anonym.legal
Tillbaka till BloggenGDPR & Efterlevnad

DSB Österrike: Dataskyddsmyndigheten bakom Schrems I & II — Vad NOYB-fall betyder för dina datatransfereringar

Österrikes DSB är den ansvariga dataskyddsmyndigheten för NOYB (422 klagomål hanterade 2022-2024). Google Analytics-beslutet, Schrems III-risk och 78% av DSB-fallen som riktar sig mot datatransfereringar. Tekniska efterlevnadskrav.

March 7, 20268 min läsning
Austria DSBNOYBSchremsGDPR data transfersEU-US privacy

Österrikes Datenschutzbehörde (DSB) är den ledande tillsynsmyndigheten för fall som lämnats in av NOYB — None of Your Business — den integritetsfrämjande organisationen grundad av Max Schrems. NOYB har lämnat in över 1 000 strategiska GDPR-klagomål sedan 2018, och DSB har hanterat 422 av dem under 2022-2024. Att förstå DSB:s verkställighet innebär att förstå den strategiska rättsliga process som har omformat EU:s datatransferlag två gånger.

NOYB och DSB: Ett strategiskt verkställighetsmönster

Schrems I (2015): Max Schrems klagomål om Facebooks datatransfereringar mellan EU och USA ogiltigförklarade slutligen Safe Harbor-ramverket som användes av över 4 000 företag.

Schrems II (2020): Schrems efterföljande utmaning ogiltigförklarade EU-US Privacy Shield, vilket påverkade över 5 000 företag och utlöste en nödupphandling som resulterade i den nuvarande EU-US Data Privacy Framework (2023).

Förväntad Schrems III (2025-2026): NOYB har lämnat in utmaningar mot DPF:s tillräcklighetsbeslut och hävdar att FISA avsnitt 702 förblir oförenlig med GDPR. En CJEU-referens förväntas.

78% av DSB:s verkställighetsfall involverar datatransfereringar eller tredjepartsintegrationer — detta transfereringscentrerade fokus är den definierande egenskapen för österrikisk verkställighet.

DSB:s Google Analytics-beslut

DSB:s beslut om Google Analytics i januari 2022 etablerade mönstret för all efterföljande verkställighet av transfereringar:

  1. IP-adresser är personuppgifter. Även avkortade IP-adresser kombinerat med sessionsdata möjliggör återidentifiering i Googles databas.
  2. Tillgång för amerikanska leverantörer = transferering. När amerikanska ingenjörer kan få tillgång till EU-användardata (för support, underhåll eller rättslig tvång), utgör den tillgången en datatransferering enligt GDPR.
  3. SCC utan adekvat TIA = överträdelse. Standardavtalsklausuler utan en Transfer Impact Assessment som visar att amerikansk övervakningslag inte ogiltigförklarar dem är otillräckliga.

DSB fann att den österrikiska webbplatsoperatören — inte Google — var den personuppgiftsansvarige som var ansvarig för den olagliga transfereringen. Denna princip påverkar varje EU-företag som integrerar tredjepartsprogram.

Kompletterande tekniska åtgärder: Vad fungerar faktiskt

Efter Schrems II utfärdade EDPB vägledning om kompletterande tekniska åtgärder som krävs när SCC ensamma är otillräckliga. DSB verkställer denna vägledning:

Kryptering med EU-hållna nycklar: Om EU-personuppgifter krypteras innan de överförs till USA, och dekrypteringsnycklar hålls exklusivt av EU-baserade nyckelinnehavare, är uppgifterna effektivt anonyma för GDPR-överföringsändamål — amerikanska myndigheter kan inte tvinga fram tillgång till data de inte kan läsa.

Pseudonymisering före överföring: Om överförda data endast innehåller pseudonyma identifierare (återidentifieringsnyckel hålls i EU), är de överförda uppgifterna inte "personuppgifter" för överföringen.

Lokal bearbetning: Data som aldrig lämnar EU-värd infrastruktur undviker helt transfereringskrav. Endast aggregerad, verkligt anonymiserad statistik överförs.

DSB har funnit att organisationer som använder amerikanska SaaS-leverantörer för bearbetning av EU-personuppgifter antingen måste implementera dessa åtgärder eller visa att uppgifterna är verkligt anonymiserade.

Schrems III-risk för organisationer som använder amerikanska leverantörer

Organisationer som enbart förlitar sig på EU-US Data Privacy Framework (DPF) för datatransfereringar till USA står inför en specifik risk: om NOYB:s CJEU-utmaning lyckas — som hände med Safe Harbor (2015) och Privacy Shield (2020) — måste organisationer omedelbart leta efter alternativa överföringsmekanismer.

Organisationer som använder kompletterande tekniska åtgärder (kryptering med EU-hållna nycklar, verklig anonymisering före överföring) är skyddade från risken för DPF- ogiltigförklaring. Överföringen sker tekniskt inte om uppgifterna är verkligt anonymiserade eller krypterade med nycklar som den amerikanska leverantören inte kan få tillgång till.

För österrikiska verksamheter specifikt: webbplatsanalys som använder amerikanska verktyg (Google Analytics, Mixpanel, Amplitude), CRM-system med amerikanska moderbolag (Salesforce, HubSpot), och molninfrastruktur med amerikanskt tillgänglig administrativ åtkomst skapar alla DSB-verkställighetsrisk. Åtgärden är att säkerställa att personuppgifter i dessa system antingen är verkligt anonymiserade innan de når leverantörens system, eller krypterade med nycklar som hålls exklusivt av den EU-baserade ansvariga.

Källor:

Relaterade Artiklar

GDPR & Efterlevnad

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Efterlevnad

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Efterlevnad

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner