Østrigsk aktivist satte cloud-verdenen på den anden ende: Her er overblikket over Schrems II-sagen

5 kommentarer.  Hop til debatten
Østrigsk aktivist satte cloud-verdenen på den anden ende: Her er overblikket over Schrems II-sagen
Illustration: Noyb.
Max Schrems lægger navn til to EU-domme, der har sået tvivl om lovligheden af centrale it-setups i myndigheder og virksomheder over hele Europa. Få overblikket over sagen.
31. august 2021 kl. 12:38
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Max Schrems. Navnet er igennem særligt det seneste års tid blevet synonymt med hovedpine og nervøse trækninger i it-organisationer verden over, mens privacy-forkæmpere hylder ham som en helt.

Den 33-årige østriger har fået flere EU-domme opkaldt efter sig, og særligt den seneste, Schrems II, har trukket overskrifter.

Dommen har ført til højspændte forhandlinger mellem EU og USA og trukket tråde hele vejen fra international toppolitik til kommunale valg af it-leverandører.

Men for at forstå sagen skal man tilbage til sommeren 2020.

Usikkert USA

Den 16. juli 2020 trak EU-domstolen gulvtæppet under både cloud-kunder og -leverandører.

Artiklen fortsætter efter annoncen

Privacy Shield-aftalen blev underkendt, og det den vigtigste mekanisme til overførsel af persondata mellem EU og USA var ikke længere gyldig.

Med dommen blev det slået fast, at USA på grund af sine vidtgående rammer for statslig overvågning ikke kan stille et niveau af databeskyttelse til rådighed, der svarer til det europæiske.

Derfor måtte Privacy Shield lide samme skæbne som sin forgænger, Safe Harbour, der i 2015 også blev erklæret ugyldig ved EU-domstolen. Det skete også på foranledning af Screhms, og den dom bærer således også Østrigerens navn, Schrems I.

Hvad må vi?

Schrems II-dommen og enden på Privacy Shield skabte panik i mange virksomheder og myndigheder, og det tog for alvor til i november 2020, da det europæiske databeskyttelsesråd udgav et udkast til anbefalinger til tredjelandsoverførsler.

Her stod på den ene side, at man bør gøre yderligere foranstaltninger, hvis man skal sende data ud af EU, men samtidig var rådet »ude af stand til at forestille sig en effektiv teknisk foranstaltning for at forhindre, at adgangen krænker den registreredes rettigheder«, hvis dataoverførslen sker til et usikkert tredjeland, som EU-domstolen jo havde vurderet, at USA er.

Herhjemme var man pludselig i tvivl, om den grundlæggende infrastruktur var i strid med loven. Måtte danske borgeres persondata flyde i Sundhedsplatformen, der leveres af amerikanske Epic?

Og hvad med Microsoft-produkter?

Hvad gør vi?

Hos Kombit skrottede man Redmond giganten som leverandør, og mens det svenske skattevæsen forbød brugen af Microsoft Teams, kører samme software videre hos de danske skattemyndigheder.

I kommunerne er forvirringen total, og standarderne for brug af eksempelvis cloud-produkter fra Microsoft og Google i folkeskolerne varierer fra kommune til kommune.

I juli 2021 kom så de endelige anbefalinger fra Det Europæiske Databeskyttelsesråd, og, mens hverken virksomheder eller myndigheder fik de endelige svar, de havde håbet, så stod en ting ifølge Datatilsynet klart: »Rummet for at overføre persondata til USA er meget snævert«.

Det efterlader de myndigheder og virksomheder, der baserer deres virke på tech-giganternes infrastruktur med flere spørgsmål end svar.

Du kan møde manden, der lægger navn til hele sagen på årets udgave af Infosecurity-konferencen i Øksnehallen, hvor Max Schrems er keynote-taler.

5 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
5
3. september 2021 kl. 09:31

DXC, IBM eller andre virksomheder der udvikler og drifter danske offentlig infrastruktur? De er jo amerikansk ejede, må de så gerne opbevare og drifte data for EU virksomheder? Hvad med KMD (som er Japansk ejet), hvor rangerer Japan?

4
2. september 2021 kl. 09:41

undrer det mig at MS tør tale om prisstigninger på cloud produkter med al den usikkerhed omkring cloud i forhold til GDPR

3
2. september 2021 kl. 09:38

elefanten i rummet alle ved den er der men vi ignorerer den.

ikke se ikke høre ikke tale...

det vilde vesten

put selv mere på...

2
31. august 2021 kl. 16:32

Det er svært at tolke reglerne på anden vis end at du ikke må gemme persondata hos amerikanske virksomheder - medmindre data er krypteret på en måde så virksomhederne ingen adgang har.

Der er bare ikke nogen som tør sige det lige ud. Måske fordi at mange håber at nogen finder på et smuthul lige om lidt så de ikke skal flytte væk fra Amazon og Azure.

1
31. august 2021 kl. 13:44

Underoverskriften satte den fast i hovedet på mig, og den virkede til meget godt at passe med hvordan dommen er blevet modtaget mange steder.