anonym.legal

By · Last updated 2026-06-05

Bumalik sa BlogGDPR & Pagsunod

DSB Austria: Schrems at Paglilipat ng Datos

Ang DSB ng Austria ay ang tahanan ng DPA ng NOYB (422 reklamo ang hinawakan 2022-2024). Ang desisyon sa Google Analytics, panganib ng Schrems III, at 78% ng mga kaso ng DSB na nagta-target.

June 5, 20268 min basahin
Austria DSBNOYBSchremsGDPR data transfersEU-US privacy

DSB Austria: Schrems at Paglilipat ng Datos

Ang Datenschutzbehörde (DSB) ng Austria ay ang regulador na tahanan ng NOYB. Ang NOYB ay nangangahulugang None of Your Business. Itinatag ng Max Schrems ang grupong ito. Naghain ito ng mahigit 1,000 reklamo sa GDPR mula noong 2018. Hinarap ng DSB ang 422 sa mga kasong iyon sa pagitan ng 2022 at 2024.

Mahalaga ang talaan na iyon. Ang DSB ay nasa gitna ng dalawang legal na labanan na nagbago na sa batas ng paglilipat ng EU.

NOYB at ang DSB: Isang Pattern

Schrems I (2015): Naghain si Schrems ng reklamo tungkol sa mga daloy ng Facebook sa pagitan ng EU at US. Pinaulanan ng CJEU ang Safe Harbor. Mahigit 4,000 kumpanya ang gumamit ng framework na iyon noong panahong iyon.

Schrems II (2020): Ang ikalawang hamon ay tumama sa Privacy Shield. Mahigit 5,000 kumpanya ang umasa dito. Ang pagbagsak nito ay nag-utos ng bagong pakikipag-usap. Ang resulta ay ang EU-US Data Privacy Framework (DPF). Nagkabisa ang DPF noong 2023.

Inaasahang Schrems III (2025-2026): Hinimon ng NOYB ang desisyon ng DPF na sapat. Ang argumento nito: Ang FISA Section 702 ay nagkasalungatan pa rin sa GDPR. Inaasahan ang isang referral sa CJEU.

78% ng mga kaso ng DSB ay kinabibilangan ng mga paglilipat sa pagitan ng mga bansa o mga tool ng third-party. Ang pokus na iyon ay nagtatangi sa mga regulator ng Austria mula sa ibang mga katawan ng EU.

Desisyon ng DSB sa Google Analytics

Ang desisyon ng DSB noong Enero 2022 sa Google Analytics ay nagtatag ng template para sa mga kaso ng paglilipat.

Tatlong pangunahing natuklasan ang lumabas mula rito:

  1. Ang mga IP address ay personal na datos. Kahit ang mga truncated na IP ay maaaring magpahintulot ng re-ID sa loob ng mga sistema ng Google. Pinapalala ito ng mga rekord ng session.
  2. Ang pag-access ng vendor ng US ay binibilang bilang paglilipat. Kapag ang mga inhinyero ng US ay maaaring maabot ang mga rekord ng gumagamit ng EU, ang pag-access na iyon ay isang paglilipat sa ilalim ng GDPR. Sumasaklaw ito sa suporta, pagpapanatili, at mga legal na utos.
  3. Ang mga SCC nang walang TIA ay hindi sapat. Ang mga Standard Contractual Clause ay nangangailangan ng Transfer Impact Assessment. Ang TIA ay dapat magpakita na ang mga batas ng espiya ng US ay hindi nagkakansela ng mga proteksyon ng SCC.

Natuklasan ng DSB na ang operator ng Austrian na site ay may pananagutan — hindi ang Google. Ang operator ay ang controller. Nalalapat ito sa bawat negosyo ng EU na nag-e-embed ng mga script ng third-party. Tingnan ang aming gabay sa pagsunod sa GDPR para sa mga tungkulin ng controller.

Karagdagang Teknikal na Hakbang

Pagkatapos ng Schrems II, nag-publish ang EDPB ng gabay sa mga karagdagang teknikal na hakbang. Nalalapat ang mga ito kapag ang mga SCC ay kulang sa kanilang sarili. Ipinapatupad ng DSB ang gabay na ito.

Tatlong paraan ang pumapasa sa pag-iingat ng DSB:

Encryption na may mga key na hawak ng EU. I-encrypt ang mga rekord bago umalis sa EU. Panatilihing nasa kamay ng EU ang mga decryption key. Kung pilitin ng mga awtoridad ng US ang vendor na magsuko ng mga file, makukuha nila ang ciphertext na hindi nila mababasa.

Pseudonymization bago ang paglilipat. Magpadala lamang ng mga pseudonymous na token sa pagitan ng mga hangganan. Itago ang re-ID key sa loob ng EU. Ang mga inilipat na file ay walang direktang personal na datos.

Lokal na pagpoproseso. Patakbuhin ang lahat ng pagpoproseso sa mga server na naka-host sa EU. Ilipat lamang ang aggregate, tunay na anonymous na istatistika. Walang mga personal na rekord na tumatawid sa mga hangganan.

Kinumpirma ng DSB ang posisyong ito. Ang mga grupo na gumagamit ng mga vendor ng US SaaS para sa personal na datos ng EU ay dapat maglapat ng kahit isa sa mga pamamaraang ito. O kailangan nilang patunayan na ang inilipat na nilalaman ay tunay na anonymous.

Ang Panganib ng Schrems III

Ang mga kumpanyang umaasa lamang sa DPF ay nahaharap sa malinaw na panganib. Kung ang hamon ng NOYB sa CJEU ay nagtagumpay, ang mga kumpanyang iyon ay kailangang hanapin agad ang mga bagong tool sa paglilipat. Iyon mismo ang nangyari noong 2015 at 2020.

Ang mga grupo na gumagamit ng mga karagdagang teknikal na hakbang ay protektado. Kung ang nilalaman ay tunay na anonymous, walang paglilipat sa GDPR ang nagaganap. Ang pagbagsak ng DPF ay walang pagbabago para sa kanila.

Para sa mga operasyon sa Austria: ang mga tool ng analytics (Google Analytics, Mixpanel, Amplitude) ay lahat ay lumilikha ng exposure sa DSB. Ganoon din ang mga sistema ng CRM na may mga parent na kumpanya sa US (Salesforce, HubSpot). Ang mga platform ng cloud kung saan ang mga kawani ng US ay may admin access ay may parehong panganib.

Ang solusyon ay pareho sa bawat kaso. Tiyaking ang mga personal na rekord ay tunay na anonymous bago maabot ang vendor. O i-encrypt ang mga ito gamit ang mga key na hawak lamang ng controller ng EU. Ang aming pangkalahatang-ideya ng seguridad at pagsunod ay nagpapaliwanag kung paano inaalis ng zero-knowledge na disenyo ang problema ng paglilipat sa pinagmulan nito.

Mga Pinagkukunan

Mga Kaugnay na Artikulo

GDPR & Pagsunod

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Pagsunod

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Pagsunod

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Handa nang protektahan ang iyong data?

Simulan ang anonymization ng PII gamit ang 285+ uri ng entidad sa 48 wika.

Simulan ang Libreng PagsubokTingnan ang Mga Tampok

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.