Mens Biden og von der Leyen smiler, er Schrems III allerede i støbeskeen

25. april kl. 03:455
Max Schrems
Illustration: Georg Molterer | Noyb.
Version2 er taget til Østrig for at få privacy-aktivisten Max Schrems’ reaktion på EU-Kommissionen nært forestående data-aftale med USA. På kontoret i det vestlige Wien er der dog ikke meget tro på den nye aftale, så her er forberedelserne til Schrems III gået i gang.
Artiklen er ældre end 30 dage

Bilerne drøner hen over sporvognsskinnerne, forbi gule og orange huse og træer, som lige er begyndt at blive grønne. De fleste cafe-stole er optaget på den lille gade i det vestlige Wien, hvor solen står højt på en blå himmel.

Inde i en af bygningerne, bag en dør med et lilla skilt, hvor ‘noyb’ står skrevet med hvid skrift, er en advokat i gang med hurtigt at få noget frokost, så han kan nå det næste punkt i kalenderen.

Som en af verdens mest fremtrædende privacy-aktivister og manden bag de to sager ved EU-Domstolen, der har fået erklæret USA usikkert for europæeres persondata, har Max Schrems nemlig et stramt program. Og de sidste par ugers aktivitet i EU-Kommissionen har kun skærpet hans arbejdsdag.

I slutningen af marts annoncerede Ursula von der Leyen, formand for Kommissionen, en ny principiel data-aftale med USA, som skal erstatte det tidligere overførselsgrundlag, Privacy Shield.

Artiklen fortsætter efter annoncen

Det blev underkendt af EU-Domstolen i sommeren 2020 – den såkaldte Schrems II-afgørelse – og betød, at europæiske virksomheder siden da har haft meget svært ved eksempelvis at bruge amerikanske cloud-tjenester.

Det kræver nemlig et gyldigt overførselsgrundlag at sende EU-borgeres persondata i de amerikanske skyer, og med Privacy Shield ude af billedet, har mange ventet i spænding på en ny aftale med USA, der skal gøre det lettere at overføre data.

Men selvom formanden og USAs præsident, Joe Biden, nu er blevet enige, gør Max Schrems’ organisation ‘None of Your Business’ (noyb) sig klar til at kæmpe imod. Det er nemlig usandsynligt, at den nye aftale vil stemme overens med europæiske lovgivning, mener privacy-aktivisten.

Udsigt til Schrems III

Den nye aftale har været næsten to år undervejs, hvor USA løbende har fremsat ‘forbedrede løsningsforslag’, som EU-Kommissionen har skudt ned. Nu tyder det på, at Biden og Von Der Leyen snart kan give hånd på en ny aftale, der kan lade data flyde mellem EU og USA, men ifølge Max Schrems er aftalen udelukkende politisk:

»Det kommer ikke rigtig fra Kommissionen, men nærmere fra formanden. Vi har fået fortalt, at der ikke er så stor opbakning fra resten af Kommissionen, men at det er meget politisk. I forbindelse med hele Ukraine-situationen ville de gøre noget.«

»Det er en smule uheldigt, for det er lige præcis, hvad der skete sidste gang. Politikerne besluttede bare at lave en aftale uden noget ordentligt grundlag. Det er lidt ligesom, hvis politikere beslutter sig for at bygge en bro, men der er ikke noget fundament,« forklarer han.

Det er dog for tidligt at vide noget med sikkerhed, understreger han. Men USA er stadig ikke villig til at ændre sin problematiske lovgivning, og derfor kan Max Schrems ikke se, hvordan det juridisk kan lade sig gøre at lave en solid ny aftale.

Problematisk amerikansk lovgivning

FISA 702 er en amerikansk lovgivning, der giver amerikanske efterretningstjenester lov til at kigge såkaldte 'electronic communication providers' over skulderen for at se, hvilken persondata, de har liggende. Cloud-leverandører i USA hører til i den kategori.

Executive order 12333 »gør det muligt for NSA at få adgang til oplysninger, der er i »transit« til USA, ved at tilgå de undersøiske kabler, der ligger på havbunden i Atlanterhavet, og at indsamle og opbevare disse oplysninger, før de når til USA og dér bliver undergivet FISA’s bestemmelser,« står der i betragtning 63 i Schrems II-dommen.

Cloud Act giver amerikanske myndigheder ret til at anmode amerikanske virksomheder om at udlevere data, uanset hvor i verden den er opbevaret.

Men han vil være den første til at vifte med flagene og fejre succesen, hvis Kommissionen kan trylle et lovligt overførselsgrundlag frem:

»I ti år har folk prøvet at finde en løsning, og man har endnu ikke kunne finde en. Det kan være, der findes en skuffe et eller andet sted, som gemmer på en magisk løsning, ingen hidtil har åbnet, men jeg tror bare ikke på, at den findes. Medmindre der sker en ændring i amerikansk lovgivning,« fortæller han og tilføjer:

»Hvis der findes en løsning på problemet, så er jeg den første til at råbe ‘Woohoo’, for vores succes vil jo være, at amerikansk lovgivning ændrer sig i en grad, så overvågningen på en eller anden måde begrænses. Jeg ser det ikke som en sejr at dræbe en ny overførselsaftale. Jeg ser en sejr i faktisk at rykke USA. Men det virker ikke som om, der er nogen vilje i landet.«

Møde hos noyb
Illustration: Georg Molterer | Noyb.

Nye amerikanske tiltag

Selvom der endnu ikke er nogle indikatorer fra parterne om, at USA vil ændre sin lovgivning, er der alligevel udsigt til nye tiltag fra de amerikanske politikere.

Efter Ursula von der Leyen annoncerede aftalen, offentliggjorde Det Hvide Hus en pressemeddelelse med et par nye løfter – blandt andet, at man vil nedsætte en uafhængig ‘domstol’, der skal fungere som bindeled mellem EU-borgere, der klager over en amerikansk databehandling, og myndighederne i USA.

Men ifølge Max Schrems kan man ikke udlede særlig meget fra det materiale, EU og USA har offentliggjort indtil videre.

»Der er ikke mange detaljer, og det er problemet. Det kunne teoretisk set være en meget selvstændig domstol fra et europæisk perspektiv, som har en masse funktioner og muligheder for at efterforske. Men der er ingen indikation af, at det er dét, man lægger op til. Der kunne ske et mirakel, og noget fantastisk kunne komme ud af det, men det virker ikke sådan lige nu,« fortæller aktivisten.

Selvom det endnu er for tidligt at vide præcis, hvordan USA vil sikre en ny aftale, fortæller pressemeddelelsen også, at Det Hvide Hus vil sørge for, at myndighedernes databehandling er ‘proportional’ i forhold til EU-borgeres menneskerettigheder.

Det er der nemlig et krav om i GDPR, som EU-datatilsynet (EDPS) beskriver på sin hjemmeside:

»Når man vurderer behandlingen af persondata, kræver proportionalitetsprincippet, at man kun indsamler den persondata, som er tilsvarende og nødvendig til databehandlingens formål.«

Executive orders løser ikke problemet

USA vil stadfæste det nye løfte om proportionel databehandling med en såkaldt ‘executive order’, som betyder, at selvom den amerikanske lovgivning giver efterretningstjenesterne tilladelse til at behandle data, skal de begrænse databehandlingen til at være ‘nødvendig og proportional i forhold til at opnå nationale sikkerhedsmålsætninger.’ 

Men det vil ikke umiddelbart hjælpe europæiske borgere, vurderer Max Schrems. Selvom præsidenten beordrer eksempelvis en officer hos NSA til at begrænse sin databehandling til, hvad der er proportionelt i amerikansk forstand, har EU-borgere ikke nogle klagemuligheder, hvis officerens handlinger går ud over, hvad der er proportionelt i europæisk forstand. Så har han nemlig stadig handlet inden for rammerne af amerikansk lovgivning.

Hvis USA har en anden definition af, hvad der er proportionalt i forhold til en specifik databehandling sammenlignet med EU, kan det kompromittere EU-Kommissionens tilstrækkelighedsvurdering af USA:

»Hvis de [USA] vil bruge den samme definition af proportionalitet, som vi bruger i EU, må de lukke ned for overvågningssystemerne, for EU-Domstolen har allerede sagt to gange, at overvågningssystemerne ikke lever op til at være proportionelle,« siger han.

Max Schrems understreger dog igen, at selvom han ikke selv kan se, hvordan det kan lade sig gøre, er det endnu for tidligt at afgøre, om parterne har fundet en juridisk holdbar løsning.

Først skal USA gennemføre sine ‘executive orders’, så skal EU-Kommissionen lave et udkast til en tilstrækkelighedsvurdering af USA, som skal forbi Det Europæiske Databeskyttelsesråd, Europa-Parlamentet og Det Europæiske Råd. De skal være med til at lave den endelige data-aftale.

»Realistisk set kommer det ikke til at ske før slutningen af året. Når vi har det første udkast, kan vi begynde at se på, om det holder vand. Lige nu kan vi kun gætte på, hvordan det her kan lade sig gøre.«

Gør klar til kamp

Imens EU arbejder på at få skrevet den nye aftale ned, forbereder noyb sig allerede nu på at skulle udfordre den.

»Vi følger med i, hvad der sker løbende, og hvis de finder en fantastisk løsning, så er jeg mere end glad. Jeg har bogstaveligt talt bedre ting at tage mig til i livet. Men hvis ikke, så tager vi den nok til en domstol,« siger Max Schrems og uddyber:

»Det er jo et spørgsmål om lovens magt. Når EU-Domstolen har sagt to gange, at man ikke kan gøre det på den måde, og de så gør det igen og igen, så er det også et spørgsmål om, hvorvidt Domstolen bliver taget seriøst, hvorvidt de fundamentale rettigheder tages seriøst, eller om EU-Kommissionen bare er sådan ‘whatever’.«

Hver gang der kommer en ny aftale, der ikke holder vand, udskyder det retspraksis på området – og så fortsætter usikkerheden hos dataansvarlige virksomheder. 

Derfor arbejder noyb på at gøre processen hurtigere denne gang, hvis det bliver nødvendigt:

»Sidste gang var problemet, at sagen kørte hos det irske datatilsyn, og det var super kompliceret. Så det tog fem år at få slået aftalen ihjel. Lige nu arbejder vi på at finde metoder til at få aftalen for EU-Domstolen, lige så snart den er vedtaget, så vi hurtigere kan få en juridisk sikkerhed, og der ikke igen skal gå fem år med ‘hvem ved, om det her er lovligt eller ej’,« sigerhan.

Der er to veje, de kan gå. Enten kommer noyb til at lægge sag an mod en af de første virksomheder eller myndigheder, der beslutter sig for at basere en overførsel til USA på det nye grundlag. Ellers tager organisationen aftalen til EU-Domstolen for at få den annulleret – måske bliver det begge dele.

Intet er dog sikkert, før noyb får fat på udkastet til den nye aftale og tjekker, om miraklet er sket. Men der går nok nogle måneder endnu, så i mellemtiden løber Max Schrems videre til sit næste møde. Han er også blevet færdig med frokosten. 

Og om et par uger sidder han i en flyver på vej til København og V2 Security-konferencen for at fortælle mere om sin organisations indsats mod juridisk tvivlsomme politiske aftaler og kampen for dit privatliv.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
25. april kl. 06:47

super artikel. tak for den. Jura betyder alt, men for nogle er etikken også vigtigere og vigtigere og er det etisk ansvarligt at bruge fx AWS som leverandør af sin cloud? er det ok at off instanser gør det? Hvis vi i EU gerne vil have en cloud industri, som der jo arbejdes kraftigt på, skal vi så ikke også bakke op om de virksomheder og bruge dem - og lade det offentlig gå forrest?

2
25. april kl. 09:28

Jura har jo desværre ikke altid nødvendigvis noget med etik at gøre. Det er bare et sæt regler, der kan være etisk.

Etik er dog ikke uproblematisk, da etik er forskelligt, afhængigt af hvor du er. I USA er det etisk at overvåge, fordi overvågning i USA er lig med sikkerhed. Det samme gælder i andre stedet på kloden. Derfor er dataetik meget vanskeligt at tale om, synes jeg, og ikke noget, man af europæisk side kan fastslå som værende på den ene eller anden måde. I EU har man i 1940'erne set, hvad magtmisbrug og indskrænkning af privatlivet kan føre til. Derfor er vi tilbageholdende med at sige at mere overvågning er mere sikker, for det kommer i sidste ende an på, hvem der har magten, og hvad deres syn på etik er.

Så: Etik betyder alt, men hvem bestemmer, hvad der er etisk? Derfor synes jeg det er fremragende, at organisationer som noyb ser på det, som burde betyder alt: retssikkerhed. Vi kan altid debattere, hvad der er mere rigtigt at gøre, og hvad der ikke er rigtigt, og så lave regler og love på baggrund af dette. Men hvis ikke regler er gennemsigtige og klare, og borgere ikke på et oplyst grundlag kan vide, hvad reglerne går ud på, eller hvordan der i en given sag ville dømmes, så ender vi med at loven bliver vilkårligt og man ikke kan bruge de rettigheder, man som borger har. Retssikkerheden er værd at kæmpe for, for ellers har vi intet våben mod magtmisbrug eller fordrejning af etik.

I DK har vi i lang tid været meget optaget af digitalisering, fordi der nogen, der bestemte, at mere digitalt betyder mere etisk (eller praktisk?), og nu står vi så i en situation, hvor beslutningen af digitalisere og rykke ind i cloud ikke længere anses for at være etisk (eller i virkeligheden måske aldrig har været det).

Så kan man spørge sig selv, hvorfor alle er gået med på at nogen oppefra har bestemt at noget er i almenvellets bedste interesse at gå med i en teknologisk fremgang, fordi det blev anset som godt (og dermed etisk) at gøre, hvis retssikkerheden hele tiden har været i fare.

Etik er i vis grad subjektivt. Subjekter kan tage fejl, have skjulte agendaer, ændre mening, osv. Så længe etikken ikke får indflydelse på retssikkerheden, så kan vi som borgere være rolige, for så er der altid mulighed for diskutere, om noget er mere eller mindre etisk og burde laves om.

4
25. april kl. 11:36

I DK har vi i lang tid været meget optaget af digitalisering, fordi der nogen, der bestemte, at mere digitalt betyder mere etisk (eller praktisk?)

Det tror jeg faktisk ikke er årsagen.

Politik er fyldt med dilemmaer, og skruppelløse sælgere er klar til at hævde at de løses ved at hælde IT-sovs (TM PHK) udover.

Nu burde politikerne være blevet klogere, men de vil så gerne tro på at IT-sovs hjælper, at de er blinde for problemerne.

3
25. april kl. 10:04

Jura har jo desværre ikke altid nødvendigvis noget med etik at gøre.

Jura har per definition ikke noget med etik at gøre, det handler, kogt helt ind til benet, kun om placering af ansvar under loven.

Etik hører primært til i grundlove og den danske grundlov har ikke meget af det, fordi den kun blev skrevet for at undgå at kongen var "single-point-of-failure" i enevælden.

5
25. april kl. 15:20

Jura har per definition ikke noget med etik at gøre, det handler, kogt helt ind til benet, kun om placering af ansvar under loven.

Det er nu den retspositivistiske udlægning. Gustav Radbruch, som selv startede som retspositivist kritiserede den voldsomt efter 1945. Overfor står naturretten som Thomas fra Aquino bl.a. plæderede for. Du har ikke ret men pligt til at gå mod loven, hvis den strider mod din samvittighed - jævnfør Sofokles tragedie Antigone.