Schrems II, fem år senere

Dommen, der tog tre timer om at ændre reglerne

Den 16. juli 2020, omkring kvart over ti om formiddagen luxembourgsk tid, offentliggjorde Den Europæiske Unions Domstol (TJUE) dommen i sag C-311/18. I de følgende tre timer ophørte det juridiske regime, der understøttede den daglige overførsel af personoplysninger fra Europa til USA — det såkaldte Privacy Shield, som er dets officielle navn — med at eksistere. Da de europæiske databeskyttelsesansvarlige var færdige med deres frokost den dag, var den ramme, som deres virksomheder og administrationer opererede under, ikke længere brugbar.

Dommen kendes i dag som Schrems II efter Maximilian Schrems, den østrigske aktivist, hvis klage mod Facebook Ireland satte den i gang. Klagen vedrørte konkret overførslerne mellem Facebook Irland og Facebook USA. Dommen går generelt meget længere: Den dikterer, hvordan og under hvilke betingelser personoplysninger indsamlet på europæisk område kan overføres til USA.

Næsten seks år senere findes erstatningsrammen — EU-US Data Privacy Framework, vedtaget i juli 2023 — og den er også under juridisk pres. En ny Schrems-runde er under opsejling. Imens fortsætter små og mellemstore europæiske virksomheder med at bruge amerikanske cloud-tjenester til daglige opgaver, for det meste uden at vide, at det juridiske spørgsmål, som disse tjenester hviler på, stadig er uafklaret.

Hvad sagde Schrems II helt nøjagtigt

Dommen hviler på tre elementer. Det første er Den Europæiske Unions charter om grundlæggende rettigheder, især artikel 7 (privatliv og familieliv), 8 (beskyttelse af personoplysninger) og 47 (adgang til effektive retsmidler). Det andet er den generelle forordning om databeskyttelse — RGPD, som mange europæere kun husker for cookie-advarslerne — specifikt kapitel V, artikel 44 til 50 (art. 44 to 50), om internationale overførsler. Det tredje er amerikansk efterretningslovgivning: sektion 702 i Foreign Intelligence Surveillance Act, FISA 702 i juridisk fagsprog, og den præsidentielle Executive Order 12333.

Domstolen gik frem ved at sammenligne. Chartret om grundlæggende rettigheder kræver, at europæiske borgeres personoplysninger, når de forlader Unionen, nyder godt af et beskyttelsesniveau, der i det væsentlige svarer til det, der garanteres af RGPD. Spørgsmålet var derfor, om USA tilbyder dette væsentligt tilsvarende niveau.

Svaret var negativt, og det var ikke på grund af detaljer. FISA 702 tillader den amerikanske regering at indsamle kommunikation fra ikke-amerikanere, der befinder sig uden for det nationale område, uden forudgående individuel retslig tilladelse, uden meddelelse til den berørte person og uden et effektivt retsmiddel svarende til det europæiske. Executive Order 12333 udvider denne kapacitet på tilsvarende vis uden for det nationale område. Domstolen konkluderede, at den europæiske borger over for det amerikanske retssystem ikke har den væsentligt tilsvarende beskyttelse, som chartret kræver. Ækvivalensen eksisterer derfor ikke.

Deraf den direkte konsekvens: Europa-Kommissionens afgørelse 2016/1250, som havde godkendt Privacy Shield som en passende ramme for overførsler, blev erklæret ugyldig. Enhver overførsel baseret udelukkende på den ramme var uden retsgrundlag fra det selvsamme øjeblik.

Hvad der rent faktisk overlevede (og under hvilke betingelser)

Schrems II fjernede ikke alle instrumenter. Standardkontraktbestemmelserne — SCC i international jargon efter den engelske betegnelse Standard Contractual Clauses — overlevede. De er modelkontrakter godkendt af Europa-Kommissionen: En europæisk eksportør og en importør i destinationslandet underskriver dem og forpligter sig til at behandle dataene i overensstemmelse med den europæiske standard. Den virksomhed, der troede at have løst problemet den 17. juli 2020, underskrev SCC med sin udbyder og var tilfreds.

Ubehaget kom ved at læse dommen grundigt. Domstolen gjorde det klart, at SCC stadig er gyldige, men deres gyldighed afhænger af en betingelse, som bør understreges: at importøren af dataene kan overholde dem i praksis. Hvis den nationale lovgivning i destinationslandet forhindrer denne i at overholde klausulerne — fordi f.eks. et påbud under FISA 702 tvinger denne til at udlevere dataene uden at give sin europæiske modpart besked — så beskytter klausulerne faktisk ikke. Og så, siger domstolen, skal den europæiske eksportør suspendere overførslen.

Dette introducerede et nyt begreb i den europæiske databeskyttelsespraksis: Transfer Impact Assessment, eller analyse af overførslens konsekvenser, kendt under sin engelske forkortelse TIA. Hver gang en europæisk virksomhed ønsker at overføre data till USA under dække af SCC, skal den formelt vurdere, om modtageren kan overholde klausulerne givet den lovgivning, der finder anvendelse på denne. Det Europæiske Databeskyttelsesråd (EDPB) offentliggjorde detaljerede retningslinjer for, hvordan man gennemfører en TIA. Den ærlige praksis fører normalt til samme resultat: Hvis importøren er et amerikansk datterselskab af en stor cloud-udbyder, er det oprigtige svar på TIA'en, at klausulerne ikke kan overholdes, som de er skrevet.

Privacy Framework og det ventende Schrems III

Den 10. juli 2023 vedtog Europa-Kommissionen en ny tilstrækkelighedsafgørelse: 2023/1795. Den erstatter det nu afdøde Privacy Shield og fungerer under navnet EU-US Data Privacy Framework. USA havde forinden ændret sit interne regime gennem præsidentiel bekendtgørelse (Executive Order) 14086, som begrænser omfanget af signalintelligens til det "nødvendige og proportionale" — en terminologi, der er velkendt for den europæiske læser, men mindre i amerikansk administrativ praksis — og opretter et kontrolorgan kaldet Data Protection Review Court (DPRC). Kommissionen vurderede, at disse ændringer var tilstrækkelige til at genoprette et væsentligt tilsvarende beskyttelsesniveau.

Organisationen noyb, grundlagt af Schrems, indgav en klage den 7. september 2023 mod den nye afgørelse. Argumenterne er de forventede: DPRC er ikke en uafhængig domstol i henhold til chartrets artikel 47 (art. 47); begreberne "nødvendig og proportional" kan ikke uden videre overføres til europæiske standarder; og endelig kan en beskyttelse, der hviler på en præsidentiel bekendtgørelse, tilbagekaldes af den næste præsidentielle bekendtgørelse. En dom fra TJUE om den nye afgørelse — som mange allerede kalder Schrems III med en vis resignation — forventes i de kommende år. Resultatet kan ikke forudses. Argumentationens opbygning minder under alle omstændigheder meget om den fra 2020.

Det, som de europæiske SMV'er ikke hører

Mens Domstolens store afdeling voterer, fortsætter det mellestore advokatkontor med at udveksle korrespondance med sine klienter via Microsoft 365 hostet i europæiske regioner, men ejet af en amerikansk virksomhed underlagt FISA 702. Den private lægepraksis synkroniserer kalendere via Google Workspace. Skatterådgiveren sender underskrevne selvangivelser via DocuSign. Psykologen fakturerer fra et regneark i Notion. Arbejdsretsadvokaten arkiverer sager i Dropbox. Og praktisk talt dem alle betjener desuden deres klienter via WhatsApp. Alt dette kan fungere under tilstrækkelighedsafgørelsen 2023/1795 ifølge udbyderne. Den dag den afgørelse falder i Schrems III, står alle disse relationer ubeskyttede i samme sekund.

Spørgsmålet er ikke retorisk. Mellem 2022 og 2024 traf flere europæiske myndigheder afgørelse i sager mod dataansvarlige for at bruge Google Analytics uden et passende overførselsinstrument, i en bogstavelig anvendelse af TJUE's ræsonnement, selv før Privacy Framework trådte i kraft. Den franske myndighed, CNIL, var den første til at formalisere kriteriet i 2022; de østrigske, italienske og andre myndigheder fulgte kort efter. Manglende overholdelse under den nuværende SMV-driftsmodel dokumenteres i realtid for enhver, der ved, hvor man skal kigge.

TIA som instrument, ikke som ritual

En betydelig del af de TIA'er, der cirkulerer på europæiske kontorer, er, hvis man læser dem opmærksomt, kun formelle øvelser. De oplister de kontraktlige instrumenter, opregner udbyderens certificeringer, citerer de tekniske garantier og sætter kryds i boksen. Få spørger for alvor, om et påbud under FISA 702 ville tvinge udbyderen til at udlevere dataene. Endnu færre spørger, hvad der ville ske med den overførsel under en hypotetisk revision af Privacy Framework. Artikel 5 (art. 5) i RGPD kræver, at den dataansvarlige kan påvise overholdelse. En TIA, der ikke tages alvorligt, påviser intet; den påviser kun viljen til at overholde reglerne på papiret, mens man gør det modsatte i praksis.

Den ærlige version af en TIA starter med et simpelt spørgsmål: Hvad ville der ske, hvis denne udbyder i morgen modtog et påbud under FISA 702 om netop disse data? Hvis det ærlige svar est "den ville være nødt til at udlevere dem uden at give os besked", løser de kontraktlige klausuler ikke problemet. Det, der løser det i de tilfælde, hvor spørgsmålet virkelig betyder noget, er ikke at have overladt dataene til den udbyder.

Politisk skifte som strukturel risiko

Der er et yderligere lag, et politisk, som det er værd at nævne uden dramatik. Tilstrækkelighedsafgørelse 2023/1795 hviler i sidste ende på præsidentiel bekendtgørelse 14086, underskrevet af præsident Biden i oktober 2022. En præsidentiel bekendtgørelse underskrives af en præsident og kan tilbagekaldes, ændres eller tømmes for indhold af den næste. Beskyttelsen af europæiske data i USA afhænger således af en administrativ beslutning, som hverken den amerikanske kongres garanterer, eller det amerikanske retssystem beskytter med den soliditet, hvormed det beskytter andre interne anliggender. Siden januar 2025 har en ny administration styret USA, og spørgsmålet om den praktiske kontinuitet af EO 14086 er ophørt med at være en hypotese og er blevet aktuelt. Enhver situation, hvor administrationen beslutter at trække bekendtgørelsen tilbage eller svække den, ville efterlade den europæiske afgørelse uden det fundament, den blev bygget på.

Det er ikke et konspiratorisk argument. Det er en nøgtern læsning af den juridiske konstruktion. De transatlantiske databeskyttelsesrammer er allerede faldet to gange: Safe Harbor i 2015 (Schrems I-dommen) og Privacy Shield i 2020 (Schrems II). Den tredje hviler på et mere skrøbeligt fundament end sine to forgængere. En europæisk virksomhed, der i dag satser sin databehandling på det fundament, træffer en beslutning om risikostyring, ikke blot om simpel overholdelse af reglerne.

Til den professionelle læser

De driftsmæssige spørgsmål, man bør stille sig selv, før man vælger en cloud-tjeneste til professionelle data — med den strenghed, som en databeskyttelsesinspektør ville stille dem — er følgende:

1. Hvor lagres data fysisk? En europæisk region er ikke et tilstrækkeligt svar, hvis operatøren er amerikansk.
2. Hvem driver tjenesten, i hvilken jurisdiktion er den registreret, og hvilke juridiske påbud kan den underlægges?
3. Hvilket overførselsinstrument påberåbes: Tilstrækkelighedsafgørelse 2023/1795, SCC med TIA, fravigelse af artikel 49 (art. 49) i RGPD? Kan dette valg forsvares over for et tilsyn?
4. Hvis tilstrækkelighedsafgørelsen faldt i morgen, hvilken beredskabsplan findes der så for at opretholde aktiviteten?
5. Findes der et europæisk eller selv-hostet alternativ til denne funktion, og hvad ville de reelle omkostninger ved migrering være?

Ikke alle funktioner i den daglige kontordrift kræver det samme svar. Et regneark til intern bogføring løfter sandsynligvis ikke spørgsmålet op på dette niveau. En klients straffeattest, den medicinske historie eller medarbejdernes lønsedler gør dog. Proportionalitet est legitimt; den kollektive inerti, hvormed europæiske SMV'er er forblevet hos amerikanske udbydere til alt — selv til det mest følsomme — er ikke.

---

Schrems II fylder seks år denne juli. Dommen har ikke ændret de daglige vaner hos de fleste europæiske virksomheder. Men den har ændret risikokortet for de risici, som disse virksomheder er udsat for. Når en amerikansk administrativ beslutning træder imellem den europæiske forordning og den reelle drift i en SMV, er det i det mindste klogt at vide, at beslutningen er der, og at den er skrøbelig. Vi, der har valgt en arkitektur uden en operatør i midten — den røde tråd gennem Cuadernos Lacre — ville foretrække ikke at skulle skrive denne type analyser, hver gang en person som Schrems beslutter at indgive en klage. Men vi vil fortsætte med at gøre det.