Stadig større pres for ny dataaftale

Ved udgangen af januar vanker der bøder, hvis ikke EU og USA er enige om en ny og strammere databeskyttelsesaftale. EU kræver, at virksomheder offentliggør, hvor ofte USA kræver data udleveret.

Den aftale, som gennem 15 år har gjort det muligt for bl.a. Facebook, at overføre personlige, europæiske data til servere i USA, er ulovlig, og inden udgangen af januar skal en ny være på plads. Ellers vanker der bøder til alle, der sender data over Atlanten. Arkivfoto: Dado Ruvic, Reuters/Scanpix Fold sammen
Læs mere
Foto: DADO RUVIC

Mens uret tikker, og presset vokser, har EU-Kommissionen nu en vejledning klar til, hvordan europæiske data stadig kan overføres betryggende til USA, indtil EU og USA om lidt under tre måneder skal have en ny og skrappere dataudvekslingsaftale på plads for at undgå store bøder.

Samtidig lægger EU pres på for at få virksomheder til at oplyse, hvor mange gange amerikanske myndigheder har bedt om at få udleveret personlige data, skriver nyhedsbureauet Reuters.

De 28 EU-landes datatilsyn har givet EU og USA frem til udgangen af januar til at få en ny aftale klar. Derefter går datatilsynene nemlig i gang med at uddele bøder for overtrædelse af datalovgivningen.

EU-Domstolen: 15 år gammel aftale ulovlig

6. oktober grundskød EUs højeste, juridiske myndighed, EU-Domstolen, den 15 år gamle dataudvekslingsaftale, »Safe Harbour«, mellem EU og USA med den banebrydende begrundelse, at amerikanske myndigheder - heriblandt den skandaleramte efterretningstjeneste NSA - har alt for uhindret adgang til europæiske data, som overføres til USA. Aftalen blev simpelt hen underkendt, altså erklæret ugyldig.

USA betragtes ikke som et sikkert dataland, fordi lovgivningen ikke yder tilstrækkelig beskyttelse af personlige data. Derfor har amerikanske virksomheder siden 2000 kunnet udfylde en formular hos det amerikanske handelsministerium, hvor de lover at beskytte europæiske data i USA efter europæiske krav. Det har over 4.000 amerikanske og europæiske virksomheder gjort, men ingen har kontrolleret, at det faktisk sker.

Den kontrol ønsker EU-Kommissionen at få ved at kræve, at virksomhederne oplyser, hvor ofte amerikanske myndigheder beder om at få udleveret data. EUs krav er dog bløde. Kravet vil kun være, at virksomhederne en gang om året leverer et samlet tal, siger kilder til Reuters.

EU-kommissær: Skudsikker løsning kræves

Først for et års tid siden og efter massivt pres mod den amerikanske regering fik teknologiganter som Microsoft, Facebook, Apple og Google lov til at offentliggøre udleveringskravene, som de ønskede - dog med seks måneders forsinkelse og kun med intervaller på 1.000 anmodninger, så man ikke præcis kan se, hvor mange gange data kræves udleveret.

»Safe Harbour« har hidtil været brugt af såvel teknologigiganter som Facebook, Microsoft, Apple og Google som af multinationale selskaber i både Europa og USA.

EU-Kommissionens vicepræsident og digitale superkommissær, den tidligere estiske premierminister Andrus Ansip, sagde fredag, at en ny aftale med USA vil være på plads inden for de tre måneder, som datatilsynene har sat som tidsfrist.

»Vi skal have en skudsikker løsning,« fastslog Andrus Ansip med henvisning til kravet om garantier fra USA om, at USA kun vil tilgå europæeres data målrettet - altså i helt konkrete tilfælde og ikke ved at trawle data igennem for at finde spor. Det har USA og EU sloges om gennem to år.

Andrus Ansip er klar over, at også en ny dataudvekslingsaftale kan blive indbragt for en domstol.

Andre muligheder i tomrummet

Kommissionen lagde fredag en længe ventet vejledning ud til de virksomheder, som er ramt af den nye situation, om, hvordan de på lovlig vis fortsat kan overføre europæeres personlige data og oplysninger til servere, der fysisk befinder sig i USA.

Virksomheder kan indgå særlige kontrakter for overførsel af persondata, hvilket nogle virksomheder allerede i dag benytter sig af, men det kræver, at man indgår særlige, individuelle kontrakter. Samtidig skal man bede brugerne om deres samtykke.

Det tyske datatilsyn har allerede meddelt, at det ikke vil godkende nogen nye dataoverførsler til USA på baggrund af eksisterende regler. Tyskerne afventer, at en ny aftale forhandles på plads.

Kommissionen slog fredag fast, at dataaftaler med lande som Argentina, Canada, Israel, New Zealand og Schweiz ikke er påvirket af den nu ulovlige »Safe Harbour«-aftale, men at også disse aftaler løbende vil blive kontrolleret, så snart en ny EU-databeskyttelseslovgivning er på plads.

Den har været undervejs i mange år og vil stramme databeskyttelsen væsentligt og gøre den ensartet i alle 28 EU-lande. Samtidig vil der blive lagt op til gigantiske bøder, hvis lovgivningen overtrædes.

Klage over Facebook udløste lavinen

EU-Domstolens nedskydning af »Safe Harbour«-aftalen sker med henvisning til den tidligere efterretningsansatte Edward Snowdens afsløringer af massiv, amerikansk overvågning og spionage foretaget af NSA. Sagen er nået til EU-Domstolen på baggrund af den 28-årige østrigske jurastuderende Maximilian Schrems, som klagede til det irske datatilsyn over, at det sociale netværk Facebook overførte hans personlige data fra Europa til USA. Facebooks europæiske hovedkontor ligger i Irland, hvorfor det irske datatilsyn skal kontrollere, at lovgivningen overholdes.

Datatilsynet mente ikke at kunne forholde sig til sagen på grund af »Safe Harbour«-aftalen og henviste derfor spørgsmålet til EU-Domstolen, som kendte aftalen ugyldig. Den irske domstol skal derfor nu hastebehandle Maximilian Schrems' oprindelige klage.

EUs justitskommissær Věra Jourová rejser i denne uge til Washington for at fortsætte drøftelserne om den nye aftale.

»Det er nu op til USA at vende tilbage med deres svar,« sagde hun fredag på en pressekonference.