Da jeg kom tilbage på kontoret efter en velfortjent ferie, kunne jeg se på adskillige opdateringer i mit LinkedIn-feed, at EU-Domstolen d. 16. juli traf afgørelse i den såkaldte "Schrems II-sag".
Det er da også en skelsættende sag, der principielt set er relevant for alle danske myndigheder, virksomheder og foreninger - i hvert fald dem, som har data liggende et sted "i skyen" eller på anden måde "overfører" data ud af EU.
Jeg mener, at det er for tidligt at komme med konkrete anbefalinger til handling nu og her, og jeg vil i stedet flyve op i helikopteren og anskue afgørelsen fra højere luftlag: Sagen er nemlig et eksempel på, at det næsten altid går galt, når lovgivere eller dommere forsøger at opsætte landegrænser på internettet.
Kort om Schrems II
Sagens baggrund og afgørelsen
Selvom fokus for dette indlæg vil være mere overordnet, vil jeg indledningsvis kort sætte scenen for sagen:
Sagen hedder "Schrems II", fordi det er den 2. sag anlagt af privatlivsforkæmperen Max Schrems, og i begge sager gik klagen specifikt på Facebook og virksomhedens overførsel af personoplysninger til USA. I den første sag lykkedes det Schrems at få underkendt den daværende særaftale mellem EU og USA kaldet "Safe Habor", og i den seneste sag lykkedes det også for Schrems at få underkendt efterfølgeren til Safe Harbor, kaldet "Privacy Shield".
Underkendelsen har ikke kun betydning for Facebook, men for en lang række US-virksomheder (5.375 US-virksomheder er certificeret under ordningen), og alle disse virksomheder er nu igen sidestillet med virksomheder i andre lande udenfor EU.
Dernæst forholdt Domstolen sig også til lovligheden af et andet overførselsgrundlag i forordningen, nemlig de såkaldte SCC'er (på dansk: EU Kommissionens standardklausuler), som næsten alle de store tech-giganter bruger som "ekstra" overførselsgrundlag oveni Privacy Shield. Det er særligt de nye "krav" til brugen af disse, som mange kommentatorer lægger vægt på og opfordrer til øjeblikkelig handling fra alle berørte danske myndigheder og virksomheder, herunder at tage stilling til de relevante landes lovgivning, myndighedernes overvågning, genforhandling af SCC'er med henblik på at kræve "supplementary measures" osv.
Foreløbige konklusioner
Jeg vil som sagt afholde mig fra at fremsætte endelige konklusioner om, hvad man som dansk dataansvarlig bør gøre, men blot komme med nogle foreløbige konklusioner:
Overordnet mener jeg, at det er forståeligt og positivt, at USA's særaftale bliver underkendt - det var intet andet end "politisk trylleri", hvorved EU-Kommissionen kunne lade som om, at US-virksomheder rent faktisk kan tilbyde samme niveau af beskyttelse som i EU, selvom USA ikke er i nærheden af at blive godkendt som "sikkert tredjeland".
Det er i udgangspunktet også positivt, at EU-Domstolen sætter en stopper for den papirøvelse, som brugen af SCC'er hidtil har været. Afgørelsen er således helt på linje med, at der med vedtagelsen af GDPR også blev indført et princip om "ansvarlighed", som b.la. indebærer, at man som dataansvarlig skal gøre en reel og dokumenteret indsats for at overholde kravene - og altså ikke bare lave nogle dokumenter, lægge dem i skuffen og glemme alt om dem.
Men, efter min opfattelse giver det absolut ingen mening, at danske myndigheder, virksomheder og foreninger skal forholde sig til tilstrækkeligheden af lovgivningen i USA, eller i andre lande for den sags skyld. Jeg mener endda ikke engang, at det er noget, de enkelte nationale Datatilsyn bør bruge ressourcer på at vurdere individuelt, da det klart er en opgave, der hører hjemme i EU's centrale organer, fx EU-Kommissionen og Databeskyttelsesrådet.
Sidstnævnte har da også offentliggjort en foreløbig FAQ, samt varslet mere vejledning. Og parallelt hermed arbejder EU-Kommissionen også på højtryk for at "lappe hullerne", både i form af en i forvejen igangværende revision af SCC'erne samt evt. indlede en ny forhandling med USA om en ny og bedre særaftale.
Som mange kommentatorer også fremhæver, er det svært at komme udenom, at de fleste danske organisationer bør forholde sig til dommens konsekvenser og foretage nødvendige handlinger. Der er utvivlsomt også visse organisationer, som ikke kan undgå dette, og nok også allerede nu bør overveje handlemulighederne.
Det kunne fx være en dansk databehandler, der har indgået SCC'er med en ukrainsk eller indisk underdatabehandler, og hvor man ikke kan forvente at sidstnævnte selv får styr på dommens konsekvenser. For så vidt angår alle andre, herunder "almindelige" dataansvarlige kunder, der direkte eller indirekte benytter store amerikanske databehandlere, har man, som jeg ser det, tre handlemuligheder nu og her:
1) Man kan bruge de kommende uger på at gennemgå sin liste over databehandlere og underdatabehandlere og starte fra en ende af med at kime Microsoft ned og kræve en vurdering af US-lovgivningens konsekvenser for de MS-tjenester, der er underlagt hhv. Privacy Shield og/eller SCC'er, og, afhængigt af svaret, omgående kræve "supplementary measures", fx ændring af deres Online Service Terms, hvori SCC'erne er indarbejdet. Herefter kan man så fortsætte med Amazon, Mailchimp, Dropbox, Slack, Trello osv.
2) Man kan opsige alle de aftaler, som direkte eller indirekte indebærer tredjelandsoverførsler, og (forsøge at) finde rene EU-baserede alternativer.
3) Man kan tage det roligt, og satse på at fornuften sejrer.
Fugleperspektivet: Databeskyttelsesreglerne og landegrænser
Som sagt vil jeg bruge resten af mit indlæg på at sætte afgørelsen ind i en større kontekst, herunder en historisk kontekst ift. databeskyttelsesreglernes og teknologiens udvikling de seneste 30 år. Afgørelsen er således først og fremmest et udtryk for, at EU's databeskyttelsesregler er baseret på en forudsætning om geografisk afgrænsning, nærmere bestemt grænsen rundt om EU.
Særlige krav ved "overførsler til tredjelande"
GDPR er således baseret på et grundlæggende princip om fri bevægelighed for personoplysninger indenfor EU, hvorimod nogle særlige krav skal være opfyldt, hvis man "overfører" oplysninger udenfor EU. Hvis man er interesseret, kan man læse nærmere om de særlige krav i Datatilsynets vejledning om tredjelandsoverførsler.
På overfladen giver ordningen god mening: Alle myndigheder og virksomheder i EU er underlagt de strenge krav i GDPR, hvorimod det samme ikke er tilfældet udenfor EU. I det lys giver det i udgangspunktet god mening at stille særlige krav ved "overførsler" ud af EU - eller rettere: Konstruktionen gav rigtig god mening, da den først blev udtænkt.
Hvad er en "overførsel"?
Selve konstruktionen med "indenfor" og "udenfor" EU stammer således fra GDPR's forgænger, persondatadirektivet fra 1995. På det tidspunkt var internettet kun i sin spæde begyndelse, og der var derfor tale om ganske få tilfælde, som rent faktisk ville blive omfattet af reglerne, fx hvis transmission af personoplysninger via fax eller disketter sendt med fysisk post. Reglerne var derfor baseret på en forudsætning om, at overførsler ud af EU ville være udtryk for en meget bevidst og ekstraordinær handling.
Da internettet begyndte at blive udbredt, opstod de første tvivlsspørgsmål, og i 2003 afsagde EU-Domstolen dom i Lindqvist-sagen, hvori det blev konkluderet, at der ikke er tale om "en overførsel til et tredjeland", hvis man lægger personoplysninger ud på det åbne internet.
Nogle senere i 2007 blev det i en afgørelse fra Datatilsynet (J.nr. 2007-214-0004) konkluderet, at der også er tale om en overførsel, hvis en databehandler udenfor EU via internettet gives adgang til en server med oplysninger, også selvom databehandleren ikke har "adgang til at lagre, printe mv." (eller som Datatilsynet skriver i deres vejledning: "se-adgang" er nok).
Overførselsbegrebet er med fremkomsten af cloud, IoT osv. blevet endnu mere udvandet og vanskeligere at arbejde med. Det var således også bl.a. "lokaliseringsproblemer", der gav anledning til, at Datatilsynet i sin tid afviste, at Odense Kommune (og dermed også alle andre kommuner) kunne anvende Google Apps. Det var i øvrigt først da Google fik indarbejdet SCC'er i sine vilkår, at en anden kommune fik held med at få godkendt Google som leverandør - selvsamme SCC'er, som nu er blevet udfordret af Schrems II-afgørelsen...
Sidst men ikke mindst kompliceres tingene yderligere af, at det end ikke er nok at have styr på, hvor serveren er placeret og/eller hvor udbyderen er hjemmehørende. Såfremt ens leverandør eller underleverandør baserer deres tekniske support på "follow the sun"-princippet, betyder det, at selvom ens data ligger på et datacenter i EU, så skal man stadig overholde de særlige krav for tredjelandsoverførsler, hvis ens leverandør, eller underleverandør, fx har teknisk support i asien. Det scenarie opstår ofte i praksis, og man kan således hurtigt komme i problemer, hvis man ikke ser sig for.
Se fx Region H's problemer ift. Sundhedsplatformen, eller sedatatilsynets kritik ift. EG's brug af ServiceNow som underdatabehandler
Så: De fleste af vores data "overføres til tredjelande"...?
Opsummerende kan det altså konkluderes, at man omfattes af de særlige krav til tredjelandsoverførsler, hvis man 1) benytter en ikke-EU databehandler med udenlandske servere, 2) benytter en EU-databehandler, som selv eller via en underdatabehandler placerer data på en server udenfor EU, 3) uanset om serveren er placeret indenfor EU, hvis personer udenfor EU har adgang til data på serveren, uanset niveauet af redigerings- og administratorrettigheder, 4) hvis man aktivt sender oplysningerne til modtagere udenfor EU, fx hvis man sender en mail med medarbejderoplysninger til et amerikansk moderselskab.
Og så er vi tilbage ved forklaringen på, hvorfor Schrems II-sagen (principielt set) er relevant for så mange: Selv hvis dine data ligger hos en dansk leverandør, så bruger denne leverandør ofte en udenlandsk underleverandør, og selv hvis dine data ligger på et datacenter i EU, så kan fx anvendelsen af "follow the sun"-support føre til, at de særlige regler om tredjelandsoverførsler alligevel skal overholdes.
Mig bekendt er der ikke officielle tal på det, men eftersom alle de store US-techgiganter er berørt, så må det antages, at det %-vis er størstedelen af danske data, som er omfattet af de "særlige" krav. Og det har altså aldrig været meningen, hvorfor der nu er tale om en så kompleks problemstilling, at den bør løses på et politisk plan.
Desværre er lige præcis disse regler ikke noget, vi selv kan ændre på fra dansk side, så vi må nok desværre affinde os med, at man på EU-plan finder en bedre løsning end den nuværende.
Måneperspektivet: Retssystemet og geografisk afgrænsning på internettet
Til sidst vil jeg flyve endnu højere op, nemlig så højt op, at man får overblik over ikke bare databeskyttelsesretten, men hele retssystemet. Og fra den højde kan man konstatere, at GDPR langt fra er det eneste regelsæt, som har udfordringer med at tilpasse sig til internettets globaliserede verden.
Siden 1990'erne har vi således set tilsvarende udfordringer på andre retsområder, fx strafferetten (hvilken betydning har hhv. hackerens og serverens placering for hvilke(t) lande der må straffe en hacker?), ansvar og injurier (må en australsk person sagsøge en amerikansk onlineavis ved de australske domstole?), jurisdiktion og fuldbyrdelse (kan en dansk domstol tvangsmæssigt lukke ned for en udenlandsk hjemmeside eller server? Eller kan de amerikanske myndigheder tvinge Microsoft til at udlevere oplysninger fra servere, som står på EU-grund?) osv.
Det var netop det perspektiv, jeg anlagde i min phd-afhandling fra 2016 (herunder i kapitel 6 om "Geografisk afgrænsning på internettet"), og min overordnede konklusion var, at vi kan lære meget om udfordringer i kølvandet på nye teknologier ved at skele til andre retsområder, som har været berørt af samme udfordringer.
Anlægger man dette "måneperspektiv", vil det stå klart, at Schrems II på et helt overordnet plan er udtryk for, at der i det internationale samfund endnu ikke er opnået enighed og klare retningslinjer for afgrænsning af staters suverænitet og jurisdiktion på internettet. Det kan måske virke overraskende i lyset af, at internettet nu har været udbredt i mere end 20 år, men det er rent faktisk ekstremt kort tid i lyset af, at det fx har taget adskillige hundrede år at udvikle folkeretlige principper for suverænitet ift. fx landjord og på havbunden. Så, vi må nok vente nogle årtier endnu inden der kommer en klar løsning fra den kant.
Afrunding: Mulige løsninger for GDPR et sted i horisonten?
Der er dog nogle retsområder, hvor man har fundet en fornuftig løsning, selvom folkeretten endnu ikke har tilpasset sig internettets fremkomst.
Fx findes der områder, hvor man i stedet for en juridisk løsning har fundet en teknisk løsning. Og vender vi blikket tilbage til Schrems II igen, så kunne det rent faktisk godt være en mulighed: I dette blogindlæg fra en britisk GDPR-specialist foreslås det således, at kryptering kan udgøre en væsentlig del af løsningen på de problemer, som Schrems II-afgørelsen har givet os. Forfatteren har skrevet en hel bog om emnet, som jeg endnu ikke har haft tid til at nærlæse. Budskabet er dog under alle omstændigheder godt i tråd med, at en række EU-organer kort før Schrems II-afgørelsen afholdt en workshop med fokus på muligheder og begrænsninger ift. brug af kryptering under GDPR .
Så, måske det i visse situationer vil være muligt at kryptere de data, man lægger i skyen, og herved forhindre databehandleren, og afledt heraf også myndighederne i databehandlerens hjemland, i at kunne tilgå personoplysningerne, og at dette vil kunne udgøre "supplementary measures" som påkrævet af EU-Domstolen? Eller måske man endda kunne argumentere for, at der juridisk set slet ikke er sket en "overførsel", hvis ikke der er nogen i "importlandet", der kan tilgå personoplysningerne?
Mens jeg tygger videre på disse spørgsmål og i øvrigt afventer nyt fra EU, hører jeg meget gerne, hvis nogle af V2's læsere har en kommentar til forslaget fra et teknisk perspektiv, enten i kommentarsporet nedenfor eller send en mail til jln@focus-advokater.dk.
Fortsættelse følger...
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
