Facebooks dataoverførsler skal for EU-Domstolen

Det irske datatilsyn kan ikke afgøre, om der er tilstrækkelig beskyttelse mod amerikansk overvågning i de aftaler, som bl.a. Facebook lige nu bruger for at kunne overføre data fra Europa til servere i USA.

Om Facebooks og andres alternative aftaler for at kunne flytte data fra Europa til USA holder vand, skal EU-Domstolen nu afgøre. Samme domstol kendte i oktober 2015 den da 15 år gamle dataudvekslingsaftale mellem EU og USA ulovlig. Arkivfoto: Dado Ruvic, Reuters/Scanpix Fold sammen
Læs mere
Foto: DADO RUVIC

Der er fortsat så stor usikkerhed om, hvorvidt europæere er tilstrækkeligt sikret mod amerikansk overvågning, når Facebook overfører folks personlige data fra Europa til USA, at det irske datatilsyn nu overlader det til EUs højeste domstol at afgøre, om man kan være tryg ved det - samme domstol, som for et halvt år siden sønderskød den 16 år gamle dataudvekslingsaftale mellem de to kontinenter.

Facebook har ligesom en række internationale teknologiselskaber sit europæiske hovedsæde i Dublin i Irland, og det er derfor det irske datatilsyns opgave at kontrollere, at lovgivningen overholdes. Datatilsynet vil imidlertid - efter at have undersøgt sagen - bede EU-Domstolen om at bedømme, om Facebooks såkaldte »modelkontrakter«, som er de juridiske aftaler, som tusinder af virksomheder bruger for at kunne føre personlige data ud af EU, overholder lovgivningen og er tilstrækkelig sikkerhed for, at europæeres data ikke falder i forkerte hænder.

4.000 virksomheder brugte sønderskudt aftale

Det var EU-Domstolen, som i oktober 2015 erklærede den da 15 år gamle dataudvekslingsaftale med navnet »Safe Harbour« ulovlig. Den tidligere efterretningsansatte Edward Snowdens afsløringer af massiv, amerikansk spionage gennem efterretningstjenesten NSAs snagen i folks personlige data viste ifølge domstolen, at »Safe Harbour« ikke værnede europæere mod at få krænket privatlivets fred. USA betragtes ikke som et sikkert land, hvad angår netop databeskyttelse, og derfor havde USA og EU indgået aftalen, som op mod 4.000 især amerikanske selskaber har meldt sig til og dermed forpligtet sig til at sikre, at data, der overføres fra Europa til USA, beskyttes efter standarder, der lever op til den europæiske databeskyttelse.

Siden aftalen blev kendt ugyldig, har virksomheder, der fortsat har haft brug for at sende data fra Europa til USA, derfor måttet bruge modelkontrakterne, som er juridisk mere komplicerede, for ikke at skulle indstille dataoverførslerne straks.

Sagen var udløst af en østrigsk jurastuderende, Maximilian Schrems' klage til netop det irske datatilsyn over, at Facebook uden at få hans accept havde flyttet hans personlige data til servere, der fysisk stod i USA.

Datatilsyn kritiske over for ny aftale

Under voldsomt pres indgik EU og USA i de første dage af februar i år en ny aftale, døbt »Privacy Shield«, som skal lukke hullerne i den gamle dataaftale. Men de 28 EU-landes datatilsyn har påpeget flere utilstrækkeligheder i aftalen, og dem arbejder EU-Kommissionen nu sammen med de amerikanske forhandlere om at få afklaret. EUs justitskommissær, Vera Jourová, sagde for nylig til Berlingske, at hun forventer en afklaring til juni.

Det irske datatilsyn fik med EU-Domstolens afgørelse i oktober opgaven at undersøge datasikkerheden ved brug af modelkontrakterne. Men datatilsynet indstiller nu til den irske højesteret, at det overlades til EU-Domstolen at afgøre spørgsmålet.

»Hvis retten beslutter, at man ikke kan stole på standardkontrakterne, og at overførslen af personlige data, som de omfatter, skal stoppes, vil effekten på internationale forretninger være katastrofal,« siger advokat Oliver Yaros fra selskabet Mayer Brown til nyhedsbureauet Reuters.