Østerrikes Datenschutzbehörde (DSB) er den ledende tilsynsmyndigheten for saker innlevert av NOYB — None of Your Business — den personvernsadvokatorganisasjonen grunnlagt av Max Schrems. NOYB har sendt inn over 1 000 strategiske GDPR-klager siden 2018, og DSB har håndtert 422 av dem i 2022-2024. Å forstå DSBs håndheving betyr å forstå den strategiske rettssaken som har omformet EUs datatransferlov to ganger.
NOYB og DSB: Et Strategisk Håndhevelsesmønster
Schrems I (2015): Max Schrems' klage om Facebooks EU-US datatransferer ugyldiggjorde til slutt Safe Harbor-rammeverket som ble brukt av over 4 000 selskaper.
Schrems II (2020): Schrems' oppfølgingsutfordring ugyldiggjorde EU-US Privacy Shield, som påvirket over 5 000 selskaper og utløste en nødforhandling som resulterte i den nåværende EU-US Data Privacy Framework (2023).
Forventet Schrems III (2025-2026): NOYB har sendt inn utfordringer til DPF-tilstrekkelighetsbeslutningen, og argumenterer for at FISA Seksjon 702 fortsatt er inkompatibel med GDPR. En CJEU-referanse er forventet.
78% av DSBs håndhevelsessaker involverer datatransferer eller tredjepartsintegrasjoner — dette transfer-sentriske fokuset er den definerende egenskapen ved østerriksk håndheving.
DSBs Google Analytics-beslutning
DSBs Google Analytics-beslutning fra januar 2022 etablerte mønsteret for all påfølgende håndhevelse av overføringer:
- IP-adresser er personopplysninger. Selv avkortede IP-er kombinert med sesjonsdata muliggjør re-identifikasjon i Googles database.
- Tilgang fra amerikanske leverandører = overføring. Når amerikanske ingeniører kan få tilgang til EU-brukerdata (for støtte, vedlikehold eller juridisk tvang), utgjør den tilgangen en datatransfer under GDPR.
- SCC-er uten tilstrekkelig TIA = brudd. Standard kontraktsvilkår uten en Transfer Impact Assessment som viser at amerikansk overvåkningslov ikke ugyldiggjør dem, er utilstrekkelige.
DSB fant at den østerrikske nettstedoperatøren — ikke Google — var datakontrolleren ansvarlig for den ulovlige overføringen. Dette prinsippet påvirker hver EU-virksomhet som integrerer tredjeparts skript.
Supplerende Tekniske Tiltak: Hva Fungerer Faktisk
Etter Schrems II utstedte EDPB veiledning om supplerende tekniske tiltak som kreves når SCC-er alene er utilstrekkelige. DSB håndhever denne veiledningen:
Kryptering med EU-holdte nøkler: Hvis EU-personopplysninger er kryptert før overføring til USA, og dekrypteringsnøkler holdes eksklusivt av EU-baserte nøkkelholdere, er dataene effektivt anonyme for GDPR-overføringsformål — amerikanske myndigheter kan ikke tvinge tilgang til data de ikke kan lese.
Pseudonymisering før overføring: Hvis overførte data kun inneholder pseudonyme identifikatorer (re-identifikasjonsnøkkel holdt i EU), er de overførte dataene ikke "personopplysninger" for overføringen.
Lokal behandling: Data som aldri forlater EU-vertet infrastruktur unngår overføringskrav helt. Bare aggregerte, virkelig anonymiserte statistikker overføres.
DSB har funnet at organisasjoner som bruker amerikanske SaaS-leverandører for behandling av EU-personopplysninger må enten implementere disse tiltakene eller demonstrere at dataene er genuint anonymisert.
Schrems III-risikoen for Organisasjoner som Bruker Amerikanske Leverandører
Organisasjoner som utelukkende stoler på EU-US Data Privacy Framework (DPF) for amerikanske datatransferer står overfor en spesifikk risiko: hvis NOYBs CJEU-utfordring lykkes — som skjedde med Safe Harbor (2015) og Privacy Shield (2020) — må organisasjoner umiddelbart lete etter alternative overføringsmekanismer.
Organisasjoner som bruker supplerende tekniske tiltak (kryptering med EU-holdte nøkler, genuin anonymisering før overføring) er isolert fra DPF-ugyldighetsrisiko. Overføringen skjer teknisk ikke hvis dataene er genuint anonymisert eller kryptert med nøkler som den amerikanske leverandøren ikke kan få tilgang til.
For østerrikske operasjoner spesifikt: nettstedanalyse som bruker amerikanske verktøy (Google Analytics, Mixpanel, Amplitude), CRM-systemer med amerikanske morselskaper (Salesforce, HubSpot), og skyinfrastruktur med amerikansk tilgjengelig administrativ tilgang skaper alle DSB-håndhevelseseksponering. Tiltaket er å sikre at personopplysninger i disse systemene enten er virkelig anonymisert før de når leverandørens systemer, eller kryptert med nøkler holdt eksklusivt av EU-kontrolleren.
Kilder: