Flemming Kjærsdam • 22 november 2020

Schrems II ændrer grundlaget for persondata overførsler mellem kontinenterne for altid

EU-Domstolen, som er EUs højeste myndighed, har underkendt ”Privacy Shield” som grundlag for at overføre persondata mellem EU og USA. ”Privacy Shield” er en ordning, der har været brugt af myndigheder og virksomheder som grundlag til at overføre persondata, og som nu er ugyldig.
 
Efter EU-Domstolens afgørelse befinder danske kommuner sig, ifølge chefkonsulent og jurist Pernille Jørgensen, KL, i en slags ”limbo”, da det aftalegrundlag kommunerne hidtil har brugt til dataoverførsler til USA, nu ikke længere kan anvendes og der endnu ikke er indgået en ny aftale mellem EU og USA om en løsning. Da dommen ligeledes betyder, at hver enkelt kommune i princippet skal vurdere lovgivningen i hvert enkelt tredjeland, der overføres data til samt om nødvendigt træffe supplerende foranstaltninger til beskyttelse af data, anbefaler KL, kommunerne at afvente, indtil der findes fælles løsninger på udfordringerne i regi af de europæiske datatilsyn. 
Sagen ved EU-Domstolen udspringer af en retssag, som det irske datatilsyn (DPC) anlagde efter en klage fra den østrigske statsborger, Max Schrems. Klagen vedrørte overførsel af hans personoplysninger fra Facebook Irland til Facebooks moderselskab i USA.
Dengang brugte Facebook Irland den såkaldte “Safe Harbour-aftale” som overførselsgrundlag. Den blev underkendt af EU-domstolen i 2015 med en dom, som fik kaldenavnet Schrems I. Efter den dom gik Facebook Irland over til at bruge EU-Kommissionens standardkontrakt, (SCC) og det amerikanske ”Privacy Shield” som overførselsgrundlag. Det er sidstnævnte, der nu er underkendt i dommen af 16. juli 2020 – også kaldet Schrems II og som ændrer ved grundlaget for overførsler af persondata på tværs af kontinenterne for altid. 
Imellem de to EU-domme om Max Schrems fra henholdsvis 2015 og 2020 – er der i EU indført Databeskyttelsesforordningen (GDPR red.), som trådte i kraft den 25. maj 2018.
EU-Domstolen erklærer i sin nye afgørelse, at ”Privacy Shield”, er ugyldigt. Det betyder, at man ikke længere kan anvende ordningen som grundlag for dataoverførslen til USA. Sagen er, at ”Privacy Shield”, ifølge dommerne ved EU-Domstolen ikke i tilstrækkelig grad beskytter EU-borgeres data mod, at de amerikanske myndigheder eller virksomheder kan få adgang til borgernes data. Dermed er borgerne ikke tilstrækkeligt beskyttet.
Omvendt siger EU-Domstolen, at EU-Kommissionens standardkontrakt fortsat er et gyldigt overførselsgrundlag. Men dommen rejser samtidig en række spørgsmål, som skal undersøges.
 
Analyse af dommen
Det Europæiske Databeskyttelsesråd, som består af datatilsynene i
EU-landene, har foretaget en nærmere analyse af dommen og dens betydning for overførsel af personoplysninger til tredjelande og internationale organisationer. Der udestår dog en analyse af, hvad der nærmere forstås ved ”supplerende foranstaltninger”.
Pernille Jørgensen: “Afgørelsen fra EU-Domstolen giver udfordringer, da den enkelte kommune selv skal vurdere, hvilke supplerende foranstaltninger, der skal aftales med deres databehandlere, hvis de tredjelande, der overføres data til, herunder USA, ikke har national lovgivning, der med hensyn til databeskyttelse, modsvarer GDPR. Derfor anbefaler KL, at kommunerne afventer den analyse, som det Det Europæiske Databeskyttelsesråd er ved at foretage af dommens konsekvenser.”