De europæiske myndigheder, der passer på borgernes persondata, får vanskeligt ved at sige god for den type aftaler, som en række danske virksomheder nu opfordres til at skifte til.
Virksomhederne er kommet i klemme, hvis de benytter en amerikanske cloududbyder, f.eks. Google, Amazon, Dropbox eller Amazon. I en opsigtsvækkende dom over Facebook i oktober fastlog EU-Domstolen, at USA giver myndighederne og efterretningstjenester adgang til europæernes personlige data, ud over hvad der er rimeligt i et demokrati.
Dermed overtræder USA EU’s regler, og den Safe Harbor-aftale, som Facebook benyttede sig af, blev erklæret ulovlig.
I stedet har virksomhedernes tyet til en anden aftale, den såkaldte standardkontrakt, også kaldet Standard Model Clauses. Den er i sig selv ikke omfattet af Facebook-dommen, og derfor opfordrede Dansk Industri i fredags til at skifte Safe Harbor ud med den standardkontrakt.
Problemet med også standardkontrakten er imidlertid, at den giver de amerikanske myndigheder samme adgang til at indsamle de europæiske persondata som Safe Harbor.
Endnu har det ingen konsekvenser for virksomhederne, der skifter til standardkontrakterne, for de europæiske datatilsyn har i deres fælles arbejdsgruppe givet sig selv frem til 1. februar til at forholde sig til Facebook-dommen.
Men når det sker, er det tvivlsomt, om virksomhederne kan nøjes med en standardkontrakt.
»Hvis man læser dommen, så er det vanskeligt at se andet, end at den også får betydning for andre typer af overførsler af persondata end Safe Harbor og til andre lande end USA,« konstaterer professor Henrik Udsen, der leder Københavns Universitets Center for Informations- og Innovationsret.
Vanskeligheder ved verdens største cloududbydere
I yderste konsekvens kan det gøre det meget vanskeligt, grænsende til umuligt, for europæiske virksomheder at benytte verdens klart største og mest udbrede cloudtjenester.
Konsekvenserne af det vil være helt uoverskuelige, hvilket er grunden til, at Henrik Udsen tager et forbehold.
»Vi kan ikke lukke hele verden af, for så vidt gælder overførsel af personoplysninger. Derfor mangler der en løsning, og den er dybest set politisk. Så længe den ikke er der, bliver det datatilsynene, der prøver at udrede området. De skal samtidig tage hensyn til, at verden skal gå videre, men hvordan de kan forene det med at leve op til dommen i Facebook-sagen, er vanskeligt at spå om,« siger juraprofessoren.
Version2 ville gerne have haft Datatilsynets svar på, om det kan lade sig gøre fortsat at sende data til USA, hvis blot virksomhederne skifter kontraktform, når EU-Domstolen finder dem for dårligt beskyttet mod myndigheder og efterretningstjenester.
Kontorchef Lena Andersen ønsker ikke at blive interviewet om emnet, men henviser til at skrive en mail til tilsynets fælles presseindbakke. Den var der ved deadline ikke kommet svar på.