Tirsdagens afgørelse fra EU-domstolen om at erklære datatransmissionsaftalen Safe Harbor mellem EU-lande og USA for ugyldig får en række seriøse konsekvenser for især mange amerikanske cloud-selskaber.
Det vurderer it-advokat og partner Martin von Haller Grønbæk fra advokatfirmaet Bird & Bird over for Computerworld.
“Alle selskaber, der overfører data omfattet af EU’s databeskyttelsesdirektiv ud af EU til USA, står nu på gyngende grund med afgørelsen fra EU-domstolen,” indleder Martin von Haller Grønbæk.
Udslag af Snowden-effekten
Han pointerer, at alt nu er oppe i luften.
Det skyldes, at de dataansvarlige og databehandlere (som i visse tilfælde kan være det samme selskab) nu skal ud finde og indgå andre datatransmissionsaftaler ovenpå sløjfningen af Safe Harbor-modellen.
Årsagen til EU-domstolens afgørelse er helt basalt frygten for, at amerikanske efterretningstjenester kan kigge snagende med i europæiske indbyggeres data, når disse data bliver overført til amerikanske datacentre hos it-giganter som Google, Apple og Amazon.
It-advokat Martin von Haller Grønbæk:
“Rent teoretisk er det en logisk følge af domstolens afgørelse, at eksempelvis Facebook nu ikke kan sende data ud af EU.”
“Dette er bevis på, at Edwards Snowdens whistleblowing har fået en effekt,” forklarer Martin von Haller Grønbæk.
Hvad så nu?
At Safe Harbor-ophøret er alvorligt, forklarer den danske it-advokat på følgende måde:
“Rent teoretisk er det en logisk følge af domstolens afgørelse, at eksempelvis Facebook nu ikke kan sende data ud af EU, hvis ikke der er andre aftaler på plads,” siger Martin von Haller Grønbæk.
Det vil i praksis betyde, at blandt andre Facebook må indgå aftaler mellem databehandlere fra land til land, eller udvide mængden og brugen af sine europæiske datacentre og samtidig sikre, at data aldrig forlader europæisk territorium.
Læs også: Cloud-giganter i vildt kapløb om Europa: Her kommer de nye giga-datacentre
Martin von Haller Grønbæk ser yderligere tre løsninger ud af den nye situation for amerikanske cloud-giganter som netop Facebook.
“NSA kan melde ud, at efterretningstjenesten helt stopper med overvågning af europæiske data eller foretager overvågningen på en måde, som sikrer de rettigheder, der følger af de europæiske databeskyttelsesregler.”
“En anden mulighed er, at EU giver NSA i USA en særtilladelse til at kigge på data på en anden måde, end det var tilfældet med Safe Harbor, og at dette teknisk sker på en måde, som EU domstolen skal respektere.”
Den tredje mulighed beskriver han på følgende måde:
“De lokale datatilsyn i Danmark, Tyskland, Irland og så videre kan finde en mere eller mindre mudret måde, så systemet ikke bryder ned, så Facebook må lukke i Europa. Det er nok løsningen på den korte bane,” vurderer han.
Facebook: Vi har andre aftaler
Martin von Haller Grønbæk ridser op, at det i praksis er de lokale datatilsyn, der har ansvaret for, at EU-domstolens afgørelse bliver ført ud i livet.
De første meldinger om afgørelsen fra Facebook tyder dog ikke på, at selskabet er ved at gå i panik over den nye situation.
“Facebook har i lighed med tusindvis af andre europæiske selskaber en række EU-godkendte metoder udover Safe Harbor til at overføre data til USA fra Europa,” forklarer selskabet i en generel udtalelse og fortsætter:
Kort om Safe Harbor
Principperne i Safe Harbor-datatransmissionerne blev sat i værk i 1998 for, at amerikanske selskaber kan imødekomme EU’s databeskyttelsesdirektiv.
Det amerikanske handelsministerirum udviklede principperne i samarbejde med EU med henblik på at gøre datatransmissioner mellem de to kontinenter noget nemmere at have med at gøre.
EU besluttede i 2000, at amerikanske selskaber, som fulgte Safe Harbor-principperne, kunne sende data over Atlanterhavet.
Denne afgørelse blev der for nyligt stillet spørgsmålstegn ved af generaladvokaten for EU-domstolen, hvorefter selve EU-domstolen erklærede aftalen for ugyldig.
Nu er det op til de enkelte EU-landes datatilsyn at finde ud af, hvordan Safe Harbor-ophøret skal håndteres i praksis.
“Derfor er det også afgørende, at EU’s regeringer og den amerikanske regering fortsat leverer metoder til pålidelige dataoverførsler og løser eventuelle spørgsmål vedrørende den nationale sikkerhed.”
Computerworld har kontaktet Facebook for at høre, hvilke dataoverførselsaftaler selskabet har indgået ud over Safe Harbor, og hvad ophøret af Safe Harbor-metoden betyder for selskabet.
Facebook har dog ikke yderligere kommentarer til sagen.
Det har desværre heller ikke været muligt at få en kommentar fra det danske Datatilsyn om, hvordan ophøret af Safe Harbor-datatransmissionsaftalen skal håndteres i det danske kongerige.
Microsoft godter sig
Mens alle EU-landenes datatilsyn i lighed med selskaber med transatlantiske dataoverførsler skal finde ud af, hvordan EU-dommen skal håndteres i praksis, er der visse amerikanske it-selskaber, som godter sig.
Godteriet kommer blandt andet fra Microsoft, som i de seneste år har oprettet europæiske datacentre og en forretningsmodel, der kan sikre, at EU-data ikke forlader EU.
Læs også: Microsofts cloud-sikkerhed får OK i Europa
I et blogindlæg har Microsofts topjurist Brad Smith beskrevet, at EU-dommen ikke umiddelbart får konsekvenser for it-giganten med hovedsæde på den amerikanske nordvestkyst.
“Vores evne til at stole på disse alternative retsgarantier er ikke nogen tilfældighed. Vi har tidligere erkendt muligheden for (gårs)dagens afgørelse og har iværksat de nødvendige foranstaltninger for vores enterprise-kunder,” lyder det i blogindlægget.
I lighed med Facebooks udtalelser fremgår det af Microsofts blogindlæg, at selskabet også har indgået andre datatransmissionsaftaler end Safe Harbor, hvis data skal flyde fra EU til USA.
Læs også:
EU-domstolen forbyder europæiske dataoverførsler til USA
Leave a Reply