Også nye aftaler med Google og Amazon i fare efter Facebook-dom

Danske virksomheder, der skifter fra én aftale med deres amerikanske cloududbyder til en anden, risikerer at komme i myndighedernes søgelys igen i det nye år.

De europæiske myndigheder, der passer på borgernes persondata, får vanskeligt ved at sige god for den type aftaler, som en række danske virksomheder nu opfordres til at skifte til.

Virksomhederne er kommet i klemme, hvis de benytter en amerikanske cloududbyder, f.eks. Google, Amazon, Dropbox eller Amazon. I en opsigtsvækkende dom over Facebook i oktober fastlog EU-Domstolen, at USA giver myndighederne og efterretningstjenester adgang til europæernes personlige data, ud over hvad der er rimeligt i et demokrati.

Dermed overtræder USA EU’s regler, og den Safe Harbor-aftale, som Facebook benyttede sig af, blev erklæret ulovlig.

Læs også: Ulovligt at gemme data om kunder eller medarbejdere på Google Drive

I stedet har virksomhedernes tyet til en anden aftale, den såkaldte standardkontrakt, også kaldet Standard Model Clauses. Den er i sig selv ikke omfattet af Facebook-dommen, og derfor opfordrede Dansk Industri i fredags til at skifte Safe Harbor ud med den standardkontrakt.

Problemet med også standardkontrakten er imidlertid, at den giver de amerikanske myndigheder samme adgang til at indsamle de europæiske persondata som Safe Harbor.

Læs også: 200 danske virksomheder i Datatilsynets søgelys for ulovlig dataoverførsel til USA

Endnu har det ingen konsekvenser for virksomhederne, der skifter til standardkontrakterne, for de europæiske datatilsyn har i deres fælles arbejdsgruppe givet sig selv frem til 1. februar til at forholde sig til Facebook-dommen.

Men når det sker, er det tvivlsomt, om virksomhederne kan nøjes med en standardkontrakt.

»Hvis man læser dommen, så er det vanskeligt at se andet, end at den også får betydning for andre typer af overførsler af persondata end Safe Harbor og til andre lande end USA,« konstaterer professor Henrik Udsen, der leder Københavns Universitets Center for Informations- og Innovationsret.

Vanskeligheder ved verdens største cloududbydere

I yderste konsekvens kan det gøre det meget vanskeligt, grænsende til umuligt, for europæiske virksomheder at benytte verdens klart største og mest udbrede cloudtjenester.

Konsekvenserne af det vil være helt uoverskuelige, hvilket er grunden til, at Henrik Udsen tager et forbehold.

»Vi kan ikke lukke hele verden af, for så vidt gælder overførsel af personoplysninger. Derfor mangler der en løsning, og den er dybest set politisk. Så længe den ikke er der, bliver det datatilsynene, der prøver at udrede området. De skal samtidig tage hensyn til, at verden skal gå videre, men hvordan de kan forene det med at leve op til dommen i Facebook-sagen, er vanskeligt at spå om,« siger juraprofessoren.

Læs også: Datatilsynet vil ikke anerkende kryptering af persondata som alternativ til Safe Harbour

Version2 ville gerne have haft Datatilsynets svar på, om det kan lade sig gøre fortsat at sende data til USA, hvis blot virksomhederne skifter kontraktform, når EU-Domstolen finder dem for dårligt beskyttet mod myndigheder og efterretningstjenester.

Kontorchef Lena Andersen ønsker ikke at blive interviewet om emnet, men henviser til at skrive en mail til tilsynets fælles presseindbakke. Den var der ved deadline ikke kommet svar på.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Michael Kjems

Jeg kan være naiv eller uinformeret, men for mig at se er det da en af de gange hvor EU virker? USA giver myndigheder mm for store beføjelser til at se data, og det er ulovligt under EU. Så må de amerikanske udbydere, der vil sælge til Europæere, lægge pres på deres egen regering, for at ændre regler og praksis. Det er vel ikke EU, der er problemet her? Man kunne håbe, at et europæisk selskab kunne bruge chancen til at slå sig op som EU-cloud-udbyder, og vokse sig stort nok til at kunne tilbyde samme stordriftsfordele?

  • 4
  • 0
#2 Martin Mathiassen , CISSP

Hvis standard kontrakterne giver samme brede muligheder for indsamling som safe harbour aftalen er de så entlig gyldige??? De standard kontrakter er jo ikke dem som er prøvet i retten som safe harbour aftalen er så gyldigheden tvivler jeg på. Jeg har forsøgt at få dette afklaret flere steder og det virker som om efter dommen at ingen tør rører ved sagen.

  • 0
  • 0
#3 Bent Jensen

Det er lige som der ikke rigtigt er nogen som tror på at dommen vil medføre nogle ændringer. Derfor køre vi bare videre som normalt.

Men når de nye love om 5% bøder af omsætningen kommer ind over, så begynder firma nok at rette ind.

Virksomheder har ikke forstået alvoren, og det er måske rigtigt, tør EU at lukke for alle de store spiller fra USA ?

Hvis EU gør det, så er holdning ved firma som har data i USA, som den mand som har fået skud hele underkroppen af, og stadig ikke har opfattet at han er død.

  • 0
  • 0
Log ind eller Opret konto for at kommentere