Østrigsk aktivist satte cloud-verdenen på den anden ende: Her er overblikket over Schrems II-sagen

Illustration: Noyb
Max Schrems lægger navn til to EU-domme, der har sået tvivl om lovligheden af centrale it-setups i myndigheder og virksomheder over hele Europa. Få overblikket over sagen.

Max Schrems. Navnet er igennem særligt det seneste års tid blevet synonymt med hovedpine og nervøse trækninger i it-organisationer verden over, mens privacy-forkæmpere hylder ham som en helt.

Den 33-årige østriger har fået flere EU-domme opkaldt efter sig, og særligt den seneste, Schrems II, har trukket overskrifter.

Dommen har ført til højspændte forhandlinger mellem EU og USA og trukket tråde hele vejen fra international toppolitik til kommunale valg af it-leverandører.

Men for at forstå sagen skal man tilbage til sommeren 2020.

Usikkert USA

Den 16. juli 2020 trak EU-domstolen gulvtæppet under både cloud-kunder og -leverandører.

Privacy Shield-aftalen blev underkendt, og det den vigtigste mekanisme til overførsel af persondata mellem EU og USA var ikke længere gyldig.

Læs også: EU-dom slukker for dataaftale mellem USA og EU

Med dommen blev det slået fast, at USA på grund af sine vidtgående rammer for statslig overvågning ikke kan stille et niveau af databeskyttelse til rådighed, der svarer til det europæiske.

Derfor måtte Privacy Shield lide samme skæbne som sin forgænger, Safe Harbour, der i 2015 også blev erklæret ugyldig ved EU-domstolen. Det skete også på foranledning af Screhms, og den dom bærer således også Østrigerens navn, Schrems I.

Hvad må vi?

Schrems II-dommen og enden på Privacy Shield skabte panik i mange virksomheder og myndigheder, og det tog for alvor til i november 2020, da det europæiske databeskyttelsesråd udgav et udkast til anbefalinger til tredjelandsoverførsler.

Her stod på den ene side, at man bør gøre yderligere foranstaltninger, hvis man skal sende data ud af EU, men samtidig var rådet »ude af stand til at forestille sig en effektiv teknisk foranstaltning for at forhindre, at adgangen krænker den registreredes rettigheder«, hvis dataoverførslen sker til et usikkert tredjeland, som EU-domstolen jo havde vurderet, at USA er.

Herhjemme var man pludselig i tvivl, om den grundlæggende infrastruktur var i strid med loven. Måtte danske borgeres persondata flyde i Sundhedsplatformen, der leveres af amerikanske Epic?

Og hvad med Microsoft-produkter?

Læs også: Kommuner sylter risikovurderinger og sender blindt børne-data til Microsoft

Hvad gør vi?

Hos Kombit skrottede man Redmond giganten som leverandør, og mens det svenske skattevæsen forbød brugen af Microsoft Teams, kører samme software videre hos de danske skattemyndigheder.

I kommunerne er forvirringen total, og standarderne for brug af eksempelvis cloud-produkter fra Microsoft og Google i folkeskolerne varierer fra kommune til kommune.

Læs også: Efter Version2-afsløring: Datatilsynet indleder sag mod Aarhus Kommune om ulovlige dataoverførsler

I juli 2021 kom så de endelige anbefalinger fra Det Europæiske Databeskyttelsesråd, og, mens hverken virksomheder eller myndigheder fik de endelige svar, de havde håbet, så stod en ting ifølge Datatilsynet klart: »Rummet for at overføre persondata til USA er meget snævert«.

Det efterlader de myndigheder og virksomheder, der baserer deres virke på tech-giganternes infrastruktur med flere spørgsmål end svar.

Du kan møde manden, der lægger navn til hele sagen på årets udgave af Infosecurity-konferencen i Øksnehallen, hvor Max Schrems er keynote-taler.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Jesper Sørensen

Det er svært at tolke reglerne på anden vis end at du ikke må gemme persondata hos amerikanske virksomheder - medmindre data er krypteret på en måde så virksomhederne ingen adgang har.

Der er bare ikke nogen som tør sige det lige ud. Måske fordi at mange håber at nogen finder på et smuthul lige om lidt så de ikke skal flytte væk fra Amazon og Azure.

  • 17
  • 0
Log ind eller Opret konto for at kommentere