I de seneste år har EU og USA forsøgt at finde en fælles løsning på, hvordan data kan overføres mellem de to regioner uden at krænke borgernes privatliv. Tre gange har de annonceret en ny aftale, der skulle sikre et højt niveau af databeskyttelse og juridisk sikkerhed for virksomheder og organisationer, der behandler personoplysninger på tværs af Atlanten. Men tre gange har de også mødt modstand fra en østrigsk aktivist og jurist ved navn Max Schrems, der har anfægtet aftalerne for EU-domstolen med succes.
Max Schrems startede sin kampagne mod dataoverførsler til USA, da han var jurastuderende og opdagede, at Facebook sendte hans personlige data til servere i USA, hvor de kunne være underlagt amerikansk overvågning.
Han klagede til det irske datatilsyn, som var ansvarlig for at håndhæve EU’s databeskyttelsesregler over for Facebook, men fik ikke noget svar. Han tog derfor sagen til EU-domstolen, som i 2015 erklærede den daværende aftale mellem EU og USA, kaldet Safe Harbor, for ugyldig.
Domstolen fastslog, at Safe Harbor ikke tilbød et tilstrækkeligt beskyttelsesniveau for europæiske borgeres data, da de kunne blive udsat for vilkårlig og massiv overvågning fra amerikanske myndigheder under loven FISA 702.
Efter denne dom arbejdede EU og USA hurtigt på at forhandle en ny aftale på plads, som skulle adressere domstolens bekymringer. Den nye aftale blev kaldt Privacy Shield og blev indgået i 2016. Den indeholdt blandt andet en række tilsagn fra USA om at begrænse overvågningen af europæiske data, samt en mekanisme for klageadgang for europæiske borgere, hvis de mente, at deres data blev misbrugt.
Men Max Schrems var ikke tilfreds med denne aftale heller. Han mente, at den stadig ikke levede op til EU’s standarder for databeskyttelse og grundlæggende rettigheder. Han indgav derfor en ny klage til det irske datatilsyn, som igen endte hos EU-domstolen. Og i 2020 fik han ret igen. Domstolen erklærede Privacy Shield for ugyldig af de samme grunde som Safe Harbor. Domstolen understregede, at FISA 702 stadig gav amerikanske myndigheder for vide beføjelser til at indsamle og behandle europæiske data uden effektiv kontrol eller retssikkerhed.
Efter denne dom stod EU og USA igen uden en gyldig ramme for dataoverførsler. Det skabte stor usikkerhed og frustration blandt virksomheder og organisationer, der var afhængige af at kunne sende data mellem de to regioner. Mange af dem forsøgte at finde alternative løsninger, såsom at bruge standardkontraktbestemmelser eller bindende virksomhedsregler, som er andre juridiske mekanismer godkendt af EU til at overføre data til tredjelande. Men disse løsninger var også under pres fra Max Schrems og hans non-profit organisation NOYB (None Of Your Business), som han havde stiftet efter sin første sejr i 2015. NOYB indledte flere sager mod store tech-virksomheder som Facebook, Google og Amazon, som brugte standardkontraktbestemmelser til at overføre data til USA. NOYB hævdede, at disse bestemmelser ikke kunne garantere et passende beskyttelsesniveau for europæiske data i lyset af FISA 702.
I mellemtiden forsøgte EU og USA igen at finde en ny aftale, der kunne erstatte Privacy Shield og imødekomme domstolens krav. De forhandlede i næsten et år, indtil de endelig annoncerede en ny aftale den 10. juli 2023. Den nye aftale blev kaldt EU-US Data Privacy Framework og skulle bygge videre på Privacy Shield, men med forbedringer på flere områder. Blandt andet skulle USA forpligte sig til at begrænse overvågningen af europæiske data til det, der er nødvendigt og proportionalt, samt at respektere princippet om formålsbegrænsning. Desuden skulle USA oprette en uafhængig ombudsmand, som skulle håndtere klager fra europæiske borgere, hvis de mente, at deres data blev overvåget uberettiget. Endelig skulle EU og USA etablere et fælles udvalg, som skulle overvåge og evaluere aftalen løbende.
EU og USA var meget glade for den nye aftale og håbede, at den ville skabe et stabilt og holdbart grundlag for dataoverførsler mellem de to regioner. De roste hinanden for deres konstruktive dialog og samarbejde og udtrykte deres tillid til, at den nye aftale ville opfylde domstolens standarder for databeskyttelse og grundlæggende rettigheder. Men de vidste også, at der var en person, som ikke ville dele deres begejstring. Max Schrems var klar til at udfordre den nye aftale for EU-domstolen igen. Han mente, at den nye aftale var en kopi af Privacy Shield med nogle kosmetiske ændringer, som ikke ændrede ved det grundlæggende problem med FISA 702. Han var sikker på, at domstolen ville give ham ret igen og erklære den nye aftale for ugyldig i løbet af få måneder.
Men denne gang kunne Max Schrems faktisk gøre EU en tjeneste ved at skynde sig med sin klage. For EU havde nemlig overset en vigtig mulighed for at lægge pres på USA for at ændre netop den lov, som var kilden til hele konflikten om dataoverførsler. FISA 702 har nemlig en såkaldt solnedgangsklausul, som betyder, at loven udløber automatisk, hvis den ikke bliver fornyet af Kongressen. Og loven skal fornyes senest i slutningen af 2023. Inden EU indgik den nye aftale med USA, kunne EU have brugt denne deadline som et forhandlingskort og krævet, at USA ændrede loven for at sikre et højere beskyttelsesniveau for europæiske data. Men EU valgte i stedet at acceptere USA’s tilsagn uden at stille nogen krav til USA.
Men hvis Max Schrems får sin sag behandlet hurtigt af EU-domstolen, kan han måske nå at vælte den nye aftale, inden FISA 702 bliver fornyet. Det ville give EU en ny chance for at presse USA på at reformere loven og begrænse overvågningen af europæiske data. Det ville også være EU’s eneste chance for at opnå en harmonisk løsning med USA på spørgsmålet om dataoverførsler.
Derfor bør EU-politikerne netop nu håbe på og bede til, at Max Schrems’ økse falder hårdt og hurtigt. For jo længere tid der går, før den nye aftale bliver erklæret ugyldig, jo mere tid har USA til at forny FISA 702 uden ændringer. Og jo mere tid har de europæiske virksomheder og organisationer til at investere i alternative løsninger til dataoverførsler, som måske også vil blive udfordret af Max Schrems eller andre aktivister i fremtiden.
Det er jo også begrænset – selv for EU – hvor mange gange de kan fejre en ny aftale med USA, som bliver skudt ned af EU-domstolen kort efter. Før eller siden må de indse, at der ikke er nogen nem vej ud af dilemmaet om dataoverførsler. Enten må de acceptere et lavere beskyttelsesniveau for europæiske data i USA, eller må de insistere på at USA ændrer sin lovgivning for at imødekomme EU’s krav.
Ellers må de finde en helt ny løsning, som ikke involverer dataoverførsler til USA, men i stedet bygger på lokale cloud-løsninger eller andre teknologier. Det vil kræve store investeringer og omstillinger fra både private og offentlige organisationer, men det kan være den eneste vej frem, hvis EU vil bevare sin position som global leder inden for databeskyttelse og grundlæggende rettigheder.
Kilde: Michael Rasmussen for ICARE, Advokat og Revisor Samvirket
Fotokredit: stock.adobe.com