anonym.legal

By · Last updated 2026-06-05

Vissza a BlograGDPR & Megfelelés

DSB Ausztria: Schrems és adattovábbítás

Az osztrák DSB a NOYB székhelye szerinti adatvédelmi hatóság (2022–2024 között 422 panasz kezelve). A Google Analytics-határozat, a Schrems III kockázat, és a DSB-ügyek 78%-a az adattovábbítást célozza.

June 5, 20268 perc olvasás
Austria DSBNOYBSchremsGDPR data transfersEU-US privacy

DSB Ausztria: Schrems és adattovábbítás

Az osztrák Datenschutzbehörde (DSB) a NOYB székhelye szerinti felügyeleti hatóság. A NOYB a „None of Your Business” rövidítése. Max Schrems alapította a szervezetet, amely 2018 óta több mint 1000 GDPR-panaszt nyújtott be. A DSB 2022 és 2024 között ezek közül 422-t tárgyalt.

Ez a múlt fontos. A DSB két olyan jogi csata középpontjában áll, amelyek már alapjaiban átformálták az EU adattovábbítási jogát.

A NOYB és a DSB: egy minta

Schrems I (2015): Schrems panaszt nyújtott be a Facebook EU–US adatforgalma miatt. Az EU Bírósága megsemmisítette a Safe Harbor keretrendszert. Annak idején több mint 4000 vállalat támaszkodott erre a keretrendszerre.

Schrems II (2020): Egy második kihívás megdöntötte a Privacy Shield-et. Több mint 5000 vállalat függött tőle. Az összeomlás új tárgyalásokat tett szükségessé. Eredménye az EU–US Adatvédelmi Keretrendszer (DPF) lett, amely 2023-ban lépett hatályba.

Várható Schrems III (2025–2026): A NOYB megtámadta a DPF megfelelőségi határozatát. Érve: a FISA 702. szakasza még mindig ütközik a GDPR-ral. Várható az Európai Bíróság elé terjesztés.

A DSB-ügyek 78%-a határokon átnyúló adattovábbítást vagy harmadik fél eszközeit érinti. Ez a fókusz megkülönbözteti az osztrák hatóságot az EU többi szervétől.

A DSB Google Analytics-határozata

A DSB 2022. januári Google Analytics-határozata mintát adott a továbbítási ügyeknek.

Három kulcsmegállapítás született:

  1. Az IP-címek személyes adatok. Még a csonkított IP-k is lehetővé tehetik az újra-azonosítást a Google rendszerein belül, különösen a munkamenet-rekordokkal együtt.
  2. Az US-hozzáférés is adattovábbításnak minősül. Ha US-mérnökök hozzáférhetnek EU felhasználói adatokhoz, az GDPR szerinti adattovábbítás – legyen szó támogatásról, karbantartásról vagy jogi kötelezettségről.
  3. Az SCC-k Transfer Impact Assessment nélkül nem elegendők. A Standard Contractual Clause-okhoz TIA is szükséges, amely igazolja, hogy az US kémkedési törvények nem rontják le az SCC-k nyújtotta védelmet.

A DSB az osztrák weboldal-üzemeltetőt találta felelősnek – nem a Google-t. Az üzemeltető volt az adatkezelő. Ez minden olyan EU-s vállalkozásra vonatkozik, amely harmadik fél szkriptjeit ágyazza be. Az adatkezelői kötelezettségekről lásd a GDPR megfelelőségi útmutatót.

Kiegészítő technikai intézkedések

A Schrems II után az Európai Adatvédelmi Testület (EDPB) útmutatást adott ki a kiegészítő technikai intézkedésekről. Ezek akkor alkalmazandók, ha az SCC-k önmagukban nem elegendők. A DSB érvényesíti ezt az útmutatást.

Három megközelítés állja ki a DSB vizsgálatát:

EU-ban tárolt kulcsokkal végzett titkosítás. Az adatokat az EU-ból való kiküldés előtt titkosítsák. A visszafejtési kulcsokat EU-s kezekben kell tartani. Ha az US-hatóságok kötelezik a szolgáltatót az adatok kiadására, csak olvashatatlan titkosított szöveget kapnak.

Továbbítás előtti pszeudonymizáció. Határokon átívelő adattovábbításnál csak pszeudonym tokeneket küldjenek. Az újra-azonosítási kulcs az EU-ban marad. Az átadott adatok nem tartalmaznak közvetlen személyes adatot.

Helyi feldolgozás. Minden feldolgozást EU-ban üzemeltetett szervereken végezzenek. Csak összesített, valóban anonim statisztikák kerüljenek határon túlra. Személyes adatok egyáltalán nem hagyják el az EU-t.

A DSB megerősítette ezt az álláspontot. Az EU személyes adatokat US SaaS-szolgáltatóknak átadó szervezeteknek legalább az egyik megközelítést alkalmazniuk kell. Vagy igazolniuk kell, hogy az átadott tartalom valóban anonim.

A Schrems III kockázat

A kizárólag DPF-re támaszkodó cégek egyértelmű kockázatnak vannak kitéve. Ha a NOYB CJEU-kihívása sikeres lesz, ezeknek a cégeknek gyorsan új adattovábbítási eszközöket kell találniuk. Pontosan ez történt 2015-ben és 2020-ban is.

A kiegészítő technikai intézkedéseket alkalmazó szervezetek védve vannak. Ha a tartalom valóban anonim, GDPR szerinti adattovábbítás nem történik. A DPF esetleges összeomlása számukra semmit sem változtat.

Az osztrák működés szempontjából: az analitikai eszközök (Google Analytics, Mixpanel, Amplitude) mind DSB-kitettséget teremtenek. Ugyanígy az US anyavállalattal rendelkező CRM-rendszerek (Salesforce, HubSpot) és azok a felhőplatformok, ahol US-alkalmazottak adminisztrátori hozzáféréssel rendelkeznek.

A megoldás minden esetben ugyanaz. Gondoskodjon arról, hogy a személyes adatok valóban anonim formában érjék el a szolgáltatót. Vagy titkosítsa őket olyan kulcsokkal, amelyeket kizárólag az EU-s adatkezelő tárol. A biztonsági és megfelelőségi áttekintőnk elmagyarázza, hogyan küszöböli ki a zero-knowledge tervezés az adattovábbítási problémát a gyökerénél.

Források

Kapcsolódó Cikkek

GDPR & Megfelelés

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Megfelelés

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Megfelelés

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Készen áll az adatai védelmére?

Kezdje el a PII anonimizálását 285+ entitástípuson 48 nyelven.

Ingyenes Próbát KezdFunkciók Megtekintése

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.