anonym.legal

By · Last updated 2026-06-05

블로그로 돌아가기GDPR 및 준수

오스트리아 DSB: Schrems 판결과 데이터 이전

오스트리아 DSB는 NOYB(2022~2024년 422건 처리)의 본거지 DPA입니다. 구글 애널리틱스 판결, Schrems III 리스크, DSB 사건의 78%가 국경 간 이전을 대상으로 합니다.

June 5, 20268 분 읽기
Austria DSBNOYBSchremsGDPR data transfersEU-US privacy

오스트리아 DSB: Schrems 판결과 데이터 이전

오스트리아의 Datenschutzbehörde(DSB)는 NOYB의 본거지 규제 기관입니다. NOYB는 'None of Your Business'의 약자로 Max Schrems가 설립한 단체입니다. 2018년 이후 1,000건 이상의 GDPR 민원을 제기했으며, DSB는 2022년부터 2024년까지 그 중 422건을 처리했습니다.

이 실적은 중요한 의미를 갖습니다. DSB는 EU 데이터 이전 법률을 이미 두 차례 재편한 법적 분쟁의 중심에 있습니다.

NOYB와 DSB: 반복되는 패턴

Schrems I(2015년): Schrems는 Facebook의 EU-미국 데이터 흐름에 대한 민원을 제기했습니다. 유럽사법재판소(CJEU)는 Safe Harbor를 무효화했습니다. 당시 4,000개 이상의 기업이 이 프레임워크를 사용하고 있었습니다.

Schrems II(2020년): 두 번째 도전으로 Privacy Shield가 무효화되었습니다. 5,000개 이상의 기업이 의존하던 이 협정의 붕괴로 새로운 협상이 시작되었고, 그 결과물이 EU-미국 데이터 프라이버시 프레임워크(DPF)입니다. DPF는 2023년 발효되었습니다.

예상되는 Schrems III(2025~2026년): NOYB는 DPF 적정성 결정에 이의를 제기했습니다. 핵심 논리는 FISA 제702조가 여전히 GDPR과 충돌한다는 것입니다. CJEU 회부가 예상됩니다.

DSB 사건의 78%가 국경 간 이전 또는 제3자 도구와 관련됩니다. 이 집중도는 오스트리아 규제 당국을 다른 EU 기관과 구별짓습니다.

DSB의 구글 애널리틱스 판결

2022년 1월 DSB의 구글 애널리틱스 결정은 데이터 이전 사건의 판례 기준이 되었습니다.

세 가지 핵심 판단이 나왔습니다.

  1. IP 주소는 개인 데이터입니다. 잘린 IP도 구글 시스템 내부에서 재식별을 가능하게 합니다. 세션 기록이 상황을 악화시킵니다.
  2. 미국 벤더 접근은 이전으로 간주됩니다. 미국 엔지니어가 EU 사용자 기록에 접근할 수 있을 때, 해당 접근은 GDPR상 이전에 해당합니다. 기술 지원, 유지보수, 법적 명령 모두 포함됩니다.
  3. 이전 영향 평가 없는 SCC는 불충분합니다. 표준계약조항은 이전 영향 평가(TIA)를 동반해야 합니다. TIA는 미국 정보 수집 법률이 SCC 보호 장치를 무력화하지 않음을 증명해야 합니다.

DSB는 구글이 아닌 오스트리아 사이트 운영자를 책임자로 판단했습니다. 운영자가 개인정보 처리 컨트롤러였기 때문입니다. 이는 제3자 스크립트를 삽입하는 모든 EU 사업자에게 적용됩니다. 컨트롤러 의무에 대해서는 GDPR 컴플라이언스 가이드를 참고하세요.

추가 기술적 조치

Schrems II 이후 EDPB는 추가 기술적 조치에 관한 가이드를 발표했습니다. 이는 SCC만으로는 부족할 때 적용됩니다. DSB는 이 가이드를 집행합니다.

DSB 심사를 통과하는 세 가지 접근법입니다.

EU 내 키 보관 암호화. EU 역외로 내보내기 전에 데이터를 암호화하십시오. 복호화 키는 EU 내에 보관하십시오. 미국 당국이 벤더에게 파일 제출을 강요하더라도 읽을 수 없는 암호문만 얻게 됩니다.

이전 전 가명화. 국경을 넘어 가명 토큰만 전송하십시오. 재식별 키는 EU 내에 보관하십시오. 이전된 파일에는 직접적인 개인 데이터가 없습니다.

로컬 처리. 모든 처리를 EU 호스팅 서버에서 실행하십시오. 집계된 진정한 익명 통계만 이전하십시오. 개인 기록은 국경을 넘지 않습니다.

DSB는 이 입장을 확인했습니다. EU 개인 데이터에 미국 SaaS 벤더를 사용하는 기업은 최소한 이 중 하나를 적용해야 합니다. 또는 이전되는 콘텐츠가 진정으로 익명화되었음을 증명해야 합니다.

Schrems III 리스크

DPF에만 의존하는 기업은 명확한 위험을 안고 있습니다. NOYB의 CJEU 도전이 성공하면 새로운 이전 수단을 빠르게 찾아야 합니다. 2015년과 2020년에 정확히 그런 상황이 발생했습니다.

추가 기술적 조치를 사용하는 기업은 보호받습니다. 콘텐츠가 진정으로 익명화되어 있으면 GDPR 이전 자체가 발생하지 않습니다. DPF가 붕괴되더라도 이들에게는 변화가 없습니다.

오스트리아 운영 기업의 경우: 애널리틱스 도구(구글 애널리틱스, Mixpanel, Amplitude)는 모두 DSB 노출을 만들어냅니다. 미국 모회사를 둔 CRM 시스템(Salesforce, HubSpot)도 마찬가지입니다. 미국 직원이 관리자 접근 권한을 보유한 클라우드 플랫폼도 동일한 위험을 안고 있습니다.

해결책은 각 경우에 동일합니다. 벤더에 도달하기 전에 개인 기록이 진정으로 익명화되어 있는지 확인하십시오. 또는 EU 컨트롤러만이 보유하는 키로 암호화하십시오. 당사의 보안 및 컴플라이언스 개요에서 제로 지식 설계가 어떻게 이전 문제를 근본부터 해결하는지 확인하세요.

출처

관련 기사

GDPR 및 준수

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR 및 준수

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR 및 준수

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

데이터 보호를 시작할 준비가 되셨나요?

48개 언어로 285개 이상의 엔티티 유형으로 PII 익명화를 시작하세요.

무료 체험 시작기능 보기

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.