EU-dom slukker for dataaftale mellem USA og EU

Illustration: mkabakov/Bigstock
EU-borgere udsættes for overvågning i USA via dataaftale, mener domstol.

EU-dommere har lukket for den vigtigste mekanisme til overførsel af data mellem EU-landene og USA.

Det skriver avisen Financial Times.

Det er et slag for Facebook og andre virksomheder, der er afhængige af dataaftalen.

I en erklæring udtrykker dommerne deres bekymring over, at data, der overføres via en proces kaldet Privacy Shield-certificering »ikke er begrænset til det, der er strengt nødvendigt,« når det gælder at udsætte EU-borgere for overvågning i USA.

EU-Domstolen sagde, at »begrænsningerne i beskyttelsen af personoplysninger, der stammer fra USA's nationale lovgivning om adgang til og brug af amerikanske offentlige myndigheder (…), ikke er omskrevet på en måde, der opfylder krav, der er i det væsentlige svarer til dem, der kræves i henhold til EU-lovgivningen.«

Kendelsen er et stort slag for tusinder af selskaber - herunder sociale mediefirmaer, men også banker, advokatfirmaer og bilproducenter, der alle overfører data mellem USA og Europa.

På Twitter skriver dataaktivisten Max Schrems, som repræsenterer organisationen Noyb.eu, der står bag søgsmålet:

»Efter en første gennemlæsning af dommen om PrivacyShield ser det ud til, at vi har scoret en sejr på 100 procent - for vores privatliv. USA bliver nødt til at engagere sig i en alvorlig reformering af overvågning, for at komme tilbage til 'privilegeret' status for amerikanske virksomheder.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 René Nielsen

Der er vel ikke nogen som er rigtigt overraskede over dommen – mere at det tog 5 år at finde ud af det åbenlyse.

Det er ikke jo meningen at f.eks. NSA skal have adgang til data om EU-borgere uanset om facebook er et amerikansk selskab.

En ting er spionage som jo i sagens natur sker tavst og uden de overvågede partners viden, men et standardinterface som NSA definerer overfor facebook som bare overføre data … den går ikke.

Jeg er mere spændt på om GDPR’s reglernes bødeblok kommer i brug?

  • 14
  • 1
#3 Michael Cederberg

NU er der grundlag for at vi i EU kan lave vores eget, uden ulige konkurrence. Selvom tanken er ubehagelig.

Hvordan er konkurrencen ulige?

Vi behøver ikke lave vores eget. Så længe data bliver i Europa og ikke er tilgængelige for folk udenfor Europa, så er der ingen ko på isen. Uanset hvilken service det handler om eller hvem der ejer datacentre. Men der er mange andre grunde til at det vil være fantastisk hvis Europa får gang i en teknologisk udvikling på linje med amerikanerne. Det skal bare være konkurrencedygtigt på verdensmarkedet.

Sidst er det værd at huske på at datacentre i Europa (uanset hvem der ejer dem) er fyldt med amerikansk teknologi. Der er således ingen grund tro at NSA forhindres i at følge med i hvad der sker. Men det giver selvfølgeligt en masse restriktioner omkring hvad amerikanerne vil kunne bruge data til.

  • 3
  • 0
#4 René Nielsen

Der er således ingen grund tro at NSA forhindres i at følge med i hvad der sker.

Jeg er enig i at spionagen imod EU-borgere ikke forsvinder fordi EU-domstolen siger de ikke må, men jeg tror at det bliver en hel del sværere hvis f.eks. datacenteret ligger i Tyskland.

Det med at snuppe alt om alle fra f.eks. facebook vil være forbi, fordi en tysk datakommissær vil snuse omkring.

Man skal ikke undervurdere tyske ”snushaner” som de hedengangne Stasi eller Gestapo.

Når vi snakker om modstandsfolk og lidt håneligt kalder dem ”de sidste dages hellige” så er det lidt forkert – for fakta var at Gestapo i Danmark fuldstændigt oprullede den danske modstandsbevægelse 2 eller 3 gange i løbet af krigen. Det var meget få de ikke fat i.

Det med at ”snuse rundt” er bare en del af det tyske gen og jeg ville som borger være meget mere tryg ved at datacentrene ligger i Tyskland end Danmark for dernede får det konsekvenser hvis noget snuser rundt uden at have fået lov.

  • 2
  • 3
#6 Bjarne Nielsen

Tankevækkende og interessant, at det var en utilfreds privatperson, der havde mod og mandshjerte nok til at protestere og fik ret.

Det tager mere end det. Fra https://noyb.eu/en/cjeu:

Schrems: “The DPC has invested € 2.9 Mio against us – and in essence lost. I don’t even want to know how many millions Facebook threw at this case. The financial fallout of this case will now be decided by the Irish Courts. Under EU law there must be a free and quick handling of a citizen’s complaint. However, in this case, we have been in the courts for 7 years with more than 45,000 pages of documents submitted. The myth that a law student can just do this on his own is unfortunately wrong.

(min fremhævning)

DPC er nok det Irske datatilsyn, aka. "Data Protection Commision" aka. https://www.dataprotection.ie/.

Det kræver åbenbart både en kyndig ildsjæl og dybe lommer og en god portion stædighed

Ironisk nok er første sætning på DPCs hjemmeside flg.:

The Data Protection Commission (DPC) is the national independent authority responsible for upholding the fundamental right of individuals in the EU to have their personal data protected.

Er de ikke på den forkerte side i den her sag? Og er de ikke generelt på den forkerte side, ikke mindst ved nærmest at sidde på deres hænder? Det virker lidt som brandfolk, som ikke ønsker at slukke ild, og er villige til at gå langt for at undgå det.

  • 8
  • 0
#7 Bjarne Nielsen

Med til historien hører, at vi jo havde "Safe Harbour" reglerne, som blev underkendt i oktober -15. Derfor opstod "Privacy Shield" i 2016. Fra Wikipedia:

The Article 29 Data Protection Working Party delivered an opinion on April 13, 2016, stating that the Privacy Shield offers major improvements compared to the Safe Harbor decisions, but that three major points of concern still remain. They relate to deletion of data, collection of massive amounts of data, and clarification of the new Ombudsperson mechanism. The European Data Protection Supervisor issued an opinion on 30 May 2016 in which he stated that "the Privacy Shield, as it stands, is not robust enough to withstand future legal scrutiny before the [European] Court".

(min fremhævning)

Alligevel blev den vedtaget, og herefter var der kun tilbage at føre sag imod de myndigheder, som ellers skulle beskytte os.

Skal vi se historien gentage sig? At der kommer endnu en "ordning", som essentielt vil lide af samme grundlæggende problemer, og som så kræver endnu en årelang tur igennem retssystemet?

Hvad med Standard Contractual Clauses (SCCs)? noyb/Schrems er her rimeligt klare i spyttet omkring, at de også vil være uforenelige med den amerikanske overvågning, som gjorde Privacy Shield umulig, og derfor i praksis næppe er noget alternativ. Det skal nok blive genstand for diskussion.

Som jeg opfatter synspunktet, så er det, at europæisk databeskyttelse og amerikansk overvågning er grundlæggende udforenelige, og den forskel kan ikke overvindes med aftaler.

  • 6
  • 0
#8 Peter Valdemar Mørch

Cloud Act https://en.m.wikipedia.org/wiki/CLOUD_Act :

Primarily the CLOUD Act amends the Stored Communications Act (SCA) of 1986 to allow federal law enforcement to compel U.S.-based technology companies via warrant or subpoena to provide requested data stored on servers regardless of whether the data are stored in the U.S. or on foreign soil.

Så længe the CLOUD Act består, kan man ikke overholde GDPR og have EU/GDPR data på servere ejet af amerikanske firmaer, uanset hvor serverne fysisk befinder sig og uanset hvad man måtte skrive af dokumenter i EU.

  • 5
  • 0
#9 Sugrd Sigurd

Ironisk nok er første sætning på DPCs hjemmeside flg.:

The Data Protection Commission (DPC) is the national independent authority responsible for upholding the fundamental right of individuals in the EU to have their personal data protected.  

Er de ikke på den forkerte side i den her sag? Og er de ikke generelt på den forkerte side, ikke mindst ved nærmest at sidde på deres hænder? Det virker lidt som brandfolk, som ikke ønsker at slukke ild, og er villige til at gå langt for at undgå det.

Irland tjener jo godt på at være tech-giganternes europæiske hjemsted. DPC er derfor i en svær situation, da der i Irland er meget stærk politisk vilje til at holde sig gode venner med virksomhederne.

Det er heller ikke helt korrekt at beskrive DPC som en uafhængig myndighed. Ledelsen af DPC er jo politisk udpeget, så hvis myndigheden valgte at gå imod de generelle politiske strømninger og bekæmpe facebook, ville ledelsen relativt hurtigt blive udskiftet.

Så jo, DPC og Irland er i denne sag (og mange andre) på den forkerte side ift. at beskytte borgeres privatliv. Problemet er nok, at facebook m.fl. er meget bedre til at belønne irernes adfærd, end EU er til at straffe den.

  • 1
  • 0
Log ind eller Opret konto for at kommentere