Flemming Kjærsdam • 22 februar 2023

På vej mod et nyt overførselsgrundlag med amerikanske cloudløsninger

USA og EU er ved at bilægge den konflikt, der har været med de såkaldte tredjelandsoverførsler”, som opstod i kølvandet på EU-domstolens Schrems II afgørelse den 16. Juli 2020. Her faldt overførselsgrundlaget Privacy Shield” med et brag, og virksomheder og myndigheder var overladt til EU-Kommissionens standardkontrakter, som er meget lidt praktiske” at anvende. Ifølge formanden for Rådet for Digital sikkerhed, Henning Mortensen, er der et nyt overførselsgrundlag på vej, som vil lovliggøre brugen af amerikanske cloudløsninger.

 

I november 2022 skrev USA´s præsident Joe Biden et præsidentielt dekret til EU-Kommissionens formand Ursula von der Leyen. I dekretet ændrede Joe Biden betingelserne for masseovervågning og gav desuden de europæiske borgere, der mente, at deres personfølsomme data var blevet misbrugt, en ny civilret, hvor de vil kunne rejse deres sag. Det er to helt centrale punkter, hvor Joe Biden kommer EU-domstolens afgørelse i møde.  

Vi er ikke i mål endnu. Det Europæiske Databeskyttelsesråd (EDPB) skal først høres. Men Kommissionen har nikket ja til indholdet i Bidens dekret. Derfor vurderer jeg, at vi kan være på vej mod et nyt overførselsgrundlag, selv om EDPB ikke har offentliggjort deres bemærkninger,”siger Henning Mortensen.

 

Baggrund

Med schrems II afgørelsen fra EU-domstolen den 16. Juli 2020, blev det hidtidige overførselsgrundlag Privacy shield” dømt ude, da det ikke ydede borgerne tilstrækkelig sikkerhed inden for beskyttelse af persondata. Det vil sige, at alle myndigheder og virksomheder har været henvist til at bruge kommissionens standardkontrakter. EDPB har lavet den vejledning med en sekstrins model, hvor en kommune, der overfører data til lande med problematisk lovgivning, f. eks. USA, skal kryptere data og sørge for, at de aldrig er tilgængelige i klar tekst.

Henning Mortensen: Det omfatter stort set alle dataoverførsler, vi laver til de amerikansk ejede cloud tjenester, så det er et meget stort problem, som vil gøre det vanskeligt at bruge cloudservices fremover og dokumentere, at det er compliant med GDPR-forordningen”.

For at rette op på det, og for at kunne etablere et nyt overførselsgrundlag efter artikel 45, skal EU-Kommissionen lave en tilstrækkelighedsopgørelse. Amerikanerne har justeret noget af deres lovgivning. De opstiller formål, hvor de begrænser masseovervågning og hvad man må bruge data til. Og på den baggrund mener vi, at de er ude i noget, som faktisk kan siges at være lovligt efter EU-domstolens afgørelse. Desuden etablerer de en domstol, hvor man kan få prøvet sine sager. Det var den anden ting, som EU-domstolen i 2020 sagde, var ulovligt, at den mulighed ikke eksisterede,” siger Henning Mortensen.

Joe Biden imødekommer europæerne på de her to meget væsentlige punkter. Og kommissionen går ind og kigger på dekretet med den nye retstilstand og laver deres tilstrækkelighedsopgørelse.

Alt i alt vil begrænsninger på hvad masseovervågning må anvendes til, og etableringen af den nye domstol, så mener EU-Komissionen, at det er et essentielt ækvivalent beskyttelsesgrundlag i USA svarende til hvad vi har af garantier i Europa. Naturligvis under forudsætning af, at de amerikanske ejede, som man overfører data til, også efterlever de nye regler, der vil gælde som et nyt overførselsgrundlag. Amerikanerne laver nemlig mulighed for, at de kan have nogle andre krav,” siger Henning Mortensen.

Max Schrems, den østrigske jurist, der har lagt navn til EU-domstolens afgørelser i 2015 og 2020, har i en pressemeddelelse i januar 2023 lagt afstand til Joe Bidens dekret. Han lægger dermed op til, hvis Joe Bidens dekret bliver rammen for et nyt overførselsgrundlag, at det skal prøves af ved domstolene en gang mere.