Selvom Ursula von der Leyen, formand for EU-Kommissionen, i slutningen af marts annoncerede en ny data-aftale med USA, er det ikke sikkert, den kan modstå en udfordring fra privacy-aktivisten Max Schrems.
Det indrømmer Alisa Vekeman, policy officer i EU-Kommissionen og en af de personer, som har været primus motor på forhandlingerne med amerikanerne det sidste års tid.
Erkendelsen kommer fra scenen på Version2’s V2 Security-konference, som hun gæstede torsdag. Efter et oplæg, hvor hun åbner op for detaljer fra forhandlingsbordet, svarer Alisa på, om hun med sikkerhed kan sige, at den nye aftale kan modstå en Schrems III-udfordring:
»Selvfølgelig kan vi aldrig være 100 procent sikre. Vi ved, at den vil blive bragt for EU-Domstolen igen. Det tror jeg, vi kan være 99,9 procent sikre på, og dér vil domstolen afgøre, hvorvidt den er tilstrækkelig eller ej. Så kan vi være helt sikre: Nej. Men vi tror, at det, vi har forhandlet os frem til, lever op til domstolens krav.«
Uden vished fra forhandlerne selv, fortsætter usikkerheden omkring dataoverførsler til USA, som har været til stede siden sommeren 2020, hvor EU-Domstolen afgjorde Schrems II-Dommen.
I oktober 2015 underkendte EU-Domstolen 'Safe Harbor'-aftalen mellem EU og USA med Schrems I-dommen. Hurtigt efter indgik de to parter endnu en aftale, Privacy Shield, europæiske virksomheder brugte som overførselsgrundlag til USA de næste fem år.
I sommeren 2020 afgjorde EU-Domstolen Schrems II-sagen, der endte med, at overførselsgrundlaget Privacy Shield blev underkendt. Før afgørelsen havde europæiske virksomheder benyttet Privacy Shield til blandt andet at bruge amerikansk cloud lovligt.
Nu må virksomhederne i stedet bruge standardkontrakter med supplerende foranstaltninger, og det er en meget svær opgave at finde foranstaltninger, der er gode nok til at gøre persondataoverførsler til USA lovlige.
Det har skabt en frustration hos mange, der står i et dilemma: Skal man trække stikket på sin amerikanske cloud-leverandør for at overholde loven? Eller skal man i stedet vente på, at EU-Kommissionen laver en ny aftale, så man lovligt kan køre videre med amerikansk cloud og andre persondataoverførsler til USA?
Den nye aftale skal danne grundlag for, at europæiske virksomheder og myndigheder igen kan sende persondata til amerikanske virksomheder på lovlig vis, eksempelvis når de bruger de store cloud-leverandører.
Men aftalen er endnu ikke er skrevet ned, og en skepsis er allerede begyndt at vokse – både blandt aktivister, men også hos en anerkendt professor i persondataret.
Skepsis vokser
Men først manden, der lægger navn til hele miseren.
Dagen før Alisa Vekemans præsentation gæstede Max Schrems, privacy-aktivist og grundlægger af organisationen ‘None of Your Business’ (noyb), V2 Security-konferencen.
I godt 35 minutter gik han frem og tilbage på messens største scene og fortalte bramfrit om, hvor lidt han tror på den nye aftale fra EU-Kommissionen:
»Det er ikke behandlet endnu, så den endelige tekst er stadig ukendt. Men min formodning er, at det bliver noget skrald,« siger han.
»Jeg fik specifikt at vide, at der ikke vil være reelle ændringer i USAs lov, de vil bare skrive proportionalitet ind og ikke tage det seriøst overhovedet.«
Illustration: Rie Neuchs.
Han uddyber, at aftalen kommer til at være en kopi af den gamle Privacy Shield, og så tilføjer man en såkaldt ‘executive order’ og en ‘domstol’, der skal give EU-borgere mulighed for at klage over en unødvendig og ikke-proportionel databehandling i USA.
Den amerikanske overvågningslovgivning, FISA 702, giver nemlig amerikanske efterretningstjenester en adgang til data, som i EU-domstolens øjne ikke er demokratisk. Og den trumfer en executive order, så hvis en officer hos NSA vælger at bryde de regler, præsidenten har vedtaget med en ordre, kan EU-borgeren ikke gøre noget ved det.
FISA 702 er en amerikansk lovgivning, der giver amerikanske efterretningstjenester lov til at kigge såkaldte 'electronic communication providers' over skulderen for at se, hvilken persondata, de har liggende. Cloud-leverandører i USA hører til i den kategori.
Executive order 12333 »gør det muligt for NSA at få adgang til oplysninger, der er i »transit« til USA, ved at tilgå de undersøiske kabler, der ligger på havbunden i Atlanterhavet, og at indsamle og opbevare disse oplysninger, før de når til USA og dér bliver undergivet FISA’s bestemmelser,« står der i betragtning 63 i Schrems II-dommen.
Cloud Act giver amerikanske myndigheder ret til at anmode amerikanske virksomheder om at udlevere data, uanset hvor i verden den er opbevaret.
Max Schrems dumpede igen den nye aftale, da han en time senere stod ved siden af Henrik Udsen, professor i persondataret ved Københavns Universitet, på en af konferencens andre scener.
De to skulle diskutere problemet med amerikansk cloud, som også udspringer af Schrems II-Dommen. Snakken var knap nok gået i gang, før professoren sagde, at også han er skeptisk overfor den nye aftale.
Når der ikke er lagt op til, at USA ændrer sin lovgiving, har han nemlig svært ved at se, hvordan en solid tilstrækkelighedsvurdering skal kunne lade sig gøre. Men han understreger også, at det endnu er for tidligt at vide noget med sikkerhed.
Illustration: Rie Neuchs.
Det handler om målet, ikke midlet
Selvom ingen kender den kommende aftales præcise indhold endnu, har det primære fokus i forhandlingerne været på at begrænse amerikanske myndigheders behandling af EU-borgeres data til at være ‘nødvendig og proportional', ifølge Alisa Vekeman.
Det var et af de konkrete krav fra EU-Domstolen efter Schrems II-dommen, som betyder, at EU-Kommissionen kun kan erklære USA for et sikkert tredjeland, når landets efterretningstjenester ved lov skal begrænse dataindsamlingen og -behandlingen til, hvad der er nødvendigt for den nationale sikkerhed. Her mener Alisa Vekeman, at en executive order rækker:
»Jeg ved godt, at eksempelvis Max Schrems og andre har udtrykt en skepsis over, hvorvidt et middel som en executive order er tilstrækkelig. [Han] siger eksempelvis, at der skal være en ændring i amerikansk lovgivning,« fortæller hun fra konference-scenen og fortsætter:
»Vores tilgang har altid været, at det ikke handler om midlet, vi bruger. Det handler om resultatet, som vi skal opnå. Hvis det kan gøres med lovgivning, så er det fint. Hvis det kan gøres på en anden måde, så er det også fint.«
Hendes tillid til en executive order hænger sammen med den amerikanske præsidents helt specielle kontrol over efterretningstjenesterne, uddyber hun:
»Præsidenten har en stor magt, og han kan regulere en masse ting – specielt inden for området for den nationale sikkerhed. Der er faktisk dele af national sikkerhedslovgivning i USA, der er reguleret udelukkende af executive orders. Så det er et middel, der bliver brugt, som er bindende, og som kan benyttes til at opnå en masse i det amerikanske retssystem. Så det er derfor, vi tror på, at den vej kan virke,« siger Alisa Vekeman.
Sidste forsøg
Selvom forhandleren tror på aftalen, vil hun ikke lægge hovedet på Schrems III-blokken, og det er blandt andet, fordi der endnu ikke er lavet et udkast til aftalen. Men det kommer til sommer, regner hun med, for lige nu arbejder juristerne i Washington D.C. på at udforme de executive orders, som præsidenten, Joe Biden, skal skrive under på.
Efter EU-Kommissionen har offentliggjort udkastet skal blandt andet Det Europæiske Databeskyttelsesråd (EDPB), som består af samtlige europæiske datatilsyn, kommentere på det.
Alisa Vekeman regner med, at en færdig aftale kan være klar i slutningen af 2022, og så kan virksomheder begynde at tage det i brug til deres amerikanske persondataoverførsler.
Men så snart tilstrækkelighedsvurderingen er gennemført, vil Max Schrems gøre alt i sin magt for at få den forbi EU-Domstolen så hurtigt som muligt. Han formoder, virksomhederne vil kunne bruge Privacy Shield 2.0 i omkring halvandet år, før Schrems III-dommen falder.
Hvis domstolen for tredje gang underkender en data-aftale mellem EU og USA, så kan kommissionen bare prøve én gang til. Og én gang til. Og sådan kan det fortsætte uendeligt, mener privacy-aktivisten.
Men Henrik Udsen er mere skeptisk og vurderer, at hvis kommissionen fejler igen, så kan cirkusset ikke fortsætte. Det samme mener Alisa Vekeman:
»Jeg tror, at hvis dette kommer for domstolen igen, og hvis det bliver underkendt igen, så bliver det meget sværere at have endnu en runde af forsøg på at løse udfordringen. Det er nemlig sandsynligt, at domstolen denne gang vil gå endnu mere detaljeret til værks og sige endnu mere konkret, hvad der specifikt skal til i det amerikanske retssystem, før vi kan få en tilstrækkkelighedsvurdering,« fortæller hun og uddyber:
»Og for at være ærlig, så ved jeg ikke – set med juridiske og politiske øjne – hvor muligt det ville være at prøve igen.«
V2 Security kommer igen til næste år den 10. og 11. maj, hvor prominente medlemmer af it-sikkerheds-verdenen og compliance-universet endnu engang træder op på scenerne.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
