Også nye aftaler med Google og Amazon i fare efter Facebook-dom

8. december 2015 kl. 06:293
Danske virksomheder, der skifter fra én aftale med deres amerikanske cloududbyder til en anden, risikerer at komme i myndighedernes søgelys igen i det nye år.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

De europæiske myndigheder, der passer på borgernes persondata, får vanskeligt ved at sige god for den type aftaler, som en række danske virksomheder nu opfordres til at skifte til.

Virksomhederne er kommet i klemme, hvis de benytter en amerikanske cloududbyder, f.eks. Google, Amazon, Dropbox eller Amazon. I en opsigtsvækkende dom over Facebook i oktober fastlog EU-Domstolen, at USA giver myndighederne og efterretningstjenester adgang til europæernes personlige data, ud over hvad der er rimeligt i et demokrati.

Dermed overtræder USA EU’s regler, og den Safe Harbor-aftale, som Facebook benyttede sig af, blev erklæret ulovlig.

I stedet har virksomhedernes tyet til en anden aftale, den såkaldte standardkontrakt, også kaldet Standard Model Clauses. Den er i sig selv ikke omfattet af Facebook-dommen, og derfor opfordrede Dansk Industri i fredags til at skifte Safe Harbor ud med den standardkontrakt.

Artiklen fortsætter efter annoncen

Problemet med også standardkontrakten er imidlertid, at den giver de amerikanske myndigheder samme adgang til at indsamle de europæiske persondata som Safe Harbor.

Endnu har det ingen konsekvenser for virksomhederne, der skifter til standardkontrakterne, for de europæiske datatilsyn har i deres fælles arbejdsgruppe givet sig selv frem til 1. februar til at forholde sig til Facebook-dommen.

Safe Habor

  • Safe Habor-aftalen indebar, at de nationale datatilsyn skulle lægge til grund, at store amerikanske cloud- og hosting-leverandører - der var med i ordningen - generelt sikrede en så god beskyttelse af personoplysninger, at der ikke skulle foretages yderligere. En individuel bedømmelse skulle derfor ikke foretages.

  • Safe Harbor-ordningen blev etableret i 1998 for, at amerikanske selskaber kunne leve op til EU's databeskyttelsesdirektiv.

  • Det amerikanske handelsministerium forhandlede principperne på plads med EU-Kommissionen med henblik på at undgå individuelle databehandleraftaler, når europæiske persondata skulle gemmes på amerikanske servere.

  • EU besluttede i 2000, at amerikanske selskaber, som fulgte Safe Harbor-principperne, kunne sende data over Atlanterhavet.

  • Imidlertid såede generaladvokaten for EU-Domstolen tvivl om ordningen, hvorefter EU-Domstolen erklærede aftalen for ugyldig i oktober 2015.

  • Indtil en ny Safe Harbor-ordning evt. kommer på plads, er det de enkelte EU-landes datatilsyn, der skal sikre, at europæiske persondata lever op til bestemmelserne i EU's databeskyttelsesdirektiv, uanset hvor de opbevares.

Men når det sker, er det tvivlsomt, om virksomhederne kan nøjes med en standardkontrakt.

»Hvis man læser dommen, så er det vanskeligt at se andet, end at den også får betydning for andre typer af overførsler af persondata end Safe Harbor og til andre lande end USA,« konstaterer professor Henrik Udsen, der leder Københavns Universitets Center for Informations- og Innovationsret.

Vanskeligheder ved verdens største cloududbydere

I yderste konsekvens kan det gøre det meget vanskeligt, grænsende til umuligt, for europæiske virksomheder at benytte verdens klart største og mest udbrede cloudtjenester.

Konsekvenserne af det vil være helt uoverskuelige, hvilket er grunden til, at Henrik Udsen tager et forbehold.

»Vi kan ikke lukke hele verden af, for så vidt gælder overførsel af personoplysninger. Derfor mangler der en løsning, og den er dybest set politisk. Så længe den ikke er der, bliver det datatilsynene, der prøver at udrede området. De skal samtidig tage hensyn til, at verden skal gå videre, men hvordan de kan forene det med at leve op til dommen i Facebook-sagen, er vanskeligt at spå om,« siger juraprofessoren.

Version2 ville gerne have haft Datatilsynets svar på, om det kan lade sig gøre fortsat at sende data til USA, hvis blot virksomhederne skifter kontraktform, når EU-Domstolen finder dem for dårligt beskyttet mod myndigheder og efterretningstjenester.

Kontorchef Lena Andersen ønsker ikke at blive interviewet om emnet, men henviser til at skrive en mail til tilsynets fælles presseindbakke. Den var der ved deadline ikke kommet svar på.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
8. december 2015 kl. 12:09

Det er lige som der ikke rigtigt er nogen som tror på at dommen vil medføre nogle ændringer. Derfor køre vi bare videre som normalt.

Men når de nye love om 5% bøder af omsætningen kommer ind over, så begynder firma nok at rette ind.

Virksomheder har ikke forstået alvoren, og det er måske rigtigt, tør EU at lukke for alle de store spiller fra USA ?

Hvis EU gør det, så er holdning ved firma som har data i USA, som den mand som har fået skud hele underkroppen af, og stadig ikke har opfattet at han er død.

2
8. december 2015 kl. 10:52

Hvis standard kontrakterne giver samme brede muligheder for indsamling som safe harbour aftalen er de så entlig gyldige??? De standard kontrakter er jo ikke dem som er prøvet i retten som safe harbour aftalen er så gyldigheden tvivler jeg på. Jeg har forsøgt at få dette afklaret flere steder og det virker som om efter dommen at ingen tør rører ved sagen.

1
8. december 2015 kl. 10:17

Jeg kan være naiv eller uinformeret, men for mig at se er det da en af de gange hvor EU virker? USA giver myndigheder mm for store beføjelser til at se data, og det er ulovligt under EU. Så må de amerikanske udbydere, der vil sælge til Europæere, lægge pres på deres egen regering, for at ændre regler og praksis. Det er vel ikke EU, der er problemet her? Man kunne håbe, at et europæisk selskab kunne bruge chancen til at slå sig op som EU-cloud-udbyder, og vokse sig stort nok til at kunne tilbyde samme stordriftsfordele?