Udtalelse fra generaladvokaten i Schrems II-sagen

Torsdag den 19. december 2019 har Generaladvokaten for EU-Domstolen afgivet udtalelse i "Schrems II"-sagen. Sagen omhandler i hovedtræk lovligheden af overførsler af personoplysninger fra EU til USA på baggrund af den såkaldte EU standardkontrakt samt indirekte EU - U.S. Privacy Shield-aftalen. Udtalelsen fra Generaladvokaten er positivt nyt for de virksomheder og myndigheder, der eksporterer data til USA.
Datarettighedsforkæmperen og advokaten, Maximillian (Max) Schrems, var første gang i verdensmediernes søgelys i 2013 i forbindelse med sin klage over Facebooks overførsel af personoplysninger til USA. Det irske datatilsyn afviste klagen med henvisning til, at konkrete modtagere af personoplysninger fra EU i USA havde sikret et tilstrækkeligt beskyttelsesniveau ved selvcertificering. Dette navnlig på baggrund af EU-Kommissionens beslutning i 2000 om, at Safe Harbour-selvcertificeringsmekanismen ydede den nødvendige beskyttelse. Sagen endte hos EU-Domstolen, der i oktober 2015 erklærede Safe Harbour ugyldigt grundlag for overførsel af personoplysninger fra EU til USA. Facebook valgte derefter at basere deres transatlantiske overførsler på andet overførselsgrundlag, hvilket blev EU-Kommissionens standardkontrakt for overførsel af personoplysninger fra EU til en databehandler i et tredjeland. Safe Harbour blev i februar 2016 erstattet af EU - U.S. Privacy Shield, som tilsvarende er en selvcertificeringsmekanisme, men hvor der blev arbejdet med at imødekomme de kritikpunkter, som EU-Domstolen kom med i deres afgørelse om Safe Harbour.

Mindre end to måneder efter EU-Domstolens afgørelse forelå, indsendte Max Schrems endnu en klage til det irske datatilsyn over Facebooks overførsler af personoplysninger til USA. Denne gang gik klagen ud på, at det irske datatilsyn tillod overførslen i henhold til EU standardkontrakten, idet Schrems mente, at tilsynet i henhold til standardkontrakten havde mulighed for at stoppe overførslerne. Det irske datatilsyn undersøgte klagen og valgte herefter at stævne Max Schrems og Facebook samlet ved den irske High Court med henblik på at få henvist spørgsmålet om standardkontraktens gyldighed ved EU-Domstolen. I løbet af sagens behandling fandt domstolen det bevist, at der fortsat finder vilkårlig masseovervågning sted i USA, blandt andet med hjemmel i den amerikanske Foreign Intelligence Surveillance Act. Domstolen endte med at sende 11 spørgsmål afsted til EU-Domstolen og inddrog heriblandt spørgsmål om gyldigheden af EU - U.S. Privacy Shield.

Generaladvokaten, danske Henrik Saugmandsgaard Øe, afgav den 19. december 2019 sin udtalelse med forslag til afgørelse i sagen. 

Generaladvokatens udtalelse

Generaladvokaten foreslår, at EU-domstolen afsiger en dom, hvoraf følger, at EU-Kommissionens beslutning om brugen af EU-standardkontrakt er gyldig. Generaladvokaten nævner, at der ikke i forbindelse med den analyse, Generaladvokaten har foretaget som opfølgning på de stillede spørgsmål fra den irske High Court, er fremkommet forhold, der taler imod gyldigheden af standardkontrakten. I givet fald kan standardkontrakten fortsat blive anvendt som mekanisme til gyldig overførsel af personoplysninger fra EU til USA og andre såkaldte usikre tredjelande.

I sagen var der rejst en række spørgsmål om gyldigheden af EU - U.S Privacy Shield-aftalen. Generaladvokaten nævner specifikt, at det er hans vurdering, at det ikke er nødvendigt for EU-domstolens stillingtagen til hovedspørgsmålet i den konkrete sag at foretage vurdering af gyldigheden af EU - U.S. Privacy Shield. Gyldigheden af Privacy Shield-aftalen er i øvrigt også genstand for en anden selvstændig sag ved EU-Domstolen. 

Generaladvokaten understreger, at gyldigheden af standardkontrakten ikke afhænger af sikkerhedsniveauet i det land, hvortil data overføres - i modsætning til Privacy Shield, hvor dette udgør hele grundlaget. En dataansvarlig og databehandler må under alle omstændigheder kun overføre personoplysninger til et såkaldt usikkert tredjeland, hvis vedkommende har givet de fornødne garantier, og på betingelse af at rettigheder, som kan håndhæves, og effektive retsmidler for registrerede er tilgængelige. Det følger således også af standardkontrakten, at den dataansvarlige og/eller tilsynsmyndighederne har pligt til at stoppe overførslerne, hvis sikkerhedsniveauet i modtagerlandet - efter en konkret vurdering - ikke er tilstrækkeligt. Dette er der - som Max Schrems også selv pointerede - mulighed for i den eksisterende standardkontrakt. Hertil kommer, at de registrerede vil kunne rejse krav om erstatning og/eller kompensation mod den dataeksporterende virksomhed, hvis de lider et økonomisk tab eller bliver udsat for en krænkelse af deres rettigheder, ligesom der består en generel klageadgang til nationale datatilsyn.

Selvom Generaladvokaten foreslår, at EU-domstolen i den konkrete sag undlader at tage stilling til gyldigheden af Privacy Shield-aftalen, vælger Generaladvokaten alligevel at fremkomme med en række ikke-udtømmende bemærkninger af betydning for vurderingen af Privacy Shield-aftalens gyldighed. I lyset af Generaladvokatens overvejelser konkluderer denne, at han har visse betænkeligheder ("I entertain certain doubts") i forhold til Privacy Shield-aftalens overensstemmelse med art. 45, stk. 1, i GDPR sammenholdt med art. 7, 8 og 47 i EU's Charter om Grundlæggende Rettigheder og art. 8 i Den Europæiske Menneskerettighedskonvention.

Kromann Reumerts bemærkninger

For europæiske virksomheder og myndigheder, der eksporter personoplysninger til USA og andre såkaldte usikre tredjelande, er det bestemt at håbe, at EU-domstolen vælger at følge Generaladvokatens vurdering af sagen. EU-domstolen er ikke forpligtet til at følge udtalelsen fra Generaladvokaten, men det sker i de fleste tilfælde. Anvendelsen af standardkontrakten er ganske effektivt og nemmere end anvendelsen af øvrige overførselsmekanismer. Sagen har i øvrigt også stor betydning for UK virksomheder i forhold til konsekvenserne af Brexit, hvis der ikke bliver indgået særlig aftale med UK om at betragte dette land som et sikkert tredjeland i forhold til overførsler af personlysninger.

Vi følger sagen ved EU-domstolen og vender tilbage, når den endelige afgørelse foreligger.

Engelsk version af udtalelsen fra Generaladvokaten følger her