU:sta. Säilytä salauksen purkuavaimet EU:ssa. Jos yhdysvaltalaiset viranomaiset määräävät toimittajan luovuttamaan tiedostoja, he saavat salatekstiä, jota he eivät pysty lukemaan.

Pseudonymisaatio ennen siirtoa. Lähetä vain pseudonyymisiä tunnuksia rajojen yli. Säilytä uudelleentunnistusavain EU:ssa. Siirretyissä tiedostoissa ei ole suoria henkilötietoja.

Paikallinen käsittely. Suorita kaikki käsittely EU:ssa sijaitsevilla palvelimilla. Siirrä vain koostettuja, aidosti anonyymejä tilastoja. Henkilötiedot eivät ylitä rajoja lainkaan.

DSB on vahvistanut tämän kannan. Organisaatioiden, jotka käyttävät yhdysvaltalaisia SaaS-toimittajia EU-henkilötiedoille, on sovellettava vähintään yhtä näistä lähestymistavoista. Tai niiden on osoitettava, että siirretty sisältö on aidosti anonyymiä.

Schrems III -riski

Yritykset, jotka tukeutuvat pelkästään DPF:ään, ovat selkeässä riskissä. Jos NOYB:n EU-tuomioistuimessa tekemä haaste onnistuu, näiden yritysten on löydettävä nopeasti uusia siirtovälineitä. Juuri näin kävi vuosina 2015 ja 2020.

Organisaatiot, joilla on täydentävät tekniset toimenpiteet, ovat suojassa. Jos sisältö on aidosti anonyymia, mitään GDPR:n mukaista siirtoa ei tapahdu. DPF:n kaatuminen ei muuta heidän tilannettaan.

Itävaltalaisissa toiminnoissa: analytiikkatyökalut (Google Analytics, Mixpanel, Amplitude) kaikki luovat DSB-altistuksen. Sama koskee CRM-järjestelmiä, joilla on amerikkalaisia emoyhtiöitä (Salesforce, HubSpot). Pilvipalvelualustat, joissa amerikkalaisilla työntekijöillä on järjestelmänvalvojan pääsy, kantavat saman riskin.

Ratkaisu on sama jokaisessa tapauksessa. Varmista, että henkilötiedot ovat aidosti anonyymejä ennen kuin ne saavuttavat toimittajan. Tai salaa ne avaimilla, jotka pelkästään EU:ssa sijaitseva rekisterinpitäjä hallitsee. Tietoturva- ja vaatimustenmukaisuuskatsauksemme selittää, miten zero-knowledge-suunnittelu poistaa siirto-ongelman lähteestä.

Lähteet

Liittyvät Artikkelit

GDPR & Vaatimustenmukaisuus

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Vaatimustenmukaisuus

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Vaatimustenmukaisuus

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.