jesper løffler

Schrems II - En opfølgning

Jeg skrev kort efter ferien et blogindlæg om den såkaldte Schrems II-sag, og afsluttede indlægget med at love en opfølgning. Og selvom myndighederne stadig skylder os en del svar, vil jeg i dette indlæg forsøge at samle op på, hvad dommen betyder i praksis i forskellige scenarier.

Kort opsamling på sagen

Jeg vil henvise til mit første indlæg ift. et kort referat af sagen og dens historik, og på dette sted nøjes med at fremhæve nogle centrale konklusioner:

  • Sagen er, jf. mit første indlæg, relevant for stort set alle myndigheder, virksomheder og foreninger.

  • Afgørelsen gør, med øjeblikkelig virkning, særordningen for overførsel af personoplysninger til US-virksomheder, kaldet Privacy Shield, ugyldig.

  • De øvrige "lovlige overførselsgrundlag" for eksport af data ud af EU kan fortsat anvendes, MEN afgørelsen hæver baren for, hvor stor en aktiv indsats (due diligence) det kræver af de involverede aktører.

  • Konkret ift. de mest anvendte overførselsgrundlag, standardkontrakter/SCC'er, fremhæves forpligtelsen til at foretage en konkret vurdering i hvert eneste tilfælde, herunder af lovgivningen i det land, som data “eksporteres” til.

  • Baren er således hævet ift. alle overførsler ud af EU, men særligt ift. USA medfører EU-Domstolens konkrete bemærkninger, at det som altovervejende udgangspunkt kræver noget "ekstra" ("supplementary measures") at overføre til US-virksomheder.

  • De nye og skærpede forpligtelser er relevante for både dataansvarlige og databehandlere, jf. dommens præmis 134.

En diamant med mange facetter

Da jeg skrev mit første indlæg, skrev jeg det ud fra et IT-retligt perspektiv, dvs. de spørgsmål der opstår, når teknologien udvikler sig hurtigere end lovgivningen. Men de mange kommentarer til indlægget, har gjort det klart for mig, at dommen kan anskues fra rigtig mange forskellige vinkler.

Den idealistiske vinkel

Den første og den primære er det perspektiv, som manden, der ligger navn til sagen, har gjort sig til fortaler for: Max Schrems, og hans organisation NOYB, fejrer naturligvis dommen som en sejr for databeskyttelsen. Folk med dette synspunkt lægger således bl.a. vægt på, at tredjelandsoverførsler længe har været en ren papirøvelse uden nogen for realitet bag, og i det lys er dommen utvivlsomt et skridt i den rigtige retning.

Den menneskeretlige vinkel

I forlængelse heraf, men som et ekstra "lag", kan man også anskue dommen fra en menneskeretlig vinkel: Alle ved, at vi i EU har strengere databeskyttelsesregler end fx i USA, men tænker måske ikke så meget over, at der også er markante forskelle i den helt grundlæggende menneskeretlige beskyttelse.

USA har, som de fleste andre lande i verden, en vis menneskeretlig beskyttelse af privatliv, men disse regler blev skrevet på et tidspunkt, hvor "privatliv" var noget man havde indenfor hjemmets fire vægge. Det samme gælder i øvrigt for den danske grundlov.

I EU er vi derimod gået skridtet længere, og har ophøjet "Beskyttelse af personoplysninger" til en grundlæggende rettighed i kraft af EU charterets artikel 8, og en række af EU Domstolens afgørelser vedrørende databeskyttelse er da også afsagt med hjemmel i charteret fremfor direktivet/forordningen, fx i Google Spain-sagen.

Med dette i mente kan man måske bedre forstå, at der nu er opstået en dyb kløft mellem retssystemerne i hhv. EU og USA.

Den politiske vinkel

Der er også en politisk vinkel på sagen: Selvom EU Domstolen jo selvfølgelig ikke træffer politisk motiverede afgørelser (...), så har dommen meget direkte politiske konsekvenser, herunder at den kraftigt understøtter EU's generelle målsætning om at få flere data til at ligge på EU-baserede cloud-tjenester.

Amerikanerne er i hvert ikke begejstrerede for hverken dommen eller EU's generelle tilgang, som de anser for at være en form for "missionering" på linje med middelalderens korsfarer. Den beskyldning er nok ikke helt skæv, når man læser EU's data-strategi:

"...the EU will also actively promote its standards and its values with its partners around the world. It will work in multilateral fora to fight abuses such as the disproportionate access of governments to data, for example access to personal data that is not in line with the EU’s data protection rules. In order to promote the European model around the world, the EU will work with trusted partners sharing the same standards and values, to support others who wish to give their citizens greater control over their data, in line with values they share with Europe."

Det er jo et meget sympatisk budskab - Men min optimisme i forhold til hvor realistisk dette er faldt en del, da jeg opdagede, at Danmarks ukronede databeskyttelses-godfather, professor Peter Blume, kort efter persondata-direktivets vedtagelse i 1991 fremkom med nøjagtig samme budskab (til jurister: U.1991B.56):

"En særlig problemstilling angår dataeksport til 3. lande. Der er tale om et følsomt spørgsmål, fordi restriktive regler på dette område kan opfattes som et tegn på, at EF vælger at opbygge et "fort Europa"... og vil derfor sikkert møde stor modsand fra en række lande, herunder USA... Dette betyder, at en relativ intens international regulering er nødvendig."

Måske USA efter 30 år og underkendelse af først Safe Harbor og nu Privacy Shield og i øvrigt pres fra landets egne tech-virksomheder og med staten Californien som forbillede, nu endelig er ved at være moden til at hæve niveauet for databeskyttelse bare op i nærheden af EU's? Eller måske ikke...

Sidst men ikke mindst beskylder USA også EU for at være hyklerisk, idet de påpeger, at der er flere EU-lande, som ikke vil kunne leve op til den standard, som Domstolen holder USA's efterretnings-regler op i mod. Jeg har ikke indsigt i alle EU-landes efterretningslovgivning, men vil dog fremhæve, at EU-Domstolen også er villig til at slå ned, når EU-medlemsstaters overvågning med henblik på statslig sikkerhed bliver for vidtgående, se fx sagerne om lognings-direktivet, hhv. Digital Rights-sagen og Tele2-sagen.

Den praktiske vinkel

Sidst men ikke mindst er der den praktiske vinkel: Hvad betyder dommen for alle os, der skal forsøge at lovliggøre de (mange!) tredjelandsoverførsler, vi udfører hver eneste dag, herunder ved brug af helt gængse cloud-løsninger. Det er denne vinkel, som jeg vil fokusere på i resten af indlægget.

...

Hvad gør vi nu, lille du?

Mit forslag er, at man tager udgangspunkt i de fem faser, som Datatilsynet generelt anbefaler i deres vejledning om tredjelandsoverførsler, dvs. uafhængigt af Schrems II-sagen:

1. Er der tale om en tredjelandsoverførsel?

Det var et af de emner, jeg behandlede i mit forrige indlæg, og som det fremgår, er svaret ofte "ja", når vi taler cloud-løsninger.

Hvis man ønsker at slippe for Step 2-5, kan man i øvrigt overveje, om man kan finde en alternativ løsning, som ikke indebærer overførsel ud af EU. I praksis er det dog sjældent en reel mulighed.

2. Er overførslen ud af EU i overensstemmelse med GDPR's generelle krav?

Hvis der er tale om en overførsel ud af EU, skal man sikre sig, at en sådan overførsel overholder forordningens generelle krav. Typiske eksempler herpå er, at hvis det er en leverandør, der overfører oplysningerne ud af EU, så er en databehandleraftale muligvis påkrævet, jf. artikel 28. Eller hvis det er en forsker, der sender data til en forsker-kollega udenfor EU, så kræver dette et lovligt behandlingsgrundlag, jf. art. 6 og 9 osv.

3. Sker overførslen til et sikkert tredjeland?

Hvis det land man overfører til, er på listen over lande godkendt af EU-Kommissionen, så behøver man ikke at opfylde yderligere særkrav for den pågældende overførsel.

4. og 5. Er et af de lovlige overførselsgrundlag i GDPR artikel 44-50 opfyldt?

Og nu begynder det så at blive lidt langhåret: Forordningens regler om tredjelandsoverførsler sondrer mellem "fornødne garantier" (reguleret i artikel 46-48) og de "singulære overførselsgrundlag" (reguleret i artikel 49). Af pladsmæssige årsager vil jeg nøjes med at fremhæve, at de særlige undtagelser i artikel 49 ikke må anvendes på omfattende og/eller systematiske overførsler, og dermed som udgangspunkt ikke kan lovliggøre brug af cloud-løsninger.

Det efterlader grundlæggende to muligheder: EU-Kommissionens standardkontrakter (SCC'er) og Bindende virksomhedsregler (BCR).

Sidstnævnte er kun relevant for meget store globale koncerner, da det er en ekstremt tung og dyr løsning (pt. er der så vidt vides 8 danske selskaber, der er BCR-godkendt).

Det efterlader så SCC'erne, som med underkendelsen af Privacy Shield formentlig dækker 99% af alle overførsler ud af EU. Men dem må man ifølge EU-Domstolen kun fortsætte med at bruge, hvis "importøren" (dvs. fx en US-cloud leverandør) kan stille fornødne garantier for, at reglerne i dennes hjemland ikke er i modstrid med de forpligtelser, importøren påtager sig ved underskrivelse af SCC'erne. Til EU-Domstolens forsvar skal det påpeges, at dette hele tiden har været en forpligtelse efter ordlyden af SCC'erne - Der er bare ikke mange, der har skænket det en tanke. I det lys synes jeg i øvrigt, at det giver god mening, at Schrems og hans organisation NOYB opfordrer EU-dataansvarlige til at sende en forespørgsel herom til ikke-EU databehandlere - og de har endda lavet skabeloner til formålet. .

Man er altså, og har hele tiden været, forpligtet til at foretage en risikovurdering, når man vælger at benytte SCC'er som grundlag for at sende personoplysninger ud af EU. Ligesom det gælder for alle andre risikovurderinger efter forordningen, er der ingen formkrav, blot man er i stand til at dokumentere sine overvejelser. I denne vurdering kan bl.a. indgå, hvilke data der er tale om, omfanget af dem, hvem der kunne have interesse i dem osv. Eksempelvis vil man ved en sådan risikovurdering nå frem til, at risikoen for uberettiget indgreb er større for statslige myndigheders data end for en grundejerforening. Det kan også være, at leverandøren kan garantere, at man ikke er omfattet af efterretningstjenesters overvågning.

Afhængigt af konklusionen på ens risikovurdering, kan man være forpligtet til at overveje implementering af "supplerende foranstaltninger", jf. ovenfor. Myndighederne har lovet at vende tilbage med mere uddybning herom, men vi har allerede nu set flere forslag, fx fra datatilsynet i Baden-Württemberg, der har fremsat forslag til supplerende krav man kan indsætte i sine SCC'er. Dernæst har mange forslået, at tekniske løsninger kan være vejen frem:

For det første er anonymisering jo altid værd at overveje, og det kan spare en for meget bøvl, i de situationer hvor det er en mulighed. Dernæst spurgte jeg i mit forrige indlæg, i hvilket omfang kryptering kan udgøre en del af løsningen, og konklusionen må være, at der er nogle scenarier, hvor kryptering rent praktisk er realistisk (læs evt. mere her og her), men at det dog fortsat er uafklaret, hvorvidt kryptering rent teknisk forhindrer NSA i at kunne tilgå oplysningerne - Max Schrems selv siger nej..

Nogle vil mene, at ovenstående ikke er tilstrækkeligt, idet man også er forpligtet til at sætte sig ind i modtagerlandets lovgivning, herunder omfanget af og regler for statslig overvågning. Denne konklusion har da også en vis støtte i EU-dommen (fx. præmis 134). Det vil dog efter min opfattelse være et fuldstændig urealistisk krav at stille, og jeg tror derfor personligt, at myndighederne vil strække sig langt for at nå til en anden fortolkning. Jeg hæfter mig da også ved, at Databeskyttelsesrådet/EDPB i deres FAQ om dommen siger følgende:

"Although, as underlined by the Court, it is the primary responsibility of the data exporters and data importers to asses themselves the legalislation of the third country..the SA's [datatilsynene, red.] will also have to play a key role."

Og de skriver i næste sætning, at de selv (EDPB) vil påtage sig en del af ansvaret for at sikre, at der ikke bliver overført til usikre tredjelande. Til støtte for en sådan lempelig fortolkning taler også, at de SCC’er det hele handler om, og som dommen fortolker ordlyden af, ikke lægger op til et dybdegående analyse af landes lovgivning, men alene at ”data importer” erklærer, at "has no reason to believe", at sådanne regler vil medfører krænkelser af EU’s databeskyttelsesregler.

Opsamling og fremtidsperspektiver

Som det fremgår, er der fortsat uafklarede spørgsmål, men heldigvis er der en række tiltag og opdateringer undervejs:

Nogen (fx Max Schrems) vil nok påpege, at vi juridisk set ikke bare kan sætte os ned og vente på at der kommer en gylden løsning på et sølvfad. Og min anbefaling er da også, at man allerede nu går de ovenfor foreslåede step 1-5 igennem - også fordi der er tale om nogle skridt, man var forpligtet til at tage allerede inden Schrems II.

Jeg kan oplyse, at jeg bad vores (Focus Advokaters) persondata-koordinator gennemgå vores tredjelandsoverførsler, hvorved vi bl.a. har identificeret 3 udenlandske og 8 danske SaaS-leverandører, der hoster data hos enten AWS eller Azure (+ i nogle tilfælde yderligere udenlandske underdatabehandlere), hvoraf de fleste er baseret på SCC'er, men dog nogle enkelte på Privacy Shield. Sidstnævnte er vi selvfølgelig nødsaget til at reagere på allerede nu, i første omgang blot med en høflig henvendelse til vores kontraktpart, der (via underleverandører) benytter Privacy Shield.

Det efterlader så den sidste store gruppe, hvor data i sidste ende primært ligger hos Amazon eller Microsoft. Her er vi ved at forberede udsendelse af NOYB´s spørgeskemaer, som så i sidste ender lander hos de to tech-giganter (som jo i forvejen er forpligtet til at finde en løsning efter de SCC'er, som de selv har valgt at bruge som overførselsgrundlag).

Tech-giganterne bør dog ikke stå alene med denne opgave: Eftersom tilsynmyndighederne bruger mange af de samme cloud-løsninger, som vi andre gør, bør de efter min opfattelse også gå forrest ift. at afklare lovlige grundlag for fortsat anvendelse af disse løsninger, og oplyse hvordan de har tænkt sig at lovliggøre deres brug af fx Office 365, Zoom, Google Analytics, HR Manager, MailChimp, DocuSign osv osv.

Fortsættelse følger...

Relateret indhold

Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Bjarne Nielsen

De tre links om kryptering taler så vidt jeg kan se om to forskellige ting: "at rest" og "in transit".

Schrems har helt ret i, at "in transit" kryptering er helt utilstrækkeligt, og det er næsten altid kun det, som der menes, når man siger "kryptering". Det figenblad skjuler ikke noget.

Det svarer lidt til at sige, at pengetransporterne sker med bevæbnet vagt og i panservogne, men behændigt glemme, at "bankboksen" er et skur uden hængelås ud til vejen i et øde industrikvarter.

En hurtig læsning af de andre links tyder på, at de faktisk i en eller anden form (prøver at) adressere "at rest" kryptering. Her bliver det langhåret, og der faktisk ikke nogle praktiske og udbredte stor-skala løsninger, medmindre "at rest" bliver taget helt bogstaveligt.

I samme øjeblik at man vil have behandlet sine data hos leverandøren, så er Fanden løs i Laksegade. Og der er ikke meget ved skyen, hvis man alligevel skal lave alting selv og hos sig selv.

Skal vi tage bank-analogien en tand videre, så hjælper det ikke noget, at banken har super-sikker bankboks, hvis man er nødt til at lade dem have en nøgle selv, så de kan gå i boksen for at lave det arbejde, som man gerne vil have gjort. Det vil kræve ordentlig stor tillid.

En tillid (og en garanti), som er yderst vanskelig at etablere, når lokal lovgivning pålægger dem at lave de nødvendige kopier af nøglen til staten, samt nøglen til bagdøren og alarmsystemet, så staten selv kan lukke sig ind og ud som det passer dem, OG kan pålægge banken ikke at fortælle om det.

  • 8
  • 0
#2 Bjarne Nielsen

... hvor "privatliv" var noget man havde indenfor hjemmets fire vægge

Ikke kun. F.eks. har brevhemmelighed længe været en ting. Det brød noget sammen da telefoni blev en ting, men det er stadig et yderst relevant tema, se f.eks. denne aktuelle sag: https://edri.org/keep-private-communications-private/ (og suk! hvorfor skal det være så svært at linke til artikler på EDRi's forside ... overskriften er et skjult link, "copy link" giver bare et link tilbage til forsiden selv).

... dvs. de spørgsmål der opstår, når teknologien udvikler sig hurtigere end lovgivningen.

Der sker hele tiden. Hastighedsgrænser opstod som svar på nye muligheder (selvom der eftersigende også fandtes hastighedsgrænser for hestevogne i nogle byer).

Eller hele den debat om bilers sikkerhed, som der i høj grad blev sat skub i med Ralph Naders bog "Unsafe at any speed". Datiden 'techgiganter' argumenterede vist også for, at sikkerhed var urimeligt dyrt, ja, nærmest umuligt, og at det ville hæmme innovation, og at faktisk var det slet ikke noget, som kunderne var interesseret i.

Og her bør reaktionen ikke være "pokkers, så må vil tillade alt, også selvom det godt nok er farligt", men derimod at sætte en så lav grænse, at det er åbenlyst er sikkert. Så er der også en fælles interesse om at finde sikre alternativer, hvad der ikke er, hvis alt er tilladt, mens man tænker sig om.

Det var også helt umuligt at finde alternativer til glødepærer, indtil man blev tvunget til det.

Amerikanerne er i hvert ikke begejstrerede for hverken dommen eller EU's generelle tilgang, som de anser for at være en form for "missionering" på linje med middelalderens korsfarer.

Tja, det er nok ganske udbredt at parterne i en tvist sådan set alle synes at de selv har ret, og at alle de andre bare skal rette ind. Sådan har jeg det også :-).

Det er vores fest, vi betaler gildet, og vi bestemmer musikken, og hvem vi vil invitere (og de bestemmer så selv, om det er en fest, som de vil være med i). Den er sådan set ikke længere end det. Se mig græde, når de står udenfor og piver over, at 'deres' fest er ødelagt, og at de ikke længere er velkomne, sålænge de sælger stoffer.

Og 'Bruxelles effekten' er faktisk et begreb: https://en.wikipedia.org/wiki/Brussels_effect

Det begreb kan med en vis ret tilskrives Anu Bradford, og det med en venligt nik til den tilsvarende "Californiens effekten". Der er endda en bog om emnet: Anu Bradford, "The Brussels Effect: How the European Union Rules the World", ISBN: 9780190088583.

  • 8
  • 0
Log ind eller Opret konto for at kommentere