En ny modelkontrakt for overførsel af persondata til databehandlere udenfor EU træder i kraft 15. maj 2010. Den nye modelkontrakt fjerner en række begrænsninger i forhold til den tidligere og giver i det hele taget nemmere mulighed for at overføre persondata til behandling udenfor EU.
Den væsentligste ændring
Ændringerne består bl.a. i en lettelse af muligheden for at lade databehandlere anvende under-databehandlere. Tidligere havde databehandlere udenfor EU ikke mulighed for at indgå aftaler med underleverandører, der derved fik adgang til persondata. Dette krævede i stedet nye, særskilte aftaler mellem den dataansvarlige virksomhed og den enkelte under-databehandler. Dette var besværligt og administrativt tungt for virksomheder i EU, der ønskede at outsource dele af deres databehandling til leverandører udenfor EU og – ikke mindst – for de leverandører, der organiserede sig med under-databehandling ved tredjeparter, f.eks. indiske søsterselskaber.
Tilladelsen til under-databehandling er ikke betingelsesløs
En betingelse for under-databehandling er, at den dataansvarlige skriftligt samtykker hertil. Herudover er det et krav, at databehandleren indgår en skriftlig aftale, der pålægger under-databehandleren samme forpligtelser, som modelkontrakten pålægger databehandleren.
Databehandleren er i forholdet til den dataansvarlige ansvarlig for under-databehandlerens databehandling. Kontrakten med under-databehandleren skal være underlagt samme lands persondataretlige lovgivning, som modelkontrakten er underlagt. Det betyder f.eks., at en aftale mellem en databehandler i USA og en under-databehandler i Australien, skal være underlagt dansk persondataret, hvis den dataansvarlige er hjemmehørende i Danmark.
Ikrafttræden
Reglerne træder i kraft den 15. maj 2010.
Baggrund
Revideringen af modelkontrakten har været meget længe undervejs og skyldes især pres fra en række internationale koncerner og organisationer for at kunne lave én aftale mellem outsourcingkunden og leverandøren, som dækker flere underleverandører. Kommissionen vedtog den nye modelkontrakt den 5. februar 2010.
Kommissions beslutningen med den nye modelkontrakt kan læses her.
Det engelske selskab BSkyB har vundet en principiel sag over en IT-leverandør i England pga. ”fraudulent misrepresentation” af informationer givet i forbindelse med et udbud om etablering af et CRM-system. Erstatningen overstiger £ 200 mio. på trods af en aftalt erstatningsbegrænsning på £ 30 mio.
Lidt historie
BSkyB valgte i 2000 på baggrund af et udbud IT-leverandøren EDS til at designe, udvikle og implementere et nyt CRM-system til ca. £ 47,6 mio. Implementeringen mislykkedes. I 2002 ophævede BSkyB derfor kontrakten og anlagde i 2004 sag med krav om erstatning på £ 700 mio. I 2006 havde BSkyB selv etableret et fungerende CRM-system, men til en pris på over £ 265 mio. (estimeret). Der blev afsagt dom til fordel for BSkyB i slutningen af januar 2010 efter 107 dage i retten og estimerede sagsomkostninger for mere end £ 40 mio. pr. part. Efterfølgende har leverandøren accepteret at betale ca. £ 200 mio. til BSkyB.
Hvad gik galt?
Leverandøren påstod at have foretaget en analyse af projektet og på den baggrund udarbejdet en tidsplan. Det viste sig ikke at være sandt. Tidsplanen bundede ikke i den påståede analyse og var i øvrigt for optimistisk. Hvis BSkyB havde fået de korrekte oplysninger, var en anden leverandør blevet valgt.
Leverandøren prøvede forgæves at påberåbe sig som forsvar, at BSkyB – som det ofte er tilfældet – alene havde lavet en overordnet kravspecifikation og ikke gjort sig klart, hvilket system og hvilken funktionalitet BSkyB ønskede.
Verdens bedst uddannede hund
Sagen har ikke været uden drama. Et af leverandørens hovedvidner, der var medansvarlig for afgivelsen af tilbuddet til BSkyB, blev fanget i at lyve under retssagen bl.a. om sine akademiske kvalifikationer – noget der blev afsløret, bl.a. da det lykkedes BSkyBs advokat at opnå samme kvalifikationer for sin hund Lulu. Dommeren anså bl.a. på den baggrund vidnet som gennemgående utroværdig og parat til at lyve for at redde en ordre i land.
Hvorfor er sagen så principiel (i England)?
Fordi den aftalte erstatningsmaksimering blev tilsidesat, har dommen skabt uro i England. Her har retstraditionen ellers hidtil været forankret i en yderst kontraktsbunden fortolkning af aftaler – i hvert fald i forhold til den danske retstradition. Det sker kun ganske sjældent, at bevisbyrden for ”fraudulent misrepresentation” løftes.
Kunne det ske i Danmark?
Vi kender ikke direkte konceptet ”fraudulent misrepresentation” i dansk ret. Ikke desto mindre er det sandsynligt, at sagen også i Danmark kunne være faldet ud til BSkyBs fordel. IT-kontrakter i Danmark indeholder normalt bestemmelser, der ved grov uagtsomhed eller bevidst adfærd (forsæt) ikke opretholder de aftalte erstatningsbegrænsninger. Selv uden en sådan kontraktbestemmelse vil domstolene typisk tilsidesætte en ansvarsbegrænsning i et sådant tilfælde.
Betydningen vil være, at erstatningen også kunne omfatte indirekte tab – f.eks. driftstab – og i det hele taget (næsten) alene være begrænset af, hvor stort et tab, kunden kan bevise at have haft.
En for generel kravspecifikation eller uklare (og skiftende) kundeønsker ses relativt ofte. Dette kan hjælpe leverandøren i tilfælde af f.eks. meget væsentligt forsinkede projekter. Men det hjælper ikke, hvis leverandøren direkte har handlet svigagtigt eller groft uagtsomt, f.eks. gennem manglende projektstyring eller videregivelse af ukorrekte informationer som f.eks. benchmark- eller testdata.
Dommen kan læses her
En meget omtalt amerikansk open source-sag er netop blevet endeligt afgjort ved et forlig. Sagen omhandler software til styring af modeljernbaner.
Sagen, der er kendt under navnet ”Jacobsen v. Katzer”, slår fast, at open source-licenser er gyldige og kan gennemtvinges under amerikansk ret. Herudover slår sagen fast, at en krænkelse af rettighederne til et stykke software, der er udgivet under en open source licens kan udløse økonomisk erstatning, også selvom softwaren er udgivet på en måde, hvor rettighedshaveren ellers ikke opkræver betaling.
Baggrunden
Omdrejningspunktet i sagen er en samling af software til brug i forbindelse med modeljernbaner udgivet af JMRI project (Java Model Railroad Interface). JMRI blev sagsøgt af Kamind, et selskab ejet af Katzer med produktion af udstyr til modeljernbaner, for patentkrænkelse. JMRI svarede igen ved at kræve erstatning for krænkelse af ophavsrettigheder og ved at kræve fogedforbud nedlagt for at stoppe krænkelserne.
Krænkelse af ophavsrettigheder
De amerikanske domstole slog fast, at der ikke var tale om patentkrænkelse. Samtidig blev det slået fast, at Kamind havde krænket rettighederne til JRMI, fordi Kamind havde implementeret kode fra JRMI-projektet i sine produkter. JRMI var udgivet under en open source-licens, der hedder Academic License. En af krænkelserne bestod i, at koden var implementeret i Kaminds produkter, uden at rettighedshaverne var krediteret, som det ellers var foreskrevet i licensen.
Selvom krænkelsen ikke medførte et dokumenteret tab for rettighedshaverne, fandt retten, at der skulle betales erstatning for ophavsretskrænkelse. Parterne blev ved forlig enige om en erstatning på USD 100.000 ligesom det blev aftalt, at Kamind skulle forbydes at markedsføre produkter, der indeholdt kode fra JMRI.
Internettet giver mulighed for, at information og meningsudveksling kan flyde frit og på tværs af landegrænserne. Dette er i de fleste henseender en stor fordel for borgere og myndigheder, men internettet udvider også virkningsområdet for ulovligheder. Der kan herske tvivl om rækkevidden for jurisdiktion, når for eksempel injurier eller andre ulovligheder fremsættes på en hjemmeside i ét land, men er tilgængelige for alle med en computer verden over. Temaet har været kendt i mindst 15 år, men trenden i den seneste retspraksis går mod en udvidelse af virkningsprincippet.
Engelsk domstol dømmer for indhold på californisk website
Man kan godt retsforfølges i England for racistisk indhold på et website lokaliseret i udlandet. Det fremgår af en dom afsagt i januar 2010 af den engelske Court of Appeal. De to sagsøgte blev dømt for at anspore til racehad og offentliggøre racistisk materiale i strid med engelsk lov på deres hjemmeside.
Et centralt forsvar var, at der ikke var engelsk jurisdiktion, da de sagsøgte benyttede sig af en server i Californien til at uploade det ulovlige materiale til. Dette blev dog afvist, da alle brugere af Internettet frit kunne læse materialet, herunder brugere i England. En stor del af forarbejdet til de ulovlige aktiviteter var sket i England, ligesom de sagsøgte kontrollerede deres website fra England. Det stod ligeledes klart, at materialet også var rettet til borgere i England, da sitet opererede med en decideret engelsk side med bogsalg og portooplysninger specifikt rettet til engelske borgere. Det afgørende juridiske princip var en såkaldt ”substantial measure”-test, dvs. en væsentlighedstest, hvor dommeren ser på relationen til virkningslandet – i dette tilfælde England.
Det lovmæssige grundlag i Danmark
I Danmark tog man konsekvensen af den usikre retsstilling på området for jurisdiktion og ændrede straffelovens § 9a i juli 2008. Nu anses ytringer, der er ulovlige i Danmark, men er gjort tilgængelige for alle fra en computer i udlandet, for begået i Danmark, hvis materialet har særlig relation til Danmark. Det kan f.eks. være, hvis sproget er dansk, eller hvis materialet er rettet mod en bestemt befolkningsgruppe i Danmark.
Før lovændringen gjaldt der et virkningsprincip for lovovertrædelser begået via internettet. Dette betød, at en strafbar handling blev betragtet som foretaget, hvor virkningen indtrådte, eller hvor det var tilsigtet, at den skulle indtræde. Resultatet af dette var, at virkningen muligvis kunne tænkes at indtræde i alle lande, hvor materialet var gjort tilgængeligt. Lovændringen er kommet denne uklarhed om udstrækningen af virkningsprincippet til livs.
Den ’særlige relations’-betingelse stemmer godt overens med udfaldet i den engelske dom, hvor materialet netop var rettet mod borgere i England. Uden denne betingelse ville den praksis omkring jurisdiktion, der følger af internettets udbredelse, få alvorlige konsekvenser for borgere verden over. Årsagen til, at materialet skal have særlig relation til Danmark, er nemlig at undgå den situation, at borgere, der ytrer sig på nettet, forinden skal tjekke ytringernes lovlighed i alle lande, hvor ytringerne kunne tænkes at blive fremstillet. Dette ville være uhensigtsmæssigt, da det kunne medføre, at folk stoppede med at give deres meninger til kende over nettet af frygt for at blive retsforfulgt i et fremmed land.
Internettet gør grænserne flydende
Den australske internet-udbyderen iiNet er blevet frikendt for at krænke ophavsretten ved at undlade at stoppe de af iiNets brugere, der foretog ulovlig fildeling. Begrundelsen var, at hvis internet-udbydere skulle være ansvarlige for deres kunders handlinger, ville nærmest alle og enhver kunne sagsøge dem for hvad som helst. iiNet var blevet sagsøgt af Australian Federation Against Theft (AFACT), der mente, at iiNet havde et ansvar for deres brugeres piratkopiering og skulle koble brugere mistænkt for ophavsretskrænkelser af nettet eller alternativt sende dem trusselsbreve. Ved at nægte dette, mente AFACT, at iiNet gjorde sig medskyldig i krænkelserne. Sagen blev afgjort ved the Australian Federal Court i februar 2010.
Dommen er af stor betydning for alle internet-udbydere, da meget internet-trafik består af krænkende materiale. AFACT har dog valgt at appellere sagen med det formål at pålægge internet-udbydere et globalt ansvar for ophavsretskrænkelser. Om internet-udbydere skal ifalde ansvar for ophavsretskrænkelse er et meget aktuelt emne. Således går der rygter om, at en Anti-Counterfeiting Trade Agreement er ved at blive forhandlet mellem USA, EU og et par andre lande. Denne aftale skulle efter sigende forpligte internet-udbydere til, uden forudgående kendelse, at give information om krænkere, ophæve mistænkte krænkeres internetadgang eller eventuelt selv ifalde ansvar for ulovligt materiale.
Et andet tiltag er undervejs i Italien. Regeringen ønsker via lovgivning at gøre YouTube og andre lignende sider ansvarlige for ulovligt materiale uploaded af brugere. Dette stemmer umiddelbart ikke overens med EU-direktivet om elektronisk handel (2000/31/EF). Ifølge direktivet kan internet-udbydere ikke ifalde ansvar, når deres tjeneste udelukkende består i oplagring og/eller videreformidling af brugeres materiale, og de ikke er involveret i selve materialet, der uploades. Medlemsstaterne har dog efter direktivet mulighed for at pålægge udbyderne agtpågivenhed overfor ulovligheder og en forpligtelse til ved opdagede ulovligheder at fjerne informationen eller hindre adgangen til den. En generel overvågningsforpligtelse må dog ingenlunde pålægges udbyderne. Hvordan Italien vil formå at bringe ovennævnte tiltag i overensstemmelse med direktivet står altså stadig hen i det uvisse.
Trods den omtalte frifindelse af iiNet tyder det på, at den generelle tendens er et ønske om, at internet-udbydere skal holdes ansvarlige for deres brugeres handlinger og på sigt besidde en overvågningsfunktion over uploaded materiale. Konsekvensen af sådanne tiltag vil blive, at en udbyder kan sagsøges for materiale uploaded fra et hvilket som helst sted i verden, hvilket vil medføre en udviskning af problemstillingen omkring jurisdiktion i forbindelse med ulovligt materiale på nettet.
Fysisk etablering ej længere afgørende for jurisdiktion?
Staten Virginia har en ny lov på vej, der den 16. februar 2010 blev vedtaget af senatet for staten Virginia. Loven forpligter internet-forhandlere at opkræve sales tax helt uafhængigt af deres fysiske lokalisering. En sådan ”Amazon”-lov er allerede vedtaget af tre stater, New York, North Carolina og Rhode Island og er på vej i flere andre stater.
Baggrunden for loven – og navnet - er, at Amazon.com ikke opkræver sales tax, når en vare sælges til en kunde i Virginia. Ifølge den hidtil gældende lov i Virginia skal et firma opkræve sales tax, når der eksisterer et fysisk bindeled til staten. Amazon.com har kun et datacenter i Virginia, og der hersker tvivl, om dette er tilstrækkeligt til at udgøre et fysisk bindeled, når hovedkontoret er beliggende i Seattle.
Problemet med denne manglende opkrævning af sales tax er den konkurrenceforvridning det medfører i Virginia, når statens egne boghandlere er forpligtet til at opkræve sales tax. På den måde kan kunderne i Virginia altid få varerne 5% billigere ved køb gennem Amazon.com. Godt nok eksisterer der et lovmæssigt krav for borgerne til selv at opgive de skyldige skattekroner. Men i praksis har Virginias skattekontor ingen muligheder for at tjekke dette forhold.
I praksis foregår en handel over Amazon.com således, at det er en af Amazon.com’s lokale samarbejdspartnere, der leverer den købte vare. Til gengæld tilfalder en procentdel af salget samarbejdspartneren – en procentdel, der således heller ikke har været udsat for sales tax. Der er stor enighed om, at der i sådanne tilfælde er tale om omgåelse af den eksisterende lov, som regulerer sales tax, hvorfor loven er blevet fremsat og vedtaget.
”Amazon”-loven er endnu et eksempel på, at betydningen af den fysiske placering af firmaer, der driver forretning over Internettet, minimeres. Landegrænserne og grænserne staterne imellem vil miste deres tidligere relevans med den konsekvens, at den tidligere så hårdt optegnede jurisdiktionsinddeling udviskes.
Udviklingen på globalt plan tyder således på, at vi går nye tider i møde på området for jurisdiktion. Særligt karakteristisk er dette i tilfælde, hvor personer fremkommer med strafbare ytringer over Internettet, der rammer individer bosiddende i andre lande. I sådanne tilfælde er der i høj grad åbnet op for, at det er de krænkedes hjemsted, der er afgørende for jurisdiktionen, og ikke stedet for krænkelsernes oprindelse.
Det sociale netværk Connery.dk fik i Københavns byrets dom af 8. februar 2010 i sag nr. BS 5B-1946/2008 ikke medhold i, at Connery.dk var omfattet af ansvarsfrihedsgrundene for hosting-leverandører i e-handelslovens § 16. Dommen er konkret begrundet, og det omhandlede billedmateriale (undertøjsmodeller m.v.) var åbenbart produceret i kommercielt øjemed, og brugen krænkede fotografens rettigheder til billedmaterialet.
Som tidligere omtalt i IT og Outsourcing nyhedsbrevet trådte bekendtgørelsen om outsourcing af finansielle virksomheders væsentlige aktivitetsområder i kraft 1. marts 2010. Administrationen af det ny regelsæt vil være vanskelig for både kunder og leverandører på området, indtil Finanstilsynets vejledning foreligger. Vejledningen blev den 26. februar 2010 sendt i udkast til de parter, der har været involveret i arbejdet med bekendtgørelsen.
Kromann Reumerts udbudsgruppe afholder den 23. marts i Århus og den 24. marts i København et brunch-seminar om de nye udbudsretlige håndhævelsesregler. Seminaret er ikke specifikt rettet mod it-kontrakter, men er relevant for alle, der beskæftiger sig med udbud.
Tilmelding til arrangementet kan ske her