Læsetid: 5 min.

Endnu en privatlivs-aktivist sejrer over systemet

En aktivist har endnu en gang vundet en betydningsfuld europæisk retssag om retten til beskyttelse af personfølsomme oplysninger. Det gør aktivisterne til en af de aktører, der har mest indflydelse på området, mener en topchef i konsulentfirmaet PwC
Den 28-årige østrigske privatlivsaktivist Max Schrems satte gang i sagen, der førte til dommen ved EU-Domstolen. At være europæisk bruger hos Facebook betyder, at nogle eller alle ens data overføres fra Facebooks irske afdeling til servere i USA, hvor dataen behandles. Det valgte Max Schrems at klage over til det irske datatilsyn med henvisning til Edward Snowdens afsløringer af USA’s overvågningsprogrammer

Den 28-årige østrigske privatlivsaktivist Max Schrems satte gang i sagen, der førte til dommen ved EU-Domstolen. At være europæisk bruger hos Facebook betyder, at nogle eller alle ens data overføres fra Facebooks irske afdeling til servere i USA, hvor dataen behandles. Det valgte Max Schrems at klage over til det irske datatilsyn med henvisning til Edward Snowdens afsløringer af USA’s overvågningsprogrammer

Ronald Zak

7. oktober 2015

En stor sejr for dem, der kæmper for europæiske borgeres ret til privatliv. Det er en række eksperter og aktivisters vurdering af en opsigtsvækkende dom fra EU-Domstolen i går. Med dommen erklærede EU’s øverste domstol den såkaldte safe harbor-ordning for ugyldig. En 15 år gammel ordning, som har gjort det muligt og nemt for tusindvis af selskaber at overføre personfølsomme data fra EU-lande til USA.

De europæiske regler for beskyttelse af personoplysninger betyder ellers i udgangspunktet, at personoplysninger kun må videregives fra et EU-land til et land uden for EU, hvis landet sikrer et »tilstrækkeligt beskyttelsesniveau« for oplysningerne.

Men når det gælder udveksling af personoplysninger mellem EU-lande og USA, findes der altså en særlig og lempeligere undtagelse. Safe harbor-ordningen er indført af EU-Kommissionen med den begrundelse, at »overførsler af personoplysninger udgør et vigtigt og nødvendigt element i det transatlantiske forhold«.

Men ordningen har domstolen altså nu erklæret for ugyldig. Stewart Room, der er partner i konsulentfirmaet PricewaterhouseCoopers Legal og global chef for cybersikkerhed og databeskyttelse, siger at dommen kan vise sig at få stor betydning:

»Vi ved nu, at der er en meget åbenlys rigiditet i hjertet af EU’s databeskyttelseslovgivning. Safe harbor-ordningen var et kommercielt og politisk kompromis for at gøre det muligt at overføre persondata over Atlanten af økonomiske og samfundsmæssige årsager. Men nu ved vi, at lovgivningen er langt mere rigid end det politiske kompromis,« siger Stewart Room.

I dag er der omkring 4.400 virksomheder aktivt tilsluttet safe harbor-ordningen. Så forskellige firmaer som Facebook, Linkedin, Twitter, Deloitte, KPMG, Lockheed Martin, BMW, Tesla, Cisco og Motorola er eksempelvis i dag en del af ordningen og skal nu formentlig lede efter nye muligheder for at fortsætte med at overføre personoplysninger til USA.

USA: Personfølsomme oplysninger fra EU-borgere lagres på servere i USA – eksempelvis Facebooks – som den amerikanske efterretningstjeneste NSA potentielt kan tilgå.

Det var den 28-årige østriger Max Schrems, der som en del af en årelang kamp mod Facebook satte gang i sagen, der førte til dommen ved EU-Domstolen. Han er ph.d.-studerende, privatlivsaktivist og har været bruger af Facebook siden 2008. At være europæisk bruger hos Facebook betyder, at nogle eller alle ens data overføres fra Facebooks irske afdeling til servere i USA, hvor dataen behandles. Det valgte Max Schrems at klage over til det irske datatilsyn med henvisning til Edward Snowdens afsløringer af det såkaldte PRISM-program, der viste, at store amerikanske teknologiselskaber som Facebook samarbejder intensivt med efterretningstjenesten NSA om at udlevere personoplysninger til tjenesten.

EU: Europæiske borgere afgiver personoplysninger til datterselskaber af amerikanske firmaer – eksempelvis Facebook Ireland – som overføres til USA.

EU-Kommissionen har da også erkendt, at det ser ud til, at alle de amerikanske teknologiselskaber, som var en del af NSA’s PRISM-program, netop var en del af safe harbor-ordningen. Det fremgår af dommen. EU-Domstolen refererer ikke direkte selv til PRISM-programmet, men slår alligevel et principielt vigtigt punkt fast i forhold til de amerikanske efterretningstjenesters privilegerede adgang til dataen på amerikansk grund:

»Lovgivning, der på generel vis gør det muligt for de offentlige myndigheder at få adgang til indholdet af elektronisk kommunikation, skal anses for at udgøre et indgreb i det væsentlige indhold af den grundlæggende ret til respekt for privatlivet,« som EU-Domstolen skriver i en meddelelse om dommen.

»Denne beslutning er et stort nederlag for den amerikanske globale overvågning, der er stærkt afhængige af private partnere. Dommen gør det klart, at amerikanske firmaer ikke bare kan assistere den amerikanske spionageindsats i strid med fundamentale europæiske rettigheder,« skriver Max Schrems i en kommentar til dommen.

Ifølge Stewart Room fra PricewaterhouseCoopers viser dommen, at magten netop er tippet i retning af aktivisterne, når det kommer til databeskyttelse:

»Vi lever i aktivisternes æra. Mit synspunkt er, at de nu ’ejer’ databeskyttelsesområdet. De har nu udfordret EU-Kommissionens beslutninger, firmaers gøren og laden, samt nationale tilsyns autoritet. Aktivisterne er nu en af de mest indflydelsesrige aktører,« siger Stewart Room.

Amerikansk kritik

Hos organisationen European Digital Rights (EDRi) har man i årevis kritiseret safe harbor-ordningen for ikke yde en tilstrækkelig beskyttelse af de europæiske borgeres rettigheder.

Ifølge Joe McNamee, der er direktør i EDRi, har alle siden begyndelsen været klar over, at safe harbor-ordningen ikke var tilstrækkelige.

»Vi havde præcis det samme problem med logningsdirektivet. Der vidste man også i årevis, at der var massive problemer med direktivet, men det var først, da privatlivsaktivister investerede store mængder tid og penge i at tage en sag til EU-Domstolen, at direktivet til sidst blev annulleret,« siger Joe McNamee og tilføjer: »Det tog syv år – og præcis ligesom her – vidste alle, at det var ulovligt. Der er et underliggende fundamentalt institutionelt problem. For hvordan kan det her fortsætte med at ske?«

Mens europæiske aktivister glæder sig over dommen, bliver den mere kritisk modtaget i USA, hvor lobbygrupper og det amerikanske diplomati har advaret imod konsekvenserne af at annullere safe harbor-ordningen.

»Det er en trist dag for europæisk databeskyttelse og en trist dag for transatlantisk forretningsliv,« siger Brian Hengesbaugh, partner i Baker & McKenzie, hvor han rådgiver firmaer om blandt andet safe harbor-ordningen og databeskyttelse. Han var selv blandt de embedsmænd i det amerikanske handelsministerium, der forhandlede safe harbor-ordningen på plads med EU i halvfemserne – et job han siden har modtaget en medalje for. Han mener, at EU-dommen grundlæggende bygger på en misforstået opfattelse af det amerikanske overvågningssystem.

»De forstår ikke amerikansk lovgivning,« siger han og tilføjer: »Man har låst sig fast i 2013 (tidspunktet for Edward Snowdens afsløringer, red.) og ikke taget hensyn til de ændringer, der er sket siden. Jeg var overrasket over, at domstolen henviser til udifferentieret masseovervågning, som om det er det, der foregår i dag,« siger han og tilføjer, at det store flertal af de over 4.000 selskaber, der er en del af safe harbor-ordningen, i øvrigt aldrig nogensinde modtager forespørgsler fra NSA.

Jan Philipp Albrecht, der er tysk medlem af Europa-Parlamentet for partiet De Grønne, afviser, at dommen er et stort problem for selskaberne.

»De skal bare følge de samme regler som i EU, og som de fleste andre lande uden for EU. Der er ikke noget, der er umuligt eller forbudt, nu skal man bare overholde EU’s lovgivning og kan ikke længere henvise til, at de amerikanske regler er tilstrækkelige, når det nu helt tydeligt ikke er tilfældet,« siger han.

EU-Kommissionen, der i går afholdt et pressemøde efter dommen, henviser til, at der er flere andre måder end safe harbor-ordningen, hvormed firmaer kan overføre oplysninger fra EU-lande til USA.

Men disse øvrige ordninger er imidlertid også i potentiel fare. Det vurderer Christopher Kuner, der er juraprofessor på Vrije Universiteit Brussel med speciale i global databeskyttelseslovgivning.

»Et af de store ubesvarede spørgsmål er, hvad dommen betyder for dataoverførsler helt generelt. Domstolen kritiserer safe harbor-ordningen, men meget af den kritik kan man også rette mod næsten alle andre mekanismer, der bruges til at overføre data til tredjelande. Dommen vil dermed medføre stor juridisk usikkerhed,« siger han.

Bliv opdateret med nyt om disse emner på mail

Er det første gang du skal stemme til et folketingsvalg?
Vi giver alle førstegangsvælgere gratis digitalt abonnement under valget.

Tilmeld dig

Er du abonnent? Log ind her

Anbefalinger

  • Robert Ørsted-Jensen
  • Troels Larsen
  • Benno Hansen
Robert Ørsted-Jensen, Troels Larsen og Benno Hansen anbefalede denne artikel

Kommentarer

Fra artiklen:

"»De forstår ikke amerikansk lovgivning,« siger han og tilføjer: »Man har låst sig fast i 2013 (tidspunktet for Edward Snowdens afsløringer, red.) og ikke taget hensyn til de ændringer, der er sket siden. Jeg var overrasket over, at domstolen henviser til udifferentieret masseovervågning, som om det er det, der foregår i dag,«"

Et ret ubrugeligt forsvar. Den Amerikanske Kongres ved ikke engang præcis hvad NSA foretager sig, det er dokumenteret, og den lovgivning der er vedtaget, som er påstået at skulle hæmme NSAs overvågning, vedrører kun en meget lille del af den overvågning, som Snowden afslørede (og er specifikt rettet mod overvågning af amerikanske borgere, hvilket EU dommen af gode grunde ikke er).

USAs overvågningsprogram høster som det har sået. Politisk pres og diplomatiske skærmydsler har ikke har den ringeste effekt på arrogancen, så det er et overordentligt positivt skridt at man i stedet rammer erhvervslivet. Penge er trods alt det eneste sprog den amerikanske regering forstår.

Anne Eriksen, peter fonnesbech, Robert Ørsted-Jensen, Hasse Feldthaus, Per Jongberg, Jens Kofoed, Thomas Toft, Jacob Hansen, Troels Larsen, kjeld jensen, Helge Sørensen og Anne-Marie Krogsbøll anbefalede denne kommentar

@Sune - Enig i vurderingen af det forsvar. Oveni det kommer tilføjelsen om:

"at det store flertal af de over 4.000 selskaber, der er en del af safe harbor-ordningen, i øvrigt aldrig nogensinde modtager forespørgsler fra NSA."

For først og fremmest er det vel ligegyldigt om flertallet aldrig modtager forespørgsler.
Det er nok snarere befalinger man modtager fra NSA, så måske er det teknisk set korrekt?

Og hvordan i al verden kan Hr. Hengesbaugh påstå at have viden om det? Som du rigtig nok påpeger, har selv kongressen næppe viden om det.

Anne-Marie Krogsbøll

Hvad hjælper det, at man dømmer udlevering af data til USA for ude, når vi ikke selv passer på vore data? Ny rapport fra Rigsrevisionen peger på, hvor utroligt ringe det står til på det område indenfor de vigtige statslige organisationer, der håndterer følsomme data:
http://www.version2.dk/artikel/rigsrevisionen-statslige-politidata-og-su...

Det ser oven i købet ud til, at de pågældende institutioner er gjort anonyme i "forseelsestabellen", så man ikke kan se, hvem der er de værste. Måske af sikkerhedshensyn, men når der kun er tale om 6 navngivne institutioner, hjælper mørklægning nok ikke så meget.

Det må jo være endnu en af disse sager, der må falde ind under "ansvaret, der forsvandt". For hvis ansvar er det egentligt på politisk niveau, at der ikke kommer styr på disse ting?

Hvorfor er det anderledes end skattesagen, hvor man da i det mindste påstår, at man forsøger at placere et ansvar (dog sikkert et forkert sted)? Er der ikke en minister, der har ansvar for, at statens IT opfører sig forsvarligt?

Eller er der simpelthen ikke nogen, der har ansvaret? Det er jo ikke fordi, man ikke er blevet advaret den ene gang efter den anden. Hvad har de ansvarlige ministre gjort for at følge op på skandalerne?

Godt gået...

Men hvorfor skal det være en privat persons opgave, at få lukket hullerne i de gennemsivede og den håbløs bagude digitale lovgivning?

Det burde da være vores folkevalgte politikere, som varetager først og fremmest befolkningens interesser. Men de er vel efterhånden sovset så godt og grundigt til i spin, lobbyisme og sponsorater fra pengestærke interesse organisationer og koncerner, at de er blevet "blinde og døve"...

Anne Eriksen, Ib Christensen og Anne-Marie Krogsbøll anbefalede denne kommentar
Anne-Marie Krogsbøll

Det er mig en gåde, hvordan denne "safe harbour"-aftale overhovedet har kunnet være i overensstemmelse med den danske lovgivning om persondata, som jeg da indtil for få år siden troede hvilede på, at man ikke kunne udlevere følsomme persondata uden vedkommendes samtykke (men få undtagelse). Hvordan er denne aftale overhovedet gledet igennem den politiske proces herhjemme?

Hvad er der overhovedet blevet af den danske datalovgivning? Jeg er ved at nå til den ubehagelige konklusion, at vore toneangivende politikere slet ikke ØNSKER at beskytte vore persondata - det er alt for dyrt, både i bevillinger, i mishag fra allierede og i tabte indtægter fra pengestærke interesser, hvis penge, man gerne vil have fat i (sikkert både privat og til statskassen).

For jeg kan simpelthen ikke se, at der bliver gjort noget overhovedet ved dette problem fra politisk hold. Tvært imod udvander man lovgivningen mere og mere, jf. lovgivningen om sundhedsdata, hvor der snart ingen grænser er for udlevering.

Der er de tidvise skandaler, hvor politikerne udtrykker behørig forargelse, og derefter "nu må vi se fremad" - hvorefter der intet bliver gjort.

Hvad er er f.eks. blevet af opfølgningen på at få placeret et ansvar for DAMD-sagen? Nej vel?

Politikerne træder vande, for de ønsker ABSOLUT ikke at sikre vore persondata bedre, end de er på nuværende tidspunkt, tvært imod - og det er kriminelt dårligt.

Henrik Leffers, Anne Eriksen og Kim Hansen anbefalede denne kommentar
Freddy Andersen

IT sikkerhed min bare, både når det gælder den Danske, men også den i EU.
At det er en privat der må føre sagen, stiller jo hele systemet til grin eller meddelagtige i ulovlighederne.

Anne-Marie Krogsbøll, Mette Brun og peter fonnesbech anbefalede denne kommentar
georg christensen

I gen et privat "Individ", som med mod og ihærdighed stiller hele EUs politiske lobbyisme på afskudsrampen. Af og til, spørger jeg mig selv: Hvor meget mere "lobbyisme", kan EU mon modstå inden hele herligheden falder sammen af sig selv?.