Den østrigske privacy-aktivist Max Schrems har sendt en klage til databeskyttelsesmyndighederne i Irland, Tyskland og Belgien og bedt dem om at standse Facebooks udveksling af personoplysninger fra Irland til USA, skriver Ars Technica.
Safe Harbour-dommen I dommen, C-362/14, Maximiliam Schrems v. Data Protection Commissioner, fastslog EU-Domstolen, at Kommissionens beslutning om den såkaldte Safe Harbour-ordning for videregivelse af personoplysninger fra EU til USA er ugyldig. Konsekvensen af dommen er, at virksomheder i EU ikke længere frit kan overføre personoplysninger til amerikanske virksomheder, selvom de har tilsluttet sig Safe Harbour-ordningen. Virksomhederne og tilsynsmyndighederne i de enkelte lande skal individuelt vurdere, om betingelserne er opfyldt. Kilde: Kammeradvokaten
Schrems tiltag ligger i forlængelse af hans succes i EU-Domstolen, som i oktober dømte Safe Harbor-aftalen ugyldig, hvorfor f.eks. amerikanske it-selskaber ikke længere frit kunne overføre persondata til USA. Dommen kaldes også Facebook-dommen.
I brevet til myndighederne i Irland, hvor Facebook har sit europæiske hovedkvarter, opfordrer han den irske databeskyttelsesmyndighed til 'at suspendere alle datastrømme fra' Facebook Ireland Ltd til Facebook Inc.
Starter EU-jagten på Facebook-dataoverførsel nu?
Schrems gør det samme i sin anmodning til myndighederne i Tyskland og Belgien.
»Min personlige erfaring med den irske databeskyttelseskommissær (DPC, red.) er temmelig blandet, hvilket er årsagen til at jeg mener det er nødvendigt at involvere mere aktive databeskyttelsesmyndigheder i håb om at få et indgreb. Jeg håber, at databeskyttelsesmyndighederne vil samarbejde i denne sag.«
Det er alment kendt, at Tyskland er blandt de lande, der fortolker det europæiske databeskyttelsesdirektiv mest stramt i EU.
Dvs. der er størst sandsynlighed for, at EU-persondata netop i Tyskland ikke bliver udleveret til efterretningsmyndighederne.
Version2 har allerede omtalt, at tyske myndigheder er blandt de første til at reagere på Safe Harbor-dommen og gribe ind over for overførsel af tyske persondata til USA .
Omvendt er det også kendt, at MI6 og andre efterretningstjenester i Storbritannien er meget aktive i forhold til at undersøge persondata. Og netop på grund af Irlands geografiske placering, er der grund til at antage, at persondata der sendes til Irland fra det kontinentale EU bliver opsnappet af MI6 mfl. i England - en praksis der vil være i strid med databeskyttelsesdirektivet.
I erkendelse af de store konsekvenser et forbud mod datastrømme fra Facebookcentre i Europa til USA vil få, foreslår Schrems 'en rimelig frist for implementering, for at give de relevante virksomheder tid til at træffe alle nødvendige tekniske og organisatoriske foranstaltninger for at overholde EU-Domstolens dom.'
Han tilbyder endda et par gode råd om, hvordan Facebook kunne reagere på et forbud mod transatlantiske dataoverførsel:
»Man kan vælge imellem at flytte data til Europa, kryptere data, der er lagret i USA eller revidere selskabsstrukturen.«
Herhjemme har Datatilsynet dog fastslået, at man ikke vil anerkende kryptering som en sikring af persondata ved overførsel til USA.
Schrems bemærker, at hans seneste klage gælder Facebook, men at flertallet af cirka 4.000 amerikanske virksomheder, der mistede muligheden for at overføre data fra EU til USA efter Safe Harbor-dommen, endnu ikke direkte berøres af henvendelsen.
Men han advarer om, at andre, der deltager i NSAs spionage-program PRISM, såsom Apple, Google, Microsoft og Yahoo, kan stå over for lignende klager i fremtiden.
»Vi er ved at gennemgå situationen i forhold til alle PRISM virksomheder lige nu,« har Schrems udtalt.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
