Hele grund præmissen for Schrems 2 og hvorfor dette spørgsmål overhovedet blev bragt op i EU, er reelt ikke om usikre tredjelande myndigheder kan få adgang til data opbevaret i, eller overført til, det pågældende tredjeland. Dette vil altid være et relistisk scenarie, uanset hvilket land data er opbevaret i. Præmissen var det langt mere problematiske i dette scenarie, som vi via rettsager i blandt andet byretten i New York, allerede ved er virkligheden:

Amerikansk myndighed beder Amerikansk virksomhed om adgang til data med en hemmelig dommerkendelse i hånden, uanset hvorhenne denne data befinder sig og om virksomheden der opbevarer den juridisk set er en selvstændig enhed. Det gør de kva ledelsen i den adspurgte virksomhed her ejerskabskontrol med den juridiske enhed, og derved er den Amerikanske virksomhed juridisk i stand til at efterkomme myndgihedernes krav, da man må formode det i yderste instans er et spørgsmål om at indsætte den ledelse i den oversøiske instans, som vil være villig til at afterkomme moder selskabets befalinger. Efterkommer ledelsen i den Amerikanske afdeling ikke dette, er det ledelsen som personligt straffes for ikke at efterkomme dette. Hvad vælger den Amerikanske statsborger derfor at gøre i dette scenarie?

Når nu MS indfører for eksempelvis end-to-end kryptering, så er det jo ikke særlig svært at forestille sig selv samme fremgangsmåde for at gennemtvinge bagdøre eller bevidst svækkelse af løsningerne. Det er netop her at EDPB sætter ind når de vurderer de ikke kan forestille sig nogen teknisk foranstaltning som skulle kunne sandsynliggøre at usikre tredjdelands ejede cloud services kunne anvendes i harmoni med GDPR. Og netop defor bliver jeg træt af at læse om jurister som vurderer ud fra et Europæisk juridisk scenarie der forudsætter kontrakter der binder leverandøreren til at sikre ovenstående ikke kan finde sted. INGEN kontrakt kan nogensinde overrule lovgivning.

Brugen af usikre tredjelands ejede cloud services, er hermed en totalt lukket bog.