奥地利数据保护机构发布2024年数据保护报告

2025年4月4日，奥地利数据保护机构（DSB）发布了2024 年的年度报告，全面展示了该机构在 2024 年的工作情况、面临的挑战、法律政策变动以及国际国内合作成果等内容。2024 年对奥地利数据保护机构而言意义重大，诸多事件深刻影响其工作走向，如欧盟法院（EuGH）的判决促使奥地利设立议会数据保护委员会，宪法法院（VfGH）的裁决推动了《数据保护法》（DSG）中 “媒体特权” 条款的修订 。根据DSB的新闻通稿，尽管案件数量不断增加，但DSB在 2024 年仍完成了绝大多数未结案件的处理工作。此外，该机构还对电信行业进行了重点审查，并加强了与周边直接邻国监管机构的国际合作。除了欧盟法院（EuGH）作出的众多重要判决之外，2024 年《数据保护法》（DSG）的两项修订也值得关注：其一，奥地利设立了第二个数据保护监管机构 —— 议会数据保护委员会（PDK）；其二，在宪法法院废止了所谓的 “媒体特权” 之后，对这一特权进行了重新设计。此外，为《信息自由法》（IFG）和《人工智能条例》（KI-VO）所做的准备工作也是重要的工作进展。

一、数据保护机构概况

1.1 组织与职责

DSB 采用单首长领导结构，依据欧盟法律和国际法规定保持独立，不受其他部门的监督。自 2024 年 1 月 1 日起，由 Dr. Matthias Schmidl 担任机构领导，MMag. Elisabeth Wagner 为副领导。机构下设 5 个部门，各部门分工明确，分别负责不同领域的数据保护工作，且工作人员具备多领域知识，以确保工作的灵活性和专业性。

DSB 的职责广泛，涵盖处理投诉、开展调查、审批数据处理活动、制定标准合同条款、与其他监管机构合作等多方面。在国际数据传输方面，负责审查相关机制，确保数据保护水平符合标准。同时，参与欧洲数据保护委员会（EDSA）的工作，积极推动数据保护政策的协调统一。

1.2 人员状况

截至 2024 年底，DSB 共有 72 名工作人员，相当于 50.00 个全职工作岗位（VBÄ），其中包括根据残疾人就业法聘用的 3 人以及 19 名行政实习生 。人员数量与日益增长的工作量不匹配，平均每位法务人员需处理超 100 个案件，工作负担沉重，人员扩充迫在眉睫。

二、DSB 在报告期内的总体经验

2.1 总体工作情况

案件数量与人员配备问题：近年来，尽管在司法部长的推动下，DSB 的人员数量有所增加，但与待处理案件数量相比仍显不足。以 2024 年 12 月的数据为例，法务人员人均处理案件超 100 件，导致工作难以高效、及时开展。自 2017 年起，仅个人投诉案件数量就增长了 769%，若按此比例计算，人员数量应达到 189 人才能满足工作需求 。

效率提升措施：为提高工作效率，DSB 引入 “初步审查系统”。该系统对外部输入进行筛选，判断是否构成有效投诉、是否存在违规行为以及是否需要展开调查。只有符合条件的案件才会被转至相关部门处理，否则将在初步审查阶段结束处理 。这一举措有效减少了无效案件的处理，提高了工作效率。

加强双边合作：DSB 积极与周边国家的数据保护监管机构开展双边合作。2024 年 6 月，访问瑞士联邦数据保护和信息专员（EDÖB），双方就跨境事务处理和信息自由相关工作进行交流，EDÖB 在信息自由领域的经验为 DSB 提供了借鉴 。9 月，在维也纳举办中欧数据保护监管机构会议，促进了信息和经验的共享，加强了区域合作。

议会问询：2024 年，议会针对 DSB 工作提出了相关问询，如 17662/J 和 17663/J 号问询。由于 DSB 的独立性，其领导仅在不影响机构独立性的前提下向司法部长提供业务信息，不会透露个别案件的详情 。

国内合作强化：DSB 注重与国内相关机构的合作。与行业利益代表组织（如经济商会、工人商会和工业协会）沟通交流，提高其对数据保护的理解和重视程度。同时，参与 “数字化网络” 倡议，与其他独立监管机构共享数字化相关信息，避免决策差异 。

向欧盟法院的预先裁决请求：2024 年，大量国家（最高）法院就《通用数据保护条例》（DSGVO）的解释向 EuGH 提出预先裁决请求，其中奥地利有 3 起案件与 DSB 相关。这反映出各国法院在 DSGVO 的理解和应用上存在困惑，也表明 DSGVO 在实际执行中的复杂性 。

向其他机构的投诉：2024 年，DSB 被民众投诉的次数较 2023 年有所下降，共 10 起，主要涉及处理程序耗时过长的问题。此外，在 1 起调解案件中，DSB 被指控存在歧视行为，但最终未引发诉讼 。

信息自由与人工智能：《信息自由法》（IFG）和《人工智能条例》（KI - VO）的颁布为 DSB 带来了新的任务。DSB 在 IFG 框架下负责为信息义务机构提供咨询和培训，在 KI - VO 方面需评估其对数据保护的影响，并参与相关国际工作 。

行政罚款的减少：在行政罚款案件中，联邦行政法院（BVwG）多次大幅降低 DSB 所判罚款金额，如将 400 万欧元的罚款降至 5 万欧元 。这引发了对罚款威慑作用的担忧，DSB 因此将部分案件提交至行政法院（VwGH），以确保法律的确定性。

2.2 2024 年 DSG 的修订

“媒体特权”：VfGH 判决原《数据保护法》第 9 条第 1 款违反宪法，该条款对媒体企业或服务在新闻活动中的数据处理完全排除 DSG 和 DSGVO 部分规定的适用，未合理平衡数据保护与媒体利益 。2024 年修订后，取消了对新闻活动数据保护规定的全面排除，设置了具体例外情况，并新增第 1a 款规范 “公民新闻” 相关数据处理，DSB 对相关投诉有管辖权。

议会数据保护委员会的设立：EuGH 判决 DSGVO 适用于立法机构的数据处理活动，基于此，奥地利通过修订 DSG 设立了议会数据保护委员会（PDK） 。自 2025 年 1 月 1 日起，PDK 负责监督立法机构及其相关机构的数据处理活动，DSB 将相关未结案件移交 PDK，并在特定法律程序中由 PDK 取代 DSB 作为被诉机构。

2.3 《信息自由法》——DSB 的角色和任务

IFG 于 2024 年公布，主要于 2025 年 9 月 1 日起生效。该法规定信息义务机构有主动公开信息和处理信息申请的义务 。DSB 在 IFG 框架下，负责为信息义务机构提供数据保护方面的咨询和培训，评估 IFG 的实施情况并向公众通报工作，但不负责调解信息纠纷。为履行这些职责，DSB 在 2024 年开展了一系列工作，如向相关机构发送调查问卷、举办信息活动、制定指南等 。

2.4 欧盟《人工智能条例》（KI - VO）—— 对 DSB 工作的初步影响

KI - VO 于 2024 年正式通过，逐步生效。该条例与 DSGVO 并行适用，当人工智能系统处理个人数据时，DSB 具有管辖权 。DSB 评估了 KI - VO 对数据保护的影响，发布相关信息并向相关方发送通知。此外，DSB 在国际层面参与相关工作，未来还将与其他机构深入交流，拓展信息服务。

2.5 其他对 DSB 工作有直接影响的欧盟法律文件

《关于政治广告透明度和定向的条例》（Targeting - VO）：该条例于 2025 年 10 月 10 日起全面生效，规定了政治广告相关数据处理的透明度要求，禁止基于个人资料进行定向广告 。DSB 负责监督该条例在其辖区内的实施，有权进行调查和处罚，违规罚款最高可达 2000 万欧元或前一财年全球总营业额的 4% 。同时，DSB 需与其他监管机构共同制定相关指南。

《网络和信息系统安全指令》（NIS - 2 - RL）：该指令旨在提高欧盟网络和信息系统的安全水平，取代旧指令 。目前奥地利在国家层面的实施工作仍在进行中，其草案涉及与 DSB 的合作规定，如在安全事件（“数据泄露”）中，DSB 需与相关机构密切合作，以避免重复处罚 。

《数字服务法》（DSA）：该法于 2024 年 2 月 17 日生效，规定了在线平台和数字服务的义务和责任 。在数据保护相关问题上，DSB 与奥地利通信管理局（KommAustria）密切合作。

《数字运营弹性法案》（DORA）：该法案自 2025 年 1 月 17 日起实施，对金融部门的风险管理、事件报告等提出要求 。当个人数据受到安全事件影响时，DSB 需与金融市场管理局（FMA）合作。

《数据法案》（Data Act）：该法案于 2025 年 9 月 12 日起全面生效，旨在促进数据的公平获取和使用 。在数据获取涉及个人数据时，DSB 根据该法案第 37 条第 3 款拥有相应管辖权。

《数据治理法案》（DGA）：该法案旨在促进公共部门数据的再利用，奥地利已出台相关国家配套法律草案 。

2.6 DSB 的新网站

2024 年，DSB 对官方网站进行了全面改版，新网站布局更具吸引力，内容分类更清晰，方便用户查找数据保护相关信息 。同时，新增了在线表格，如简化的个人数据保护违规报告表格，提高了用户提交信息的便捷性。

三、数据保护机构的工作

3.1 统计数据展示

报告详细列举了 2022 - 2024 年 DSB 各类工作的相关数据，包括投诉、调查程序、行政罚款程序、安全违规报告、法律询问回复等方面的案件数量及处理情况 。如个人投诉案件数量逐年上升，2024 年达到 3019 件；行政罚款程序案件数量也有所增加，2024 年为 211 件 。这些数据直观反映了 DSB 的工作负荷和趋势。

3.2 程序与回复

3.2.1 投诉处理

• 个人投诉：报告列举了多起具有代表性的个人投诉案件。如在某信用信息处理案件中，经济和信用信息机构对破产程序信息的处理超出了合理期限，违反了 DSGVO 规定，DSB 判定其违规 。在另一起地址信息处理案件中，企业无法证明对个人数据处理符合规定，DSB 认定其违反多项数据保护条款 。这些案例展示了 DSB 在处理个人投诉时的依据和判断标准。

• 跨境案件：DSB 处理跨境案件时，需依据不同情况确定处理程序。若投诉针对其他欧盟经济区（EWR）成员国的责任方，通常遵循 “一站式商店” 程序；若责任方位于第三国，则根据具体情况判断管辖权 。2024 年，DSB 共收到 600 起跨境投诉，其中 511 起涉及 EWR 成员国责任方，89 起涉及第三国责任方 。

3.2.2 法律回复

DSB 通过网站提供全面的数据保护法律信息，包括常见问题解答、DSGVO 指南等 。同时，通过书面和电话方式回复公众的法律询问，但不预先判断数据处理的合法性等问题，避免影响后续正式程序 。

3.2.3 国际数据传输批准

DSGVO 对国际数据传输有相关规定，在特定情况下，数据传输需获得 DSB 批准 。2024 年，DSB 未处理新的国际数据传输批准程序，但参与了一起其他监管机构提交的相关审查工作 。

3.2.4 特定条款下的批准

依据《数据保护法》第 7 条和第 8 条，DSB 负责审批特定目的的数据处理活动 。2024 年，共收到 13 起相关申请 。如对公共交通客流量视频记录用于研究的申请予以批准，对某城市向第三方提供学生数据的申请予以驳回 。

3.2.5 主动审查程序

2024 年，DSB 共收到 1066 起关于启动主动审查程序的通知和建议，处理了 796 起主动审查程序案件，其中部分案件通过发出警告等方式结案 。例如，对计划建立的 “堕胎登记册” 和某选民团体未经同意发送时事通讯的行为进行审查，并发出警告 。此外，DSB 在 2024 年对电信行业进行了重点审查，取得了积极成果。

3.2.6 联邦行政法院的投诉程序

报告详细记录了多起在 BVwG 进行的投诉案件及判决结果。如在两起客户绑定计划案件中，BVwG 确认 DSB 对企业数据处理违规的认定，但调整了罚款金额 。在 “GIS 数据泄露” 案件中，BVwG 在部分案件中确认了 DSB 的决定 。这些案例体现了不同机构在数据保护案件中的协作与制衡。

3.2.7 个人数据保护违规报告程序

2024 年，DSB 共收到 1216 起国内安全违规报告，以及 39 起跨境安全违规报告 。违规事件多与勒索软件攻击、恶意软件传播、未经授权访问数据库等有关 。DSB 要求责任方采取措施降低风险，必要时通知受影响人员，并提供了在线报告表格，方便相关方提交报告 。

3.2.8 咨询程序

当特定数据处理活动可能对个人权利和自由造成高风险时，责任方需进行数据保护影响评估并咨询 DSB 。2024 年，DSB 参与了一起咨询程序，因相关方未明确数据保护责任等问题，驳回了其咨询请求 。

3.2.9 行为准则和认证标准的申请

• 行为准则：行为准则是良好数据保护实践的指导方针，DSB 已批准多项行为准则，涉及互联网服务提供商、地址目录和直接营销企业等多个行业 。这些准则有助于规范不同行业的数据保护行为。

• 认证标准：DSB 负责认证数据保护相关的认证机构，2024 年首次批准了国家数据保护认证标准，为相关认证工作提供了依据 。

3.2.10 行政处罚程序

DSB 负责对违反数据保护规定的行为进行行政处罚，2024 年共发布 73 项决定，其中 62 项为罚款决定，总金额达 1,684,230 欧元 。同时，DSB 在一些重大案件中积极维护自身处罚决定，如在对奥地利邮政 AG 的处罚案件中，虽罚款金额有所调整，但主要违规认定得到确认 。

3.2.11 对法律法规草案的意见

2024 年，DSB 对众多法律法规草案发表了意见，涵盖领域广泛，包括透明度数据库查询条例、 Denkmalschutzgesetz 法律修改、职业法律修正案等 。这些意见有助于确保法律法规在数据保护方面的合理性和合规性。

四、重要的最高法院判决

4.1 宪法法院（VfGH）

VfGH 在 2024 年作出了多起与数据保护相关的重要判决。在 DNA 检测案件中，判定未经授权的 DNA 检测侵犯了公民的平等权和数据保护权 。在投资者警告案件中，明确此类案件的管辖权属于 FMA，而非 DSB 。在面部遮盖法案件中，认定该法律符合宪法，不构成对数据保护权的侵犯 。

4.2 最高法院（OGH）

OGH 的判决涉及数据保护相关案件的多个方面。在媒体公司诉讼案件中，对媒体特权和管辖权问题作出判定 。在视频监控数据使用案件中，确认了数据处理与损害赔偿之间的关系 。在社会保险数据案件中，对出生日期数据处理的相关争议进行了裁决 。

4.3 行政法院（VwGH）

VwGH 的一系列判决对 DSB 的工作产生重要影响。在法院执行人员行为案件中，明确了法院执行人员工作的性质及 DSB 的管辖权 。在信息提供不完整案件中，确定了责任方补齐信息后对投诉处理的影响 。这些判决为 DSB 在类似案件中的处理提供了参考。

4.4 欧洲人权法院（EGMR）

EGMR 在相关案件中对数据保护与基本人权的关系进行了判定。在西班牙政党内部邮件泄露案件中，驳回了原告关于数据泄露侵犯基本权利的诉求 。在北马其顿收养人信息查询案件中，认定北马其顿相关机构拒绝提供信息的行为侵犯了原告的基本权利 。

4.5 欧盟法院（EuGH）

EuGH 在 2024 年作出了多起对数据保护有重要意义的判决。在议会调查委员会案件中，判定其活动受 DSGVO 约束，促使奥地利设立 PDK 。在数据处理损害赔偿案件中，对数据处理违规与损害赔偿的关系等问题进行了明确 。这些判决对欧盟范围内的数据保护规则的统一和实施起到了推动作用。

五、欧洲合作

5.1 欧盟

5.1.1 欧洲数据保护委员会（EDSA）

2024 年，EDSA 进行了部分人事调整，克罗地亚数据保护机构负责人当选为副主席 。EDSA 全年共召开 12 次全体会议，讨论并通过了多项文件，包括对约束性公司规则、主要营业地点概念、在线平台同意模式等主题的意见和指南 。DSB 积极参与 EDSA 的工作，派遣人员参加各专家小组会议，为相关政策的制定和协调贡献力量。

5.1.2 欧洲刑警组织（Europol）

欧洲刑警组织负责处理大量与刑事犯罪相关的数据，旨在提升成员国相关部门在预防和打击恐怖主义、非法毒品交易及其他严重国际犯罪方面的能力与合作。其数据处理活动受相关法规监管，奥地利数据保护机构（DSB）作为国家监管机构，与欧洲数据保护监督员（EDSB）共同承担监督职责。DSB 负责监督奥地利安全部门向欧洲刑警组织输入、提取和传输个人数据的合法性，而 EDSB 则监督欧洲刑警组织自身的数据处理行为。2024 年，DSB 参与了一起由 EDSB 发起的针对欧洲刑警组织投诉的咨询程序，对奥地利安全部门的数据处理和传输活动进行审查。

5.1.3 申根（包括参与申根评估）及签证相关事务

申根信息系统（SIS）和签证信息系统（VIS）在欧盟范围内发挥着关键作用。SIS 用于发布人员和物品信息，VIS 则支持欧盟共同签证政策，实现签证数据在成员国间的交换，便于各国审查签证真实性和人员入境资格。这两个系统的数据处理活动受欧盟法规严格约束，各成员国数据保护机构负责监督本国层面的数据处理合规性，并定期依据国际标准进行审查。2024 年，DSB 参与了对 VIS 在奥地利驻外使领馆应用情况的审计，还参与了克罗地亚和捷克的申根评估工作，并计划在 2025 年继续参与相关活动。

5.1.4 海关

共同海关信息系统（ZIS）用于记录与违反海关和农业法规相关的数据，以协助成员国开展针对性检查。为保障数据保护，设立了联合监督机构（“Joint Supervisory Authority of Customs”，JSA）和协调监督机构（CIS Supervision Coordination Group，CIS-SCG），后者由各成员国数据保护监管机构代表和 EDSB 组成。未来，CIS-SCG 的职责将由 EDSA 设立的协调监督委员会（Coordinated Supervision Committee，CSC）接管，以实现欧盟数据保护领域监督工作的统一协调。

5.1.5 Eurodac 系统

Eurodac 系统通过采集指纹数据，帮助成员国识别庇护申请者和非法越境人员。该系统由欧盟委员会管理的中央单位和各成员国的国家系统组成，其数据处理活动接受成员国数据保护机构和 EDSB 的协调监督，各成员国每年需对数据处理情况进行审查。2023 年，DSB 针对国家部门对 Eurodac 系统的使用发起了一项审查程序，截至报告期仍在进行中，预计不久后将完成。

5.2 欧洲委员会

DSB 代表奥地利参与欧洲委员会数据保护公约（EVS Nr. 108）第 18 条（T-PD）规定的委员会相关工作。2024 年，T-PD 委员会举行了第 46 次和第 47 次全体会议，会议议程和总结报告可在相关网站查阅。自第 47 次全体会议起，由奥地利联邦司法部数据保护办公室接替 DSB 担任代表。

6.国际关系

6.1 与数据保护监管机构的双边合作

DSB 新领导团队将加强跨境合作作为工作重点之一，积极与周边国家的数据保护监管机构开展交流。2024 年初，与德国联邦数据保护和信息自由专员以及巴伐利亚州数据保护专员在维也纳会面，讨论了当前 EDSA 关注的议题，促进了双边和多边合作，并就跨境程序处理和合作的组织方面进行了交流。2024 年 6 月，DSB 领导访问瑞士联邦数据保护和信息专员（EDÖB），双方就信息自由方面的工作交换经验。同年 9 月，DSB 在维也纳主办了与捷克、匈牙利、斯洛文尼亚和斯洛伐克数据保护监管机构的会议，会议主题广泛，涉及信息自由和欧盟新数字法规等问题。各方决定定期举行高层会议，加强合作，下一次会议将于 2025 年在布达佩斯由匈牙利监管机构主办。

6.2 参与 TAIEX 项目

TAIEX 是欧盟委员会的技术援助和信息交流工具，旨在支持公共行政部门理解、应用和实施欧盟法律文件。2024 年，DSB 参与 TAIEX 项目，重点支持科索沃数据保护监管机构。DSB 人员为科索沃数据保护机构提供了有关警察和安全部门数据处理的数据保护培训和咨询，并在维也纳接待了科索沃数据保护机构的考察访问，向其介绍了 DSB 的结构、工作流程以及具体案例，促进了双方的交流与合作

七、结论

2024 年，奥地利数据保护机构（DSB）在复杂多变的环境中积极履行职责，在数据保护领域取得了诸多成果，同时也面临着一系列挑战。

从工作成果来看，DSB 在案件处理方面，无论是个人投诉、跨境案件还是各类审查程序，都投入了大量精力，通过具体案例的裁决，维护了数据保护法律的权威，保障了公民的合法权益。在法律适应与推动方面，面对 DSG 的修订、IFG 和 KI-VO 等新法规的出台，DSB 迅速调整工作方向，积极参与法规的实施和完善工作，为法律在实际中的有效执行提供了支持。在合作交流上，DSB 与国内外机构广泛合作，不仅加强了与周边国家数据保护监管机构的双边合作，还积极参与欧洲层面的合作项目以及国际会议，提升了自身影响力，也为数据保护的国际协作贡献了力量。

然而，DSB 也面临着显著的挑战。人员短缺问题严重制约了工作效率和质量，随着案件数量的持续增加，现有人员配置难以满足实际需求，导致部分工作无法及时、有效地开展。在法律执行过程中，如行政罚款的减少等情况，显示出不同机构在法律理解和执行尺度上存在差异，这对数据保护法律的有效实施和威慑力产生了一定影响。

展望未来，DSB 需着重解决人员短缺问题，通过合理扩充人员编制、优化人员结构，提升整体工作效能。同时，应加强与其他机构在法律解释和执行方面的沟通协调，统一执法标准，增强数据保护法律的权威性和一致性。随着技术的不断发展和法规的持续更新，DSB 还需不断提升专业能力，密切关注新技术带来的数据保护问题，确保在数据保护领域始终发挥有效的监管作用，为奥地利的数据保护事业筑牢坚实基础。

注：本报告由THUIAIL工作人员借助人工智能大模型辅助完成。

https://dsb.gv.at/aktuelles/datenschutzbericht-2024

声明：本文来自清华大学智能法治研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。