Eksperter dumper Schrems II-garanti fra AWS: »Juridisk set ubrugelig«

EU-cloud-bom illustration
Illustration: Iskra Denkova.
Schrems II-dommen har gjort det svært at overføre persondata fra EU til USA på lovlig vis, og det giver grå hår i hovederne på både cloud-kunder og ditto leverandører. AWS har udsendt en garanti om, at man kan bruge gigantens tjenester og stadig være compliant - men den garanti er ikke nok for danske kunder, mener juridiske eksperter.
11. marts 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Cloud-verdenen har været på den anden ende i de sidste otte måneder, og både det offentlige og den private sektor river sig i håret over, hvad Schrems II-dommen kommer til at betyde for dem.

På den anden side af bordet har de amerikanske leverandører haft travlt med at kommunikere, at kunderne ikke har noget at frygte. Blandt andet har Amazon Web Services (AWS) for nylig udsendt en sidelang meddelelse, der forsikrer kunderne om, at man sagtens kan bruge gigantens tjenester og stadig være “compliant” med både GDPR og Schrems II.

Konkret lover AWS to ting. Man vil udfordre det, når myndigheder kræver kundedata udleveret - og skal man udlevere, vil man udlevere så lidt som muligt.

Men som dansk AWS-kunde kan man ikke bruge den udmelding til noget, lyder det fra flere eksperter, Version2 har talt med.

Henrik Udsen professor i it-ret på Københavns Universitet og medlem af Datarådet.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
9
14. marts 2021 kl. 20:02

Det virker på mig som om Amazon giver vejledning de godt selv burde vide ikke holder i retten.

Hvis nogen så tager vejledningen til sig og det viser sig at den er værdiløs, er det så helt uden risiko for AWS?

Jeg er lidt rystet over at AWS mener de kan vildlede deres kunder så groft.

Hvad har jeg overset?

8
12. marts 2021 kl. 10:12

De tager fejl i 8 ud af 10 sager <em>blandt dem som tages videre til EU-domstolen.</em> Hvor stor en del af de faktiske sager det så er kræver nogle flere tal.

Der skal faktisk bruges rigtig mange tal. Også hypotetiske som vi i sagens natur ikke kan få. Jeg ville for eksempel gerne vide, hvor mange kendelser der ville blive omstødt hvis alle sager kom videre til EU-domstolen.

Vi ved jo ikke hvorfor de 'fraværende' sager ikke blev bragt for EU-domstolen. Økonomi? Indiskutabel klarhed? Anklagede er bare kørt træt? Der kan være mange grunde, og egentlig er det faktisk for galt at man ikke kan få retfærdighed, fordi man ikke kan klare det fortsatte pres fra en lang retssag, eller om man simpelthen ikke kan overskue at tage den i retten overhovedet.

7
11. marts 2021 kl. 16:51

Hvis ikke dommerne i lands- og højesteret i de sager har taget fejl når deres juridiske vurdering ”fejes af bordet”

Hvis du ikke engang gider at læse hvad jeg skriver, så ser jeg ikke meget ide i at fortsætte dette. Jeg anfægter ikke at de har taget fejl, jeg anfægter din konklusion om at de gør det i 80% af alle sager, hvilket var din påstand ("Kan det virkeligt passe at dommerne i landsretten og højesteret er så uvidende at de tager fejl i 8 ud af 10 sager?"). De tager fejl i 8 ud af 10 sager blandt dem som tages videre til EU-domstolen. Hvor stor en del af de faktiske sager det så er kræver nogle flere tal.

6
11. marts 2021 kl. 16:12

Er vel at det er teknisk og økonomisk fristende at benytte de US baserede cloudtjenester. Vi er gået lidt i gang (for at høste gevinsten :-)) - og så opdager vi så at det faktisk ikke er i orden, ifølge vores egne regler og principper. Nu går vi så og venter på hvem der skal bøje sig. Garantier fra Amazon m.fl. er i sagens natur ubrugelige. Intet firma kan med troværdigheden i behold, garantere at vinde retssager mod justitsministerier (og lovgivere) i det land hvor hovedkontor og væsentlige dele af forretningen befinder sig i. Længere er den vel ikke....

5
11. marts 2021 kl. 12:31

De danske dommere tager altså ikke fejl i 80% af alle sager, men i 80% af de sager som bliver sendt videre til EU-domstolen.

Det er fint med lidt lægmandsbetragtninger, men jeg taler kun om de sager ender i EU-domstolen. Hvis ikke dommerne i lands- og højesteret i de sager har taget fejl når deres juridiske vurdering ”fejes af bordet”, hvad vil du så kalde det?

Skatte- og afgiftsager er betændte idet der i realiteten altid er afvejning af ”om det kan betale sig”. En simpel sag om f.eks. kørselsfradrag som ender i skatteankenævnet, kan let koste DKK 150.000 (plus moms) og så er Skat ikke en gang forpligtet til at følge afgørelsen.

Normalt er det jo ”taberen som betaler” bare ikke i skattesager hvor det er staten som taber. Læs selv de omkostninger som ikke dækkes, især er afsnittet ”om Udgifter i forbindelse med hjemvisning” rystende læsning.

Konsekvenserne af dette er jo at myndighedernes forvaltning ikke er retsmedholdig fordi forvaltningens afgørelser risiker ikke at blive påklaget til domstolene (af omkostningshensyn). Det er simpelthen fordi at få ret.

Man skal køre mange km for at kunne betale en sagfører for at føre en sag om kørselsfradrag.

4
11. marts 2021 kl. 11:31

@datatilsynet - den her må i da lige tage fat i ASAP.. Ellers kan alle os med skolebørn vel anmelde dem. HVIS Aula ville - kunne de jo snildt rulle deres service op i en Kubernetes sky hos f.ex. Hetzner eller anden provider i Europa.

rant

Ja så skal de selv have styr på en smule mere - men ærlig talt er AWS's EKS ikke særlig brugervenlig og det burde ikke være det store problem at rulle et Kubernetes setup op på enten hetzner cloud instanser eller hetzner bare-metal, eller OVH osv. - der er masser af vejledninger :) Og hvis de så satte deres ting op fornuftigt, kunne de jo benytte lejligheden til at få opsat multi-location/multi-cloud support - så de kan migrere deres services imellem forskellige kubernetes clustre (typisk bundet sammen med wireguard) og dermed have styr på recovery/failover planer og kunne spare penge, ved at placere services der hvor de er billigst (og lever op til relevant lovgivning ;)

/rant
3
11. marts 2021 kl. 11:30

Tag afgiftssagerne som ender i EU-domstolen.

De danske dommere tager altså ikke fejl i 80% af alle sager, men i 80% af de sager som bliver sendt videre til EU-domstolen. Jeg kender ikke procentdelen af sager som bliver sendt videre, men uden dette antal er ovenstående ikke særlig brugbare tal til at sige andet end at sager overvejende kun bliver sendt videre hvis der er blevet begået fejl.

2
11. marts 2021 kl. 11:16

I visse typer af retssager virker det som om domstolene er den udøvende magts forlængede arm og nærmest er aktiv medspiller imod borgerne.

Tag afgiftssagerne som ender i EU-domstolen. Den danske stat taber ca. 80% af de sager. Kan det virkeligt passe at dommerne i landsretten og højesteret er så uvidende at de tager fejl i 8 ud af 10 sager?

(Tidligere) professor Lida Hulgaard lavede for nogle år siden en analyse hvor hun gennemgik alle skatteretssager i lands- og højesteret for de sidste 50 år.

Det viste sig at en andel af dommerne aldrig havde givet en skatteborger medhold selvom der igennem de navngivne dommeres 20+ års virke havde været et utal af sager og om alt fra kørselsfradrag til avancerede skattespørgsmål.

Det er statistisk lettere at vinde hovedgevinsten i lotto 5 uger i træk end i 20+ år aldrig kunne se en sag fra borgers synsvinkel.

Jeg forstår godt at nogle mener at retssamfundet (i visse sags typer) ikke eksisterer og at det er håbløst at fører f.eks. en retssag om staten passer godt nok på vores data.

1
11. marts 2021 kl. 08:41

Derimod holder Kombit fast i, at man har fået tilstrækkelig garanti fra AWS, der hoster Aula-platformen.

At erkende at den ikke holder i en EU-ret, vil være det samme som at sige vi var ikke fremsynede nok og det vil koste kassen, at træde ud af aftalen om AULA eller transformere AULA til at kunne drives hos en anden hosting leverandør.

Jeg har ingen tiltro til at en dansk ret vil dømme fx AULA i strid med GDPR og Schrems II.