Schrems II - En opfølgning

Jeg skrev kort efter ferien et blogindlæg om den såkaldte Schrems II-sag, og afsluttede indlægget med at love en opfølgning. Og selvom myndighederne stadig skylder os en del svar, vil jeg i dette indlæg forsøge at samle op på, hvad dommen betyder i praksis i forskellige scenarier.

Kort opsamling på sagen

Jeg vil henvise til mit første indlæg ift. et kort referat af sagen og dens historik, og på dette sted nøjes med at fremhæve nogle centrale konklusioner:

• Sagen er, jf. mit første indlæg, relevant for stort set alle myndigheder, virksomheder og foreninger.

• Afgørelsen gør, med øjeblikkelig virkning, særordningen for overførsel af personoplysninger til US-virksomheder, kaldet Privacy Shield, ugyldig.

• De øvrige "lovlige overførselsgrundlag" for eksport af data ud af EU kan fortsat anvendes, MEN afgørelsen hæver baren for, hvor stor en aktiv indsats (due diligence) det kræver af de involverede aktører.

• Konkret ift. de mest anvendte overførselsgrundlag, standardkontrakter/SCC'er, fremhæves forpligtelsen til at foretage en konkret vurdering i hvert eneste tilfælde, herunder af lovgivningen i det land, som data “eksporteres” til.

• Baren er således hævet ift. alle overførsler ud af EU, men særligt ift. USA medfører EU-Domstolens konkrete bemærkninger, at det som altovervejende udgangspunkt kræver noget "ekstra" ("supplementary measures") at overføre til US-virksomheder.

• De nye og skærpede forpligtelser er relevante for både dataansvarlige og databehandlere, jf. dommens præmis 134.

En diamant med mange facetter

Da jeg skrev mit første indlæg, skrev jeg det ud fra et IT-retligt perspektiv, dvs. de spørgsmål der opstår, når teknologien udvikler sig hurtigere end lovgivningen. Men de mange kommentarer til indlægget, har gjort det klart for mig, at dommen kan anskues fra rigtig mange forskellige vinkler.

Den idealistiske vinkel

Den første og den primære er det perspektiv, som manden, der ligger navn til sagen, har gjort sig til fortaler for: Max Schrems, og hans organisation NOYB, fejrer naturligvis dommen som en sejr for databeskyttelsen. Folk med dette synspunkt lægger således bl.a. vægt på, at tredjelandsoverførsler længe har været en ren papirøvelse uden nogen for realitet bag, og i det lys er dommen utvivlsomt et skridt i den rigtige retning.

Den menneskeretlige vinkel

I forlængelse heraf, men som et ekstra "lag", kan man også anskue dommen fra en menneskeretlig vinkel: Alle ved, at vi i EU har strengere databeskyttelsesregler end fx i USA, men tænker måske ikke så meget over, at der også er markante forskelle i den helt grundlæggende menneskeretlige beskyttelse.

USA har, som de fleste andre lande i verden, en vis menneskeretlig beskyttelse af privatliv, men disse regler blev skrevet på et tidspunkt, hvor "privatliv" var noget man havde indenfor hjemmets fire vægge. Det samme gælder i øvrigt for den danske grundlov.

I EU er vi derimod gået skridtet længere, og har ophøjet "Beskyttelse af personoplysninger" til en grundlæggende rettighed i kraft af EU charterets artikel 8, og en række af EU Domstolens afgørelser vedrørende databeskyttelse er da også afsagt med hjemmel i charteret fremfor direktivet/forordningen, fx i Google Spain-sagen.

Med dette i mente kan man måske bedre forstå, at der nu er opstået en dyb kløft mellem retssystemerne i hhv. EU og USA.

Den politiske vinkel

Der er også en politisk vinkel på sagen: Selvom EU Domstolen jo selvfølgelig ikke træffer politisk motiverede afgørelser (...), så har dommen meget direkte politiske konsekvenser, herunder at den kraftigt understøtter EU's generelle målsætning om at få flere data til at ligge på EU-baserede cloud-tjenester.

Amerikanerne er i hvert ikke begejstrerede for hverken dommen eller EU's generelle tilgang, som de anser for at være en form for "missionering" på linje med middelalderens korsfarer. Den beskyldning er nok ikke helt skæv, når man læser EU's data-strategi:

"...the EU will also actively promote its standards and its values with its partners around the world. It will work in multilateral fora to fight abuses such as the disproportionate access of governments to data, for example access to personal data that is not in line with the EU’s data protection rules. In order to promote the European model around the world, the EU will work with trusted partners sharing the same standards and values, to support others who wish to give their citizens greater control over their data, in line with values they share with Europe."

Det er jo et meget sympatisk budskab - Men min optimisme i forhold til hvor realistisk dette er faldt en del, da jeg opdagede, at Danmarks ukronede databeskyttelses-godfather, professor Peter Blume, kort efter persondata-direktivets vedtagelse i 1991 fremkom med nøjagtig samme budskab (til jurister: U.1991B.56):

"En særlig problemstilling angår dataeksport til 3. lande. Der er tale om et følsomt spørgsmål, fordi restriktive regler på dette område kan opfattes som et tegn på, at EF vælger at opbygge et "fort Europa"... og vil derfor sikkert møde stor modsand fra en række lande, herunder USA... Dette betyder, at en relativ intens international regulering er nødvendig."

Måske USA efter 30 år og underkendelse af først Safe Harbor og nu Privacy Shield og i øvrigt pres fra landets egne tech-virksomheder og med staten Californien som forbillede, nu endelig er ved at være moden til at hæve niveauet for databeskyttelse bare op i nærheden af EU's? Eller måske ikke...

Sidst men ikke mindst beskylder USA også EU for at være hyklerisk, idet de påpeger, at der er flere EU-lande, som ikke vil kunne leve op til den standard, som Domstolen holder USA's efterretnings-regler op i mod. Jeg har ikke indsigt i alle EU-landes efterretningslovgivning, men vil dog fremhæve, at EU-Domstolen også er villig til at slå ned, når EU-medlemsstaters overvågning med henblik på statslig sikkerhed bliver for vidtgående, se fx sagerne om lognings-direktivet, hhv. Digital Rights-sagen og Tele2-sagen.

Den praktiske vinkel

Sidst men ikke mindst er der den praktiske vinkel: Hvad betyder dommen for alle os, der skal forsøge at lovliggøre de (mange!) tredjelandsoverførsler, vi udfører hver eneste dag, herunder ved brug af helt gængse cloud-løsninger. Det er denne vinkel, som jeg vil fokusere på i resten af indlægget.

...

Hvad gør vi nu, lille du?

Mit forslag er, at man tager udgangspunkt i de fem faser, som Datatilsynet generelt anbefaler i deres vejledning om tredjelandsoverførsler, dvs. uafhængigt af Schrems II-sagen:

1. Er der tale om en tredjelandsoverførsel?

Det var et af de emner, jeg behandlede i mit forrige indlæg, og som det fremgår, er svaret ofte "ja", når vi taler cloud-løsninger.

Hvis man ønsker at slippe for Step 2-5, kan man i øvrigt overveje, om man kan finde en alternativ løsning, som ikke indebærer overførsel ud af EU. I praksis er det dog sjældent en reel mulighed.

2. Er overførslen ud af EU i overensstemmelse med GDPR's generelle krav?

Hvis der er tale om en overførsel ud af EU, skal man sikre sig, at en sådan overførsel overholder forordningens generelle krav. Typiske eksempler herpå er, at hvis det er en leverandør, der overfører oplysningerne ud af EU, så er en databehandleraftale muligvis påkrævet, jf. artikel 28. Eller hvis det er en forsker, der sender data til en forsker-kollega udenfor EU, så kræver dette et lovligt behandlingsgrundlag, jf. art. 6 og 9 osv.

3. Sker overførslen til et sikkert tredjeland?

Hvis det land man overfører til, er på listen over lande godkendt af EU-Kommissionen, så behøver man ikke at opfylde yderligere særkrav for den pågældende overførsel.

4. og 5. Er et af de lovlige overførselsgrundlag i GDPR artikel 44-50 opfyldt?

Og nu begynder det så at blive lidt langhåret: Forordningens regler om tredjelandsoverførsler sondrer mellem "fornødne garantier" (reguleret i artikel 46-48) og de "singulære overførselsgrundlag" (reguleret i artikel 49). Af pladsmæssige årsager vil jeg nøjes med at fremhæve, at de særlige undtagelser i artikel 49 ikke må anvendes på omfattende og/eller systematiske overførsler, og dermed som udgangspunkt ikke kan lovliggøre brug af cloud-løsninger.

Det efterlader grundlæggende to muligheder: EU-Kommissionens standardkontrakter (SCC'er) og Bindende virksomhedsregler (BCR).

Sidstnævnte er kun relevant for meget store globale koncerner, da det er en ekstremt tung og dyr løsning (pt. er der så vidt vides 8 danske selskaber, der er BCR-godkendt).

Det efterlader så SCC'erne, som med underkendelsen af Privacy Shield formentlig dækker 99% af alle overførsler ud af EU. Men dem må man ifølge EU-Domstolen kun fortsætte med at bruge, hvis "importøren" (dvs. fx en US-cloud leverandør) kan stille fornødne garantier for, at reglerne i dennes hjemland ikke er i modstrid med de forpligtelser, importøren påtager sig ved underskrivelse af SCC'erne. Til EU-Domstolens forsvar skal det påpeges, at dette hele tiden har været en forpligtelse efter ordlyden af SCC'erne - Der er bare ikke mange, der har skænket det en tanke. I det lys synes jeg i øvrigt, at det giver god mening, at Schrems og hans organisation NOYB opfordrer EU-dataansvarlige til at sende en forespørgsel herom til ikke-EU databehandlere - og de har endda lavet skabeloner til formålet. .

Man er altså, og har hele tiden været, forpligtet til at foretage en risikovurdering, når man vælger at benytte SCC'er som grundlag for at sende personoplysninger ud af EU. Ligesom det gælder for alle andre risikovurderinger efter forordningen, er der ingen formkrav, blot man er i stand til at dokumentere sine overvejelser. I denne vurdering kan bl.a. indgå, hvilke data der er tale om, omfanget af dem, hvem der kunne have interesse i dem osv. Eksempelvis vil man ved en sådan risikovurdering nå frem til, at risikoen for uberettiget indgreb er større for statslige myndigheders data end for en grundejerforening. Det kan også være, at leverandøren kan garantere, at man ikke er omfattet af efterretningstjenesters overvågning.

Afhængigt af konklusionen på ens risikovurdering, kan man være forpligtet til at overveje implementering af "supplerende foranstaltninger", jf. ovenfor. Myndighederne har lovet at vende tilbage med mere uddybning herom, men vi har allerede nu set flere forslag, fx fra datatilsynet i Baden-Württemberg, der har fremsat forslag til supplerende krav man kan indsætte i sine SCC'er. Dernæst har mange forslået, at tekniske løsninger kan være vejen frem:

For det første er anonymisering jo altid værd at overveje, og det kan spare en for meget bøvl, i de situationer hvor det er en mulighed. Dernæst spurgte jeg i mit forrige indlæg, i hvilket omfang kryptering kan udgøre en del af løsningen, og konklusionen må være, at der er nogle scenarier, hvor kryptering rent praktisk er realistisk (læs evt. mere her og her), men at det dog fortsat er uafklaret, hvorvidt kryptering rent teknisk forhindrer NSA i at kunne tilgå oplysningerne - Max Schrems selv siger nej..

Nogle vil mene, at ovenstående ikke er tilstrækkeligt, idet man også er forpligtet til at sætte sig ind i modtagerlandets lovgivning, herunder omfanget af og regler for statslig overvågning. Denne konklusion har da også en vis støtte i EU-dommen (fx. præmis 134). Det vil dog efter min opfattelse være et fuldstændig urealistisk krav at stille, og jeg tror derfor personligt, at myndighederne vil strække sig langt for at nå til en anden fortolkning. Jeg hæfter mig da også ved, at Databeskyttelsesrådet/EDPB i deres FAQ om dommen siger følgende:

"Although, as underlined by the Court, it is the primary responsibility of the data exporters and data importers to asses themselves the legalislation of the third country..the SA's [datatilsynene, red.] will also have to play a key role."

Og de skriver i næste sætning, at de selv (EDPB) vil påtage sig en del af ansvaret for at sikre, at der ikke bliver overført til usikre tredjelande. Til støtte for en sådan lempelig fortolkning taler også, at de SCC’er det hele handler om, og som dommen fortolker ordlyden af, ikke lægger op til et dybdegående analyse af landes lovgivning, men alene at ”data importer” erklærer, at "has no reason to believe", at sådanne regler vil medfører krænkelser af EU’s databeskyttelsesregler.

Opsamling og fremtidsperspektiver

Som det fremgår, er der fortsat uafklarede spørgsmål, men heldigvis er der en række tiltag og opdateringer undervejs:

• Databeskyttelsesrådet og det danske Datatilsyn har lovet at vende tilbage med mere vejledning, herunder om hvad de "supplerende foranstaltninger" kan bestå i.

• EU og USA er gået i gang med at forhandle en ny aftale (3. gang er lykkens gang?)

• EU-Kommissionen var allerede inden Schrems II igang med at opdatere SCC'erne, og dommens konsekvenser bliver derfor nok indarbejdet i de nye udgaver.

• Hovedsagen, som har ført til EU-Domstolens dom, var anlagt mod Facebook, og det er derfor i første række dem, der bliver ramt af afgørelsen. Schrems og NOYB har da også allerede rykket det Irske datatilsyn ift. at tvinge Facebook til at stoppe overførsler til USA, men foreløbigt er der ingen endelig stillingtagen fra den front.

• Schrems II kommer i øvrigt kort tid efter, at EDPS (EU institutionernes egen databeskyttelses-vagthund) har udtalt sig om institutionernes brug af Microsoft som leverandør, , og her opfordrer EDPS bl.a. Komissionen, Parlamentet mv. til at stille krav til Microsoft om at informere ved enhver indgriben fra US-myndighedernes side og i øvrigt kræve årlige opdateringer fra Microsoft på dette emne også.

• NOYB (Schrems' organisation) har allerede sendt klager over 101 konkrete EU-hjemmesider, som bruger fx Google Analytics og Facebook-plugins. . Heriblandt er der også indgivet klager til det danske Datatilsyn over danske virksomheder.

• Sidst men ikke mindst var der i går (d. 3/9) var en høring om sagen i EU-Parlamentet, hvor mange af ovennævnte aktører diskuterede sagen og mulige løsninger, herunder bl.a. EU-Kommissionen, Databeskyttelsesrådet, Max Schrems selv og det irske datatilsyn.

Nogen (fx Max Schrems) vil nok påpege, at vi juridisk set ikke bare kan sætte os ned og vente på at der kommer en gylden løsning på et sølvfad. Og min anbefaling er da også, at man allerede nu går de ovenfor foreslåede step 1-5 igennem - også fordi der er tale om nogle skridt, man var forpligtet til at tage allerede inden Schrems II.

Jeg kan oplyse, at jeg bad vores (Focus Advokaters) persondata-koordinator gennemgå vores tredjelandsoverførsler, hvorved vi bl.a. har identificeret 3 udenlandske og 8 danske SaaS-leverandører, der hoster data hos enten AWS eller Azure (+ i nogle tilfælde yderligere udenlandske underdatabehandlere), hvoraf de fleste er baseret på SCC'er, men dog nogle enkelte på Privacy Shield. Sidstnævnte er vi selvfølgelig nødsaget til at reagere på allerede nu, i første omgang blot med en høflig henvendelse til vores kontraktpart, der (via underleverandører) benytter Privacy Shield.

Det efterlader så den sidste store gruppe, hvor data i sidste ende primært ligger hos Amazon eller Microsoft. Her er vi ved at forberede udsendelse af NOYB´s spørgeskemaer, som så i sidste ender lander hos de to tech-giganter (som jo i forvejen er forpligtet til at finde en løsning efter de SCC'er, som de selv har valgt at bruge som overførselsgrundlag).

Tech-giganterne bør dog ikke stå alene med denne opgave: Eftersom tilsynmyndighederne bruger mange af de samme cloud-løsninger, som vi andre gør, bør de efter min opfattelse også gå forrest ift. at afklare lovlige grundlag for fortsat anvendelse af disse løsninger, og oplyse hvordan de har tænkt sig at lovliggøre deres brug af fx Office 365, Zoom, Google Analytics, HR Manager, MailChimp, DocuSign osv osv.

Fortsættelse følger...