Schrems II-afgørelsen fra juli 2020 har sprængt en stor usikkerhedskløft mellem europæiske beslutningstagere og virksomheder på den ene side og amerikanske cloud-services på den anden. Og det kan blive rigtig dyrt.
Sådan lyder det fra flere eksperter, der efterlyser klarere regulativer i forhold til at definere de retlige rammer for, hvordan virksomheder og myndigheder lovligt kan dele data med tredjeverdenslande.
En af dem er Martin Folke Vasehus, der er advokat og stifter af legaltech-firmaet ComplyCloud. Han refererer til en rapport fra organisationen Digital Europe, der tidligere i år anslog, at europæiske virksomheder går glip af omsætning på helt op til 2 billioner EURO, svarende til størrelsen på hele den italienske økonomi på et år.
”Jeg tror, at frygten handler om, hvorvidt loven bliver brudt. Jeg tror ikke, at virksomhederne er bange for at bruge amerikanske services, fordi de frygter en lavere databeskyttelse og sikkerhed, tværtimod. Det handler mere om frygten for at bryde loven – og det synes jeg er synd, for Schrems II er på en måde en ufærdig regulering af et i forvejen komplekst område. GDPR regulerer jo en masse ting, men efter Schrems II og EDPB’s anbefalinger er der en masse både afgørende og komplekse gråzoner", siger han til K-NEWS.dk.
Schrems II og det ikke så private skjold
Det var den østrigske aktivist og jurist Maximillian Schrems, der i juli sidste år fik medhold ved et forelagt præjudicielt spørgsmål hos EU-domstolen, der handlede om datadeling mellem Facebooks irske afdeling og moderselskabet i USA.
Schrems II er på en måde en ufærdig regulering af et i forvejen komplekst område
EU-Domstolen afsagde dom, der meget tydeligt slog fast, at den aftale USA og EU havde haft indtil da, kaldet ”Privacy Shield”, der havde til formål at sikre borgernes data, når de blev overført på tværs af landene, var ugyldig. Med afgørelsen understregede EU-Domstolen altså, at de europæiske borgeres data ikke var beskyttet godt nok, når de blev flyttet til den anden side af Atlanten.
Afgørelsen foldede vi ud i K-NEWS' podcasten 'Magtens Tredeling', hvor advokat Tim Krarup fra DAHL og Søren Sandfeld Jacobsen fra Gorrissen Federspiel debatterede afgørelsen.
Og med afgørelsen har der siden eksisteret et juridisk vakuum, der indtil nu blot har været fyldt ud med EU-domstolens beslutning om, at de nuværende SCC's (standard contractual clauses) er dem, der skal sikre at databeskyttelsen, når der finder datadeling sted mellem EU og USA, er 'essentially equivalent' med de retningslinjer, der er fastlagt i GDPR. Forudsat at der ved hver overførsel laves en konkret samlet vurdering af alle omstændighederne omkring overførslen.
Eller som advokathuset Plesner skriver i en artikel på deres hjemmeside:
"Dette kræver imidlertid en konkret, samlet vurdering af alle omstændighederne ved overførslen, ikke mindst - men ikke begrænset til - hvorvidt myndighederne i importlandet har mulighed for at tilgå de overførte persondata eller kræve disse persondata udleveret. Denne fokus på myndighederne i importlandet skyldes, at SCCs ikke binder myndighederne i importlandet."
Case by case
Sagens kerne handler om usikkerheden ved det limbo, der efter Schrems-afgørelsen lige nu eksisterer, inden EU og USA finder en ny pendant til Privacy Shield-aftalen, som altså med Schrems II-sagen blev kendt ugyldig.
"Nogle EU-beslutningstagere har optaget en radikal og urimelig fortolkning af EU's databeskyttelseslovgivning, der mangler et begrænsende princip. Det ultimative resultat kan være, at EU-kunder mister adgangen ikke kun til cloud-tjenester, der tilbydes af amerikanske udbydere, men også til næsten enhver software fra USA. Man kan kun håbe, at EU-Domstolen afviser denne fortolkning og anlægger den mere pragmatiske opfattelse, som Europa-Kommissionen og mange EU-regeringer deler", skriver Mikołaj Barczentewicz, forfatter og lektor i jura ved University of Surrey, til den amerikanske blog lawfare.com.
En af de store udfordringer er de enkelte virksomheders føromtalte vurderinger af omstændigheder ved en datadeling, de såkaldte TIA (transfer impact assesments). For det er dem, der ligger til grund for, at virksomhederne med ro i sindet kan overføre data til USA via SCC'erne. Men der eksisterer lige nu ikke en fælles governance for, hvordan disse skal udfærdiges.
Spørgsmålet blev bl.a. bragt op på dette års Legal Games konference d. 29. oktober på Hotel Villa i København, hvor Martin Folke Vasehus i en paneldebat opfordrede Microsoft til at tage taktstokken i forhold til at skabe fælles retningslinjer for, hvad der skal til for lave fyldestgørende TIAs. Her lød svaret fra Ole Kjeldsen, der er teknologi - og sikkerhedsdirektør hos Microsoft Danmark, at det ikke lå inden for deres mandat at lave TIAs for alle virksomheder.
For Schrems II-sagen illustrerer, at det er en regulering, der endnu ikke færdig. Og der mangler retningslinjer mener Martin Folke Vasehus.
”Schrems II har skabt en problemstilling, som ikke er reguleret færdigt endnu, i hvert fald ikke i den praktiske verden. Derfor er nogle virksomheder og organisationer nervøse for det tomrum, hvor vi nu mangler praktiske løsninger. Og det handler primært om datadeling mellem EU og USA. Jeg mener, at vi mangler viden om, hvem der egentlig er ansvarlig for at drive rigtige praktiske løsninger og svar frem. Er det Datatilsynet, er det de store cloududbydere, eller er det menig virksomhed? Lige nu er det i mine øjne overladt til menig virksomhed, og det er godt for advokaterne men ikke en farbar løsning på længere sigt. Hvis vi lader problemstillingen blive hos menig virksomhed, vil det i sidste ende føre til tab i dansk og europæisk BNP og konkurrencedygtighed, og det er ingen tjent med", siger han til K-NEWS.dk.
Vi mangler viden om, hvem der egentlig er ansvarlig for at drive rigtige praktiske løsninger og svar frem