Østrigsk aktivist satte cloud-verdenen på den anden ende: Her er overblikket over Schrems II-sagen
Max Schrems. Navnet er igennem særligt det seneste års tid blevet synonymt med hovedpine og nervøse trækninger i it-organisationer verden over, mens privacy-forkæmpere hylder ham som en helt.
Den 33-årige østriger har fået flere EU-domme opkaldt efter sig, og særligt den seneste, Schrems II, har trukket overskrifter.
Dommen har ført til højspændte forhandlinger mellem EU og USA og trukket tråde hele vejen fra international toppolitik til kommunale valg af it-leverandører.
Men for at forstå sagen skal man tilbage til sommeren 2020.
Usikkert USA
Den 16. juli 2020 trak EU-domstolen gulvtæppet under både cloud-kunder og -leverandører.
Privacy Shield-aftalen blev underkendt, og det den vigtigste mekanisme til overførsel af persondata mellem EU og USA var ikke længere gyldig.
Med dommen blev det slået fast, at USA på grund af sine vidtgående rammer for statslig overvågning ikke kan stille et niveau af databeskyttelse til rådighed, der svarer til det europæiske.
Derfor måtte Privacy Shield lide samme skæbne som sin forgænger, Safe Harbour, der i 2015 også blev erklæret ugyldig ved EU-domstolen. Det skete også på foranledning af Screhms, og den dom bærer således også Østrigerens navn, Schrems I.
Hvad må vi?
Schrems II-dommen og enden på Privacy Shield skabte panik i mange virksomheder og myndigheder, og det tog for alvor til i november 2020, da det europæiske databeskyttelsesråd udgav et udkast til anbefalinger til tredjelandsoverførsler.
Her stod på den ene side, at man bør gøre yderligere foranstaltninger, hvis man skal sende data ud af EU, men samtidig var rådet »ude af stand til at forestille sig en effektiv teknisk foranstaltning for at forhindre, at adgangen krænker den registreredes rettigheder«, hvis dataoverførslen sker til et usikkert tredjeland, som EU-domstolen jo havde vurderet, at USA er.
Herhjemme var man pludselig i tvivl, om den grundlæggende infrastruktur var i strid med loven. Måtte danske borgeres persondata flyde i Sundhedsplatformen, der leveres af amerikanske Epic?
Og hvad med Microsoft-produkter?
Hvad gør vi?
Hos Kombit skrottede man Redmond giganten som leverandør, og mens det svenske skattevæsen forbød brugen af Microsoft Teams, kører samme software videre hos de danske skattemyndigheder.
I kommunerne er forvirringen total, og standarderne for brug af eksempelvis cloud-produkter fra Microsoft og Google i folkeskolerne varierer fra kommune til kommune.
I juli 2021 kom så de endelige anbefalinger fra Det Europæiske Databeskyttelsesråd, og, mens hverken virksomheder eller myndigheder fik de endelige svar, de havde håbet, så stod en ting ifølge Datatilsynet klart: »Rummet for at overføre persondata til USA er meget snævert«.
Det efterlader de myndigheder og virksomheder, der baserer deres virke på tech-giganternes infrastruktur med flere spørgsmål end svar.
Du kan møde manden, der lægger navn til hele sagen på årets udgave af Infosecurity-konferencen i Øksnehallen, hvor Max Schrems er keynote-taler.
