Alle venter på, hvor hårdt hammeren slår

Deadline for en ny dataudvekslingsaftale mellem EU og USA er overskredet, men personlige data flyder fortsat under Atlanterhavet, selv om det nu er ulovligt. Alle venter på udmeldingen fra de 28 datatilsyn, som nu holder møde i Bruxelles.

Det var østrigeren Maximilian Schrems, som gennem sin sag mod Facebook fik EU-Domstolen til at underkende den 15 år gamle dataudvekslingsaftale mellem EU og USA i oktober 2015. Trods hårde forhandlinger er det ikke lykkedes at få forhandlet en ny aftale på plads, og nu ventes det, at hammeren falder. Arkivfoto: Hans Punz, EPA/Scanpix Fold sammen
Læs mere
Foto: HANS PUNZ

Tiden er udløbet. Uret tikker på overtid. Det er nu ulovligt at overføre data fra Europa til USA. Facebook, Google, Apple, Microsoft og alle andre af de internettjenester, som i hundredvis af millioner af os bruger mange gange hver eneste dag, er nu ulovlige og bør straks lukkes, indtil de overholder reglerne.

Den frist, som de 28 EU-landes datatilsyn gav EU og USA til at få en ny, bedre og sikrere aftale om dataudveksling på plads, udløb natten til mandag. Datatilsynene mødes tirsdag til et to dage langt møde i Bruxelles for at drøfte, hvad de nu vil gøre, hvor og hvor meget de vil skride ind, hvor mange bøder der skal deles ud, hvor store de skal være, og hvor hurtigt det skal ske.

Også overførsler af f.eks. løn- og personaledata, kreditkortdata, rejsedata, e-handelsoplysninger samt medicinske oplysninger, som mange myndigheder og virksomheder i Europa har aftale med amerikanske selskaber om, er nu ulovlige. EU forbyder nemlig, at europæeres personlige data sendes til steder i verden, der ikke garanterer tilstrækkelig databeskyttelse, blandt andet fordi man som europæer ikke kan klage, hvis amerikanske myndigheder har fået adgang til ens personlige data.

Snowden-afsløringer skræmmer

EU-Domstolen, som er EUs øverste, juridiske myndighed, grundskød i oktober den 15 år gamle »Safe Harbour«-aftale, som over 4.000 virksomheder - især amerikanske - har meldt sig til for på den måde at kunne overføre europæeres personlige data til servere, der fysisk står i USA, og behandle oplysningerne dér. Dermed står virksomhederne inde for, at beskyttelsen af oplysningerne i deres datacentre er i orden.

Aftalen var nødvendig, fordi USA ikke betragtes som et sikkert dataland, hvilket EU-Domstolen understregede ved at kende aftalen ugyldig som følge af afsløringerne af den masseovervågning og -aflytning, som den tidligere efterretningsansatte Edward Snowden siden juni 2013 har foranlediget ved at offentliggøre tophemmelige dokumenter fra den amerikanske efterretningstjeneste NSA.

Datatilsynene gav EU og USA en frist til udgangen af januar til at få landet en ny aftale, som på tilstrækkelig vis tog hånd om datasikkerheden. Det er ikke lykkedes trods intense og mange drøftelser. Forhandlingerne fortsætter dog i de nærmeste dage.

EU kræver bedre kontrol

»Der har været konstruktive men svære forhandlinger i weekenden. Arbejdet pågår stadig, vi er endnu ikke i mål, men Kommissionen arbejder dag og nat for at få en aftale i stand,« sagde en talsmand for EU-Kommissionen mandag efter overskridelsen af deadline.

EUs justitskommissær, Vera Jourová, bekræftede mandag aften over for Europaparlamentet, at forhandlingerne fortsatte, også på politisk niveau.

»Vi må stole på dem, men samtidig siger jeg, at vi også må kontrollere. Vi er nødt til at fastlægge regler, som giver os så meget plads som muligt til at kontrollere, hvordan det fungerer dér, og giver os fortløbende garantier,« sagde justitskommissæren. USA har blandt andet tilbudt at oprette en ombudsmandsinstitution for at sikre en ordentlig kontrolmulighed, men EU presser på for, at ombudsmanden både er uafhængig af de amerikanske myngiheder og kan få magt til faktisk at undersøge, om der sker amerikansk overvågning, og ikke blot til at sende håndtere klager fra europæere og datatilsyn.

Næppe mange danske virksomheder i klemme

Advokat Michael Hopp, partner i advokatfirmaet Plesner og ekspert i persondataret, vurderer over for Berlingske, at de fleste, danske virksomheder allerede har ændret deres praksis og sikret sig et grundlag for at sende persondata til USA.

»Vi vidste godt alle, at man ikke ville nå at få en ny aftale i stand. Jeg er ikke bekendt med ret mange danske virksomheder, som ikke er på plads. Rigtigt mange har indrettet sig og løst problemet ved at indgå en modelkontrakt, og nogen har hele tiden haft et direkte samtykke fra kunden eller brugeren. Facebook har således også en direkte aftale med kunden. Der kan dog være danske datterselskaber af store, amerikanske virksoheder eller danske virksomheder med mange underleverandører, som stadig er ramt,« siger Michael Hopp.

Det helt store jordskælv kan dog udløses, hvis datatilsynene melder ud, at de vil kikke på de såkaldte modelkontrakter, som ikke kun bruges over for USA men også andre lande uden for EU, som heller ikke regnes for datasikre. En modelkontrakt er en aftale mellem den, der eksporterer data, og den, der modtager data i USA eller et andet land, med garantier over for både eksportør og modtager og for den person, hvis data overføres. Her kan man nemlig som kunde eller bruger håndhæve garantierne over for begge parter - altså slå i bordet, hvis aftalen ikke overholdes. Har man derimod givet samtykke, fralægger man sig reelt sine rettigheder, fordi man har accepteret, at persondata forlader den beskyttelse, som vi har inden for EU.

Det var den østrigske jurastuderende, Maximiliam Schrems, der gennem en klage over, at Facebook sendte hans data til USA, fik EU-Domstolens afgørelse af, at »Safe Harbour«-aftalen ikke garanterede den databeskyttelse, som europæere har krav på, og derfor var ugyldig.