Bilerne drøner hen over sporvognsskinnerne, forbi gule og orange huse og træer, som lige er begyndt at blive grønne. De fleste cafe-stole er optaget på den lille gade i det vestlige Wien, hvor solen står højt på en blå himmel.
Inde i en af bygningerne, bag en dør med et lilla skilt, hvor ‘noyb’ står skrevet med hvid skrift, er en advokat i gang med hurtigt at få noget frokost, så han kan nå det næste punkt i kalenderen.
Som en af verdens mest fremtrædende privacy-aktivister og manden bag de to sager ved EU-Domstolen, der har fået erklæret USA usikkert for europæeres persondata, har Max Schrems nemlig et stramt program. Og de sidste par ugers aktivitet i EU-Kommissionen har kun skærpet hans arbejdsdag.
I slutningen af marts annoncerede Ursula von der Leyen, formand for Kommissionen, en ny principiel data-aftale med USA, som skal erstatte det tidligere overførselsgrundlag, Privacy Shield.
Det blev underkendt af EU-Domstolen i sommeren 2020 – den såkaldte Schrems II-afgørelse – og betød, at europæiske virksomheder siden da har haft meget svært ved eksempelvis at bruge amerikanske cloud-tjenester.
Det kræver nemlig et gyldigt overførselsgrundlag at sende EU-borgeres persondata i de amerikanske skyer, og med Privacy Shield ude af billedet, har mange ventet i spænding på en ny aftale med USA, der skal gøre det lettere at overføre data.
Men selvom formanden og USAs præsident, Joe Biden, nu er blevet enige, gør Max Schrems’ organisation ‘None of Your Business’ (noyb) sig klar til at kæmpe imod. Det er nemlig usandsynligt, at den nye aftale vil stemme overens med europæiske lovgivning, mener privacy-aktivisten.
Udsigt til Schrems III
Den nye aftale har været næsten to år undervejs, hvor USA løbende har fremsat ‘forbedrede løsningsforslag’, som EU-Kommissionen har skudt ned. Nu tyder det på, at Biden og Von Der Leyen snart kan give hånd på en ny aftale, der kan lade data flyde mellem EU og USA, men ifølge Max Schrems er aftalen udelukkende politisk:
»Det kommer ikke rigtig fra Kommissionen, men nærmere fra formanden. Vi har fået fortalt, at der ikke er så stor opbakning fra resten af Kommissionen, men at det er meget politisk. I forbindelse med hele Ukraine-situationen ville de gøre noget.«
»Det er en smule uheldigt, for det er lige præcis, hvad der skete sidste gang. Politikerne besluttede bare at lave en aftale uden noget ordentligt grundlag. Det er lidt ligesom, hvis politikere beslutter sig for at bygge en bro, men der er ikke noget fundament,« forklarer han.
Det er dog for tidligt at vide noget med sikkerhed, understreger han. Men USA er stadig ikke villig til at ændre sin problematiske lovgivning, og derfor kan Max Schrems ikke se, hvordan det juridisk kan lade sig gøre at lave en solid ny aftale.
FISA 702 er en amerikansk lovgivning, der giver amerikanske efterretningstjenester lov til at kigge såkaldte 'electronic communication providers' over skulderen for at se, hvilken persondata, de har liggende. Cloud-leverandører i USA hører til i den kategori.
Executive order 12333 »gør det muligt for NSA at få adgang til oplysninger, der er i »transit« til USA, ved at tilgå de undersøiske kabler, der ligger på havbunden i Atlanterhavet, og at indsamle og opbevare disse oplysninger, før de når til USA og dér bliver undergivet FISA’s bestemmelser,« står der i betragtning 63 i Schrems II-dommen.
Cloud Act giver amerikanske myndigheder ret til at anmode amerikanske virksomheder om at udlevere data, uanset hvor i verden den er opbevaret.
Men han vil være den første til at vifte med flagene og fejre succesen, hvis Kommissionen kan trylle et lovligt overførselsgrundlag frem:
»I ti år har folk prøvet at finde en løsning, og man har endnu ikke kunne finde en. Det kan være, der findes en skuffe et eller andet sted, som gemmer på en magisk løsning, ingen hidtil har åbnet, men jeg tror bare ikke på, at den findes. Medmindre der sker en ændring i amerikansk lovgivning,« fortæller han og tilføjer:
»Hvis der findes en løsning på problemet, så er jeg den første til at råbe ‘Woohoo’, for vores succes vil jo være, at amerikansk lovgivning ændrer sig i en grad, så overvågningen på en eller anden måde begrænses. Jeg ser det ikke som en sejr at dræbe en ny overførselsaftale. Jeg ser en sejr i faktisk at rykke USA. Men det virker ikke som om, der er nogen vilje i landet.«
Illustration: Georg Molterer | Noyb.
Nye amerikanske tiltag
Selvom der endnu ikke er nogle indikatorer fra parterne om, at USA vil ændre sin lovgivning, er der alligevel udsigt til nye tiltag fra de amerikanske politikere.
Efter Ursula von der Leyen annoncerede aftalen, offentliggjorde Det Hvide Hus en pressemeddelelse med et par nye løfter – blandt andet, at man vil nedsætte en uafhængig ‘domstol’, der skal fungere som bindeled mellem EU-borgere, der klager over en amerikansk databehandling, og myndighederne i USA.
Men ifølge Max Schrems kan man ikke udlede særlig meget fra det materiale, EU og USA har offentliggjort indtil videre.
»Der er ikke mange detaljer, og det er problemet. Det kunne teoretisk set være en meget selvstændig domstol fra et europæisk perspektiv, som har en masse funktioner og muligheder for at efterforske. Men der er ingen indikation af, at det er dét, man lægger op til. Der kunne ske et mirakel, og noget fantastisk kunne komme ud af det, men det virker ikke sådan lige nu,« fortæller aktivisten.
Selvom det endnu er for tidligt at vide præcis, hvordan USA vil sikre en ny aftale, fortæller pressemeddelelsen også, at Det Hvide Hus vil sørge for, at myndighedernes databehandling er ‘proportional’ i forhold til EU-borgeres menneskerettigheder.
Det er der nemlig et krav om i GDPR, som EU-datatilsynet (EDPS) beskriver på sin hjemmeside:
»Når man vurderer behandlingen af persondata, kræver proportionalitetsprincippet, at man kun indsamler den persondata, som er tilsvarende og nødvendig til databehandlingens formål.«
Executive orders løser ikke problemet
USA vil stadfæste det nye løfte om proportionel databehandling med en såkaldt ‘executive order’, som betyder, at selvom den amerikanske lovgivning giver efterretningstjenesterne tilladelse til at behandle data, skal de begrænse databehandlingen til at være ‘nødvendig og proportional i forhold til at opnå nationale sikkerhedsmålsætninger.’
Men det vil ikke umiddelbart hjælpe europæiske borgere, vurderer Max Schrems. Selvom præsidenten beordrer eksempelvis en officer hos NSA til at begrænse sin databehandling til, hvad der er proportionelt i amerikansk forstand, har EU-borgere ikke nogle klagemuligheder, hvis officerens handlinger går ud over, hvad der er proportionelt i europæisk forstand. Så har han nemlig stadig handlet inden for rammerne af amerikansk lovgivning.
Hvis USA har en anden definition af, hvad der er proportionalt i forhold til en specifik databehandling sammenlignet med EU, kan det kompromittere EU-Kommissionens tilstrækkelighedsvurdering af USA:
»Hvis de [USA] vil bruge den samme definition af proportionalitet, som vi bruger i EU, må de lukke ned for overvågningssystemerne, for EU-Domstolen har allerede sagt to gange, at overvågningssystemerne ikke lever op til at være proportionelle,« siger han.
Max Schrems understreger dog igen, at selvom han ikke selv kan se, hvordan det kan lade sig gøre, er det endnu for tidligt at afgøre, om parterne har fundet en juridisk holdbar løsning.
Først skal USA gennemføre sine ‘executive orders’, så skal EU-Kommissionen lave et udkast til en tilstrækkelighedsvurdering af USA, som skal forbi Det Europæiske Databeskyttelsesråd, Europa-Parlamentet og Det Europæiske Råd. De skal være med til at lave den endelige data-aftale.
»Realistisk set kommer det ikke til at ske før slutningen af året. Når vi har det første udkast, kan vi begynde at se på, om det holder vand. Lige nu kan vi kun gætte på, hvordan det her kan lade sig gøre.«
Gør klar til kamp
Imens EU arbejder på at få skrevet den nye aftale ned, forbereder noyb sig allerede nu på at skulle udfordre den.
»Vi følger med i, hvad der sker løbende, og hvis de finder en fantastisk løsning, så er jeg mere end glad. Jeg har bogstaveligt talt bedre ting at tage mig til i livet. Men hvis ikke, så tager vi den nok til en domstol,« siger Max Schrems og uddyber:
»Det er jo et spørgsmål om lovens magt. Når EU-Domstolen har sagt to gange, at man ikke kan gøre det på den måde, og de så gør det igen og igen, så er det også et spørgsmål om, hvorvidt Domstolen bliver taget seriøst, hvorvidt de fundamentale rettigheder tages seriøst, eller om EU-Kommissionen bare er sådan ‘whatever’.«
Hver gang der kommer en ny aftale, der ikke holder vand, udskyder det retspraksis på området – og så fortsætter usikkerheden hos dataansvarlige virksomheder.
Derfor arbejder noyb på at gøre processen hurtigere denne gang, hvis det bliver nødvendigt:
»Sidste gang var problemet, at sagen kørte hos det irske datatilsyn, og det var super kompliceret. Så det tog fem år at få slået aftalen ihjel. Lige nu arbejder vi på at finde metoder til at få aftalen for EU-Domstolen, lige så snart den er vedtaget, så vi hurtigere kan få en juridisk sikkerhed, og der ikke igen skal gå fem år med ‘hvem ved, om det her er lovligt eller ej’,« sigerhan.
Der er to veje, de kan gå. Enten kommer noyb til at lægge sag an mod en af de første virksomheder eller myndigheder, der beslutter sig for at basere en overførsel til USA på det nye grundlag. Ellers tager organisationen aftalen til EU-Domstolen for at få den annulleret – måske bliver det begge dele.
Intet er dog sikkert, før noyb får fat på udkastet til den nye aftale og tjekker, om miraklet er sket. Men der går nok nogle måneder endnu, så i mellemtiden løber Max Schrems videre til sit næste møde. Han er også blevet færdig med frokosten.
Og om et par uger sidder han i en flyver på vej til København og V2 Security-konferencen for at fortælle mere om sin organisations indsats mod juridisk tvivlsomme politiske aftaler og kampen for dit privatliv.
Illustration: V2SECURITY.
Version2 byder endnu engang it-ansvarlige og -specialister velkommen til to spændende dage i København med 100 seminarer og mere end 3.000 deltagere, der mødes for at blive opdateret på den nyeste viden om it-sikkerhed, cloudløsninger og compliance.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
