Schrems II er en af de mest betydningsfulde sager inden for databeskyttelse i nyere tid. Afgørelsen har fundamentalt ændret, hvordan organisationer skal forholde sig til overførsel af persondata mellem EU og tredjelande som USA.
Hvis din organisation behandler data på tværs af grænser, er det vigtigt at forstå Schrems II-dommen og de skærpede krav, der følger med.
Hvad er Schrems II?
Schrems II-sagen refererer til en retssag, som den østrigske aktivist Max Schrems anlagde mod Facebook. Sagen satte fokus på datasikkerhed og beskyttelse af personoplysninger, der overføres fra EU til USA.
Kernen i Schrems II-sagen var en udfordring af de såkaldte Standard Contractual Clauses (SCC’er) og Privacy Shield-aftalen, som virksomheder brugte til at overføre persondata fra EU til tredjelande, herunder USA. Max Schrems indgav en klage til den irske databeskyttelsesmyndighed med en påstand om, at de to mekanismer ikke sikrede beskyttelsen af EU-borgeres data, når de blev overført til USA. Det førte til, at sagen blev bragt for EU-Domstolen, fordi de irske myndigheder vurderede, at der var behov for en juridisk afgørelse.
Schrems II-dommen
Domsafsigelsen den 16. juli 2020 ophævede Privacy Shield-aftalen, der tidligere havde været grundlaget for transatlantiske dataoverførsler.
Privacy Shield blev erklæret ugyldig, fordi den gav amerikanske efterretningstjenester adgang til data om europæiske borgere. EU-Domstolen vurderede, at de amerikanske overvågningsprogrammer ikke var tilstrækkeligt begrænset og derfor tillod mere, end hvad der var nødvendigt. Samtidig havde europæiske borgere ingen mulighed for effektivt at klage over ulovlig overvågning i USA, hvilket strider mod EU’s regler om databeskyttelse og retten til privatliv. På den anden side tillod dommen fortsat brugen af SCC’er til dataoverførsler, men indførte en skærpet vurdering af den modtagende organisation.
Schrems II-dommen satte også fokus på ansvaret hos databehandlere og dataansvarlige i EU, som fremover skal sikre, at det land, de overfører data til, tilbyder et beskyttelsesniveau, der er sammenligneligt med EU’s standarder.
Hvad betyder Schrems II for din organisation?
Schrems II-dommen fik store konsekvenser for mange organisationer, da Privacy Shield ikke længere kunne anvendes som grundlag for dataoverførsler. SCC’er blev i en årrække løsningen, men Schrems II øgede også kravene hertil, så organisationen yderligere skulle udføre en såkaldt Transfer Impact Assessment (TIA). Hvis vurderingen viste, at det pågældende land ikke gav tilstrækkelig beskyttelse, skulle organisationen overveje tekniske sikkerhedsforanstaltninger som kryptering eller pseudonymisering for at minimere risikoen.
Den komplicerede proces førte til, at det nye EU-U.S. Data Privacy Framework blev vedtaget i juli 2023. Det giver organisationer en mere lempelig løsning for dataoverførsler til USA, så længe de overholder rammeaftalens krav. Det kræver dog, at den modtagende organisation i USA er certificeret under Data Privacy Framework-programmet hos det amerikanske handelsministerium.
For at din organisation kan håndtere kravene fra Schrems II og udnytte det nye EU-U.S. Data Privacy Framework bedst muligt, kan det være en god idé at:
- tjekke, om amerikanske datapartnere er certificeret under Data Privacy Framework
- opdatere dine dataoverførselsprocedurer og vurdere, om brugen af SCC’er stadig er nødvendig eller kan erstattes
- sikre løbende overvågning af tredjelandes lovgivning, så du altid er opdateret på eventuelle ændringer, der kan påvirke datasikkerheden
- implementere tekniske sikkerhedsforanstaltninger som kryptering, selv når dataoverførslen sker inden for de nye rammer, for at øge beskyttelsen.
