Max Schrems lægger sag an: EU-USA dataaftale truet af Trump-domstol
Dataprivacy-aktivist Max Schrems har anlagt sag mod den transatlantiske dataoverførselsaftale Data Privacy Framework, efter at USA's Højesteret har givet Trump mere magt. Hvad betyder det for danske virksomheder der bruger Google, Microsoft og AWS?
Dataoverførselsaftalen mellem EU og USA, Data Privacy Framework (DPF), er igen under pres. Dataprivacy-aktivisten Max Schrems og hans organisation NOYB (None Of Your Business) har anlagt en ny sag mod aftalen, efter at den amerikanske Højesteret i en markant afgørelse har udvidet Trumps eksekutive beføjelser.
Hvad er Data Privacy Framework?
DPF er den tredje generations aftale om lovlig datatransfer mellem EU og USA. De to foregående aftaler — Safe Harbor (2015) og Privacy Shield (2020) — blev begge skudt ned af EU-Domstolen netop på grund af sagsanlæg fra Max Schrems. DPF trådte i kraft i 2023 som det seneste forsøg på at lægge et juridisk fundament under de transatlantiske datatransfers.
Aftalen tillader europæiske virksomheder at sende persondata til USA, så længe de amerikanske modtagere er certificeret under DPF. I praksis er det en forudsætning for at bruge store cloud-tjenester som Google Workspace, Microsoft 365 og Amazon Web Services (AWS).
Hvad har Schrems angrebet denne gang?
Ifølge NOYB er den nye sag begrundet i to ting: For det første har USA's Højesteret i en nylig dom givet Trump-administrationen vidtgående beføjelser til at afskedige tilsynsorganer og andre uafhængige institutioner. For det andet har Trump-administrationen aktivt undermineret de privacy-garantier, som DPF hviler på — herunder ved at udpege loyale tilhængere til styring af de databeskyttelsesorganer, der skulle være en garant for europæernes rettigheder.
NOYB mener, at USA dermed ikke længere lever op til de betingelser, som EU-Kommissionen selv opstillede som krav for at godkende DPF som tilstrækkelig beskyttelse.
Hvad betyder det for danske virksomheder?
Langt de fleste danske virksomheder bruger amerikansk cloud-infrastruktur i en eller anden form. Hvis DPF væltes af EU-Domstolen for tredje gang, vil det sætte virksomhederne i en juridisk gråzone — ligesom det skete i 2020, da Privacy Shield faldt.
Her er de tre scenarier du skal kende:
- Standardkontraktklausuler (SCC): EU har et sæt standardkontrakter der kan bruges som alternativt retsgrundlag. Men de kræver en konkret risikovurdering af det pågældende tredjeland.
- Binding Corporate Rules (BCR): Større virksomhedskoncerner kan få godkendt interne regler for datatransfer. Komplekst og dyrt, men solidt.
- Europæiske alternativer: Overvej om kritiske data kan placeres hos europæiske cloud-udbydere som Hetzner, OVH eller IONOS — eller via suveræne cloud-løsninger.
Hvad gør du nu?
Sagsanlægget er ikke en dom — det er en sag der nu skal behandles i det irske databeskyttelsesnævn og sandsynligvis ender i EU-Domstolen igen. Det kan tage år. Men eksperter anbefaler allerede nu at kortlægge hvilke data der overføres til USA, og sikre at der er alternative retsgrundlag på plads — især SCC med tilhørende Transfer Impact Assessment (TIA).
En ting er sikkert: Max Schrems har ramt målet to gange før. Tredje gang er aldrig et sikkert nej.
Version2 — Højesteret giver Trump mere magt, så Max Schrems lægger sag an: Dataaftale mellem USA og EU truet
version2.dk/artikel/hoejesteret-giver-trump-mere-magt-saa-max-schrems-laegger-sag-an-dataaftale-mellem-usa-og-eu-truet
Kilde: https://www.version2.dk/artikel/hoejesteret-giver-trump-mere-magt-saa-max-schrems-laegger-sag-an-dataaftale-mellem-usa-og-eu-truet