Principiel EU-dom: EU-U.S. Privacy Shield erklæret ugyldig

Torsdag den 16. juli 2020 har EU-Domstolen afsagt en længeventet og principiel dom i den såkaldte "Schrems II"-sag. I denne nyhed kan du blive klogere på, hvad den får af betydning for overførslen af personoplysninger fra EU til såkaldte usikre tredjelande uden for EU/EØS, herunder USA.

Om dommen og dens betydning

Når der overføres personoplysninger til lande, der ligger uden for EU/EØS, og som ikke er godkendt af EU-Kommission som såkaldt sikre tredjelande, skal der foreligge et tilstrækkeligt overførselsgrundlag. De to mest anvendte overførselsgrundlag i forbindelse med overførelser til usikre tredjelande, herunder USA, er EU-Kommissionens standardkontraktbestemmelser og EU-U.S. Privacy Shield. Det er netop lovligheden af disse to overførselsgrundlag, som EU-Domstolen har taget stilling til i den principielle Schrems II-sag (C-311/18)

 

Til mange virksomheders lettelse er EU-Domstolen nået frem til, at EU-Kommissionens standardkontraktbestemmelser kan bruges som et lovligt grundlag for overførsel af personoplysninger til usikre tredjelande. Brugen af disse standardkontraktbestemmelser kan dog ikke stå alene. Ifølge EU-Domstolen skal der også foretages en audit af dataimportøren af personoplysningerne og en vurdering af det usikre tredjelands beskyttelsesniveau, herunder om landet har et retsstatsprincip, respekt for menneskerettigheder og de grundlæggende frihedsrettigheder mv. 

 

Afsigelsen af dommen i Schrems II-sagen fjerner således den usikkerhed, der gennem længere tid har været forbundet med tredjelandsoverførsler. Tredjelandsoverførsler til USA besværliggøres imidlertid for virksomheder, der hidtil har forladt sig på EU-U.S. Privacy Shield-ordningen. Denne ordning er nu erklæret ugyldig, og de ca. 5.400 virksomheder i USA, der har tilsluttet sig ordningen, og deres EU samarbejdspartnere m.v. skal nu finde et andet grundlag for lovlig overførsel til USA. 

Kort om Schrems II-sagen

Datarettighedsforkæmperen og advokaten Maximillian Schrems var første gang i verdensmediernes søgelys i 2013, hvor han – i forlængelse af Edward Snowdens afsløringer af amerikansk masseovervågning – klagede til den irske Data Protection Commissioner over Facebook Irlands overførsel af hans personoplysninger til Facebook Inc. i USA baseret på den daværende "Safe Harbour-ordning". Baggrunden for klagen var, at Schrems mente, at de amerikanske virksomheder, der var tilsluttet Safe Harbour-ordningen, ikke kunne sikre et tilstrækkeligt beskyttelsesniveau, som er påkrævet af europæisk databeskyttelseslovgivning.

 

Sagen endte hos EU-Domstolen, der i oktober 2015 erklærede Safe Harbour for et ugyldigt grundlag for overførsel af personoplysninger fra EU til USA, hvormed Schrems fik medhold. 

 

Facebook valgte derefter at basere deres tredjelandsoverførsler til USA på EU-Kommissionens standardkontrakt for overførsel af personoplysninger fra EU til en databehandler eller dataansvarlig i et tredjeland. Safe Harbour blev i februar 2016 erstattet af EU-U.S. Privacy Shield, som tilsvarende er en selvcertificeringsmekanisme, men hvor der blev arbejdet med at imødekomme de kritikpunkter, som EU-Domstolen kom med i deres afgørelse om Safe Harbour-ordningen.

 

Efter at EU-Domstolen i den første Schrems dom erklærede Safe Harbour-ordningen ugyldig, har Schrems indbragt spørgsmålet om gyldigheden af EU-Kommissionens afgørelse om EU-Kommissionens standardkontraktbestemmelser for det irske datatilsyn og domstolene i Irland, hvor Facebooks europæiske hovedkvarter er placeret. Schrems mente ikke, at Facebooks anvendelse af EU-Kommissionens standardkontrakter gav ham en beskyttelse, der levede op til standarden inden for EU, særligt på grund af den nævnte lempelige amerikanske lovgivning om myndighedernes, herunder efterretningstjenesternes, adgang til indsamling af personoplysninger.

 

Den irske High Court endte med at sende 11 præjudicielle spørgsmål til EU-Domstolen og inddrog heriblandt spørgsmål om gyldigheden af EU-U.S. Privacy Shield-ordningen og tilstrækkeligheden af EU-Kommissionens standardkontraktbestemmelser som overførselsgrundlag. Schrems II-sagen, der blev afgjort den 16. juli 2020, var således foranlediget af en anmodning om præjudiciel afgørelse indgivet af High Court (Irland). 

EU-Domstolens afgørelse

EU-Domstolen fastslår, at EU-Kommissionens standardkontraktbestemmelser udgør et gyldigt grundlag for overførsel af personoplysninger til usikre tredjelande, herunder USA, mens EU-U.S. Privacy Shield-ordningen erklæres ugyldig. 

 

Ifølge EU-Domstolen udgør EU-Kommissionens standardkontraktbestemmelser et gyldigt grundlag for overførsel af personoplysninger til ikke sikre tredjelande, men ligesom Generaladvokaten pålægger EU-Domstolen dataeksportørerne en forpligtigelse til at foretage audit af dataimportørerne og undersøge, om beskyttelsesniveauet i det pågældende tredjeland lever op til beskyttelsesniveauet inden for EU. 

 

Private virksomheder pålægges at suspendere dataoverførsler til usikre tredjelande og/eller ophæve kontrakten med dataimportøren, hvis det vurderes, at beskyttelsesniveauet i tredjelandet ikke længere er tilstrækkeligt. Ligeledes pålægges dataimportøren af personoplysningerne at underrette dataeksportøren, såfremt denne ikke længere er i stand til at overholde de vedtagne standardkontraktbestemmelser. Endelig forpligtes tilsynsmyndigheder, herunder det danske Datatilsyn, til at forbyde en overførsel af personoplysninger til et tredjeland, såfremt de finder, at de indgåede standardkontraktbestemmelser fra EU-Kommissionen ikke er overholdt eller ikke kan overholdes i det pågældende land. 

 

EU-Domstolen erklærede derimod EU-U.S. Privacy Shield-ordningen ugyldig. Ifølge EU-Domstolen er den lovgivningsmæssige privatlivsbeskyttelse i USA ikke tilstrækkelig, og EU-Domstolen fandt det bevist, at der fortsat finder vilkårlig og generel masseovervågning sted i USA, blandt andet med hjemmel i den amerikanske Foreign Intelligence Surveillance Act. Endvidere fandt EU-Domstolen, at den ombudsmandsmekanisme, der er etableret under EU-U.S. Privacy Shield-ordningen, ikke er et tilstrækkeligt effektivt retsmiddel for de registrerede, hvis personoplysninger overføres til USA på grundlag af ordningen. Ombudsmandens udtalelser er således ikke nødvendigvis bindende og kan f.eks. ikke håndhæves over for de amerikanske efterretningstjenester. Endvidere kan Ombudsmanden ikke tiltvinge sig adgang til dokumenter hos efterretningstjenester og dermed gennemføre et tilstrækkeligt tilsyn over for disse myndigheder. 

 

På trods af forbedringsarbejdet i kølvandet på Schrems-I dommen fra 2015, blandt andet med implementeringen af en ombudsmandsmekanisme, lider EU-U.S. Privacy Shield-ordningen således samme skæbne som Safe Harbour-ordningen. 

Kromann Reumerts bemærkninger

Afgørelsen indskrænker de tilgængelige retsgrundlag for lovlige overførsler af personoplysninger til USA, idet det ikke længere er muligt for virksomheder inden for EU at bruge EU-U.S. Privacy Shield-ordningen. Det betyder i praksis, at virksomheder i EU, der ønsker at overføre personoplysninger til USA, skal basere en sådan overførsel af personoplysninger på et andet grundlag, herunder eventuelt EU-Kommissionens standardkontraktbestemmelser eller en af de helt særlige undtagelser i databeskyttelsesforordningens artikel 49, stk. 1 (f.eks. samtykke fra de registrerede). 

 

Det synes umiddelbart uafklaret med dommen, om det er udelukket at anvende EU-Kommissionens standardkontraktbestemmelser, når virksomheder overfører personoplysninger til USA. EU-Domstolen har jo fastslået, at beskyttelsesniveauet i USA er utilstrækkeligt ved begrundelsen for tilsidesættelsen af EU-U.S. Privacy Shield-ordningen. Dette gør det vel vanskeligt for private virksomheder at påvise, at det amerikanske retssystem giver den fornødne persondataretlige beskyttelse af de registreredes personoplysninger henset til f.eks. efterretningstjenesternes vide beføjelser. 

 

De mange virksomheder i EU, der overfører personoplysninger til usikre tredjelande på grundlag af EU-Kommissionens standardkontraktbestemmelser, kan uændret anvende disse, men dataeksportøren skal nu forud for overførslen foretage en konkret audit af dataimportøren og tillige sikre, at beskyttelsesniveauet i det pågældende tredjeland må skønnes at være tilstrækkeligt. Sidstnævnte øvelse kan være ganske vanskelig og ressourcekrævende, så der må vi håbe på, at Datatilsynet udsender råd derom.

 

Det bliver spændende at følge, hvilken betydning Schrems II-dommen får for overførsel af personoplysninger til Storbritannien efter Brexit 31. december 2020. Hvis EU-Kommissionen ikke godkender Storbritannien som et sikkert tredjeland, viser tilsidesættelsen af EU-U.S. Privacy Shield-ordningen, at der vil blive stillet meget strenge krav til en eventuel EU-UK Privacy Shield Agreement. 

 

Datatilsynet har nævnt i en pressemeddelelse, at det i samarbejde med de andre tilsynsmyndigheder i EU vil foretage en nærmere analyse af dommen og dens konsekvenser. 

Kromann Reumerts anbefalinger

Vi anbefaler, at alle virksomheder, der overfører personoplysninger til usikre tredjelande på grundlag af EU-Kommissionens standardkontraktbestemmelser nøje overvejer, om dataimportøren er i stand til at leve op til kravene i standardkontraktbestemmelserne, og beskyttelsesniveauet i det pågældende tredjeland. Mange virksomheder har nok uden videre blot forladt sig på kontraktindgåelsen, men det er på ingen måde tilstrækkeligt. 

 

Vi anbefaler endvidere, at virksomheder, der hidtil har overført personoplysninger til USA på grundlag af EU-U.S. Privacy Shield-ordningen, hurtigst muligt vurderer, hvilket overførselsgrundlag der fremadrettet er relevant at anvende.

Læs afgørelsen og pressemeddelelsen
Se EU-Kommissionens standardkontrakter