Här är allt du behöver veta om Schrems II – domen alla företag bävar för
En enda person är på väg att knäcka Facebook. Snart kan företaget förbjudas att behandla EU-personuppgifter i USA, tack vare österrikaren Maximilian Schrems. Här är allt du behöver veta om den sensationella domen Schrems II, vilka konsekvenser den kan komma att få och vad som händer härnäst.
Publicerad
Vad är Schrems II?
Till att börja med är det ett roligare namn på en EU-domstolsdom än C-311/18, som är det formella namnet. Det är också en uppföljare till Schrems I. Både Schrems I och II är döpta efter österrikaren Maximilian Schrems, som är advokat och aktivist.
Maximilian Schrems, 33, har i tio års tid retat gallfeber på Facebook. För åtta år sedan anmälde Schrems företaget till IDPC, den irländska dataskyddsmyndigheten. Schrems ansåg att Facebook i Irland inte hade rätt överföra hans persondata till USA, med hänvisning till att det landets massövervakningssystem stod i strid med den Europeiska unionens datalagar.
Rättsfallet hamnade så småningom hos EU-domstolen (CJEU, eller Court of Justice of the European Union) som gav Maximilian Schrems rätt. EU-domstolen slog fast att det avtal – känt som Safe Harbour – som företag (alltså inte bara Facebook) använt för transatlantisk dataöverföring inte var giltigt. Domen kom att kallas Schrems I.
Det var 2015, ett par år efter att den amerikanska visselblåsaren Edward Snowden blottlagt den nationella säkerhetsmyndighetens (NSA) massövervakning med signalspaningsprogrammet Prism.
Safe Harbour ersattes 2016 med handelsavtalet Privacy Shield (skölden för skydd av privatlivet i EU). Den digitala trafiken mellan EU och USA kunde således fortskrida relativt obehindrat.
Privacy Shield är en mekanism för självcertifiering. Företag i USA kunde anmäla sig till det amerikanska handelsdepartementet och meddela att de uppfyllde kraven på skölden för skydd av privatlivet.
Maximilian Schrems ansåg dock att Privacy Shield mer eller mindre kunde betraktas som ett Safe Harbour i förklädnad och drog ut på ett nytt juridiskt korståg.
Den 16 juli 2020 meddelade EU-domstolen att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Maximilian Schrems vann alltså återigen och domen kallas därför Schrems II.
Vad innebär detta i praktiken?
Det är än så länge något som ingen riktigt kan svara på (även om en hel hoper juridiska rådgivare just nu tjänar storkovan på att försöka). En sak är glasklar: ett företag eller någon annan som är personuppgiftsansvarig kan sedan ungefär ett år tillbaka inte luta sig mot något Privacy Shield-avtal om EU-personuppgifter behandlas i USA. Privacy Shield har ogiltigförklarats.
Det finns dock andra metoder att tillgripa. Ett av dessa är något som kallas standardavtalsklausuler (eller SCC, standard contractual clause). Rent generellt anser EU-domstolen att SCC går att tillämpa om skyddsnivån i tredjelandet (ett land som inte tillhör EU eller EES) är ”väsentligen likvärdig med den som inom EU garanteras genom den allmänna dataskyddsförordningen”.
Standardavtalsklausuler kan förses med tillägg som ”till sin natur är kontraktuella, tekniska eller organisationsmässiga” eller möjligen en kombination av dem. Ett eller flera tillägg ger dock ingen universell garanti om att ett SCC därmed är giltigt i förhållande till gdpr.
En sak som gör tolkningen av Schrems II så besvärlig i nuläget är att den europeiska dataskyddsstyrelsen (EDPB, European Data Protection Board) – ett oberoende europeiskt organ som ska bidra till en enhetlig tillämpning av dataskyddsreglerna hos medlemsländerna – ännu inte antagit de slutliga rekommendationer som ska användas som vägvisare i tillämpningen av Schrems II. Riktlinjerna som EDPB har publicerat är preliminära och har varit ute på publik konsultation.
Kan Facebooks dotterbolag i Irland föra över Maximilian Schrems personuppgifter för behandling av Facebook i USA genom att åberopa en standardavtalsklausul?
Förmodligen inte. Facebook och många andra stora amerikanska bolag omfattas av Fisa (Foreign Intelligence Surveillance Act), en underrättelselag som gör att amerikanska myndigheter har rätt att inhämta EU-personuppgifter i strid med gdpr och grundläggande rättigheter i den Europeiska unionen.
Fisa och gdpr tycks utan den privata skölden nu kollidera så kraftigt att SCC:er, vare sig de är med eller utan tillägg, inte kan tillämpas. Faktum är att EDPB flaggat för att det i praktiken kan bli omöjligt att lagligen föra över personuppgifter till tredje land. ”I sådana fall”, skriver EDPB, ”måste du undvika, pausa eller avsluta överföringen”.
Det åligger den personuppgiftsansvarige att se till att denne eller dess leverantörer och eventuella underleverantörer efterlever gdpr. Och efterlevnadsbedömningen måste ske från fall till fall.
Hur har Facebook hanterat behandling av personuppgifter sedan Schrems II?
Företaget har försökt med alla tänkbara förhalningstaktiker, i hopp om att EU och USA ska vaska fram ett slags Privacy Shield 2.0. Men den här gången tycks utsikterna om ett business as usual – där gdpr genom ett nytt framhastat dataöverföringsavtal undergrävs – betydligt mörkare. EU har signalerat att de 27 medlemsländernas omkring 445 miljoner medborgare och deras grundläggande rättigheter kommer först.
Facebook har dessutom inga fler juridiska möjligheter att påverka implementeringen av Schrems II: i början av maj 2021 beslöt en irländsk domstol att den irländska motsvarigheten till Integritetsskyddsmyndigheten – Irish Data Protection Commission (IDPC) – nu kan gå vidare med den anmälan som ju Maximilian Schrems lämnade in redan 2013.
Om IDPC i praktiken förbjuder Facebook att föra över EU-personuppgifter till USA ska beslutet granskas av representanter från de 27 medlemsländernas respektive dataskyddsmyndigheter. Om någon av representanterna protesterar sker en omröstning där det kan bli så att den europeiska dataskyddsstyrelsen får lägga den avgörande rösten.
I vilket fall är ett slutgiltigt beslut troligen att vänta under 2021.
Vad händer då?
Pandemonium! Nej, men läget är åtminstone osäkert. Notera att Schrems II naturligtvis inte bara gäller Facebook och USA, utan alla företag som av ett eller annat skäl har för avsikt att behandla EU-personuppgifter i tredje land. Man behöver exempelvis inte leta länge för att hitta ett svenskt företag som använder ett amerikanskt bolags molntjänster.
Som en representant för Facebook säger till sajten Techcrunch: ”Den större frågan om hur data kan transporteras runtom i världen är av yttersta vikt för tusentals europeiska och amerikanska företag som kopplar samman kunder, vänner, familj och anställda över Atlanten...beslutet riskerar att inte bara skada Facebook, utan också användare och andra företag”.
Men amerikanska bolag kan väl behandla personuppgifter på europeiska servrar?
I många fall kan det nog vara opraktiskt och olönsamt att skapa två parallella strukturer. Och vad än molnbolag som Microsoft och Amazon Web Services hävdar är det ändå inte någon garanti för att kunna kringgå amerikansk lagstiftning. NSA kan ha rätt att kräva ut data även om det amerikanska företagets hårdvara befinner sig på EU-territorium.
Nyligen skrev Brad Smith, juridisk chef på Microsoft, en artikel avsedd att försäkra Azure- och 365-kunder om att företaget hädanefter kommer att efterleva gdpr, och mer därtill. Nu blir det möjligt, skrev Smith, att behandla och lagra all data i EU.
Men Max Schrems tolkar det hela på ett annat sätt.
– Så vitt jag kan förstå så kommer det fortfarande att finnas direkt tillgång till data och nycklar med det här nya upplägget. Det betyder att all data fortfarande är underordnad Fisa-lagen och att den därför måste lämnas ut till amerikanska myndigheter när de efterfrågar den, säger Schrems till sajten The Register.
Johan Christenson, vd för svenska molnbolaget City Network, har tidigare sagt till Ny Teknik att det ”inte räcker” att servrarna står inom EU:s gränser.
En intressant passage i Brad Smiths artikel lyder: ”Vi försvarar våra kunders data mot otillbörlig access från alla myndigheter i världen”. Men enligt amerikansk lagstiftning är sådan tillgång till data inte nödvändigtvis otillbörlig, även om den står i strid med europeiska lagar.
Så vad kan ett Microsoft hoppas på om Schrems tolkning är korrekt? Ja, här är tre alternativ:
* Företag som Microsoft och Facebook bildar separata bolag som är helt åtskilda från de amerikanska motsvarigheterna, men det känns föga troligt.
* USA ändrar på sina underrättelselagar. Vilket är än mer osannolikt.
* Ett tredje, och desto mer realistiskt alternativ, är att EU och USA - med tanke på vilka konsekvenser Schrems II kan få för den transatlantiska handeln - hittar något slags noga genomtänkt kompromiss. Å andra sidan lär vi i sådana fall kallt kunna räkna med att Maximilian Schrems samlar sina trupper igen.
Och trupper har Schrems numera: för ett antal år sedan startade han None Of Your Business (Noyb), en icke vinstdrivande organisation, som agerar som en vakthund när det gäller gdpr-efterlevnad och annan potentiellt sett integritetskränkande databehandling.
Är inte efterlevnad något som respektive lands dataskyddsmyndighet borde ägna sig åt?
Jo, men det har väl varit lite si och så med tillsynen. Faktum är att EU-parlamentet i en nyligen antagen resolution delade ut en rejäl svada till IDPC, den irländska dataskyddsmyndigheten.
Irland befinner sig i ett politiskt prekärt läge: å ena sidan har många stora techbolag av skatteskäl valt att ha sina europeiska kontor i Irland. Men å andra sidan har landets dataskyddsmyndighet därav fått hela Europas ögon på sig.
Och EU-parlamentet ser inte med blida ögon på hur IDPC har hanterat ärenden sedan gdpr trädde i kraft för tre år sedan. ”Parlamentet är”, står det i den antagna men inte juridiskt bindande resolutionen, ”djupt oroat över att flera klagomål om överträdelser av den allmänna dataskyddsförordningen...och andra klagomål från personskyddsorganisationer och konsumentgrupper fortfarande inte har avgjorts av den irländska dataskyddsmyndigheten, som är ansvarig myndighet i dessa fall.”
Utöver detta är parlamentet bekymrat över ”bristen på tekniska specialister som arbetar för den irländska dataskyddsmyndigheten och dess användning av föråldrade system.”
Den kanske mest uppseendeväckande passagen i resolutionen: ”Parlamentet uppmanar kommissionen att inleda överträdelseförfaranden mot Irland för att landet inte genomför den allmänna dataskyddsförordningen på korrekt sätt.”
Hur har svenska Integritetsskyddsmyndigheten agerat efter Schrems II?
IMY har inlett granskningar efter att Schrems organisation Noyb lämnat sex klagomål mot svenska företag. IMY meddelar att de svenska granskningarna sker inom ramen för den arbetsgrupp som inrättats av europeiska dataskyddsstyrelsen (EDPB) för att hantera ett hundratal klagomål som Noyb har lämnat in.
– Genom att ta ett gemensamt grepp kring dessa klagomål i den arbetsgrupp som EDPB inrättat säkerställs enhetliga bedömningar, likabehandling och effektiv handläggning, sa juristen Olle Pettersson som är ansvarig för de svenska tillsynsärendena på IMY, i ett pressmeddelande i november 2020.
Bolagen som granskas är Sinovum Media (synonymer.se), Modern Women Media Sweden (familjeliv.se), Coop, Dagens industri, Tele2 och Cdon.
När Ny Teknik talar med Olle Pettersson i maj 2021 säger han att ett beslut är att vänta senare under året. Att handläggningstiden därmed ser ut att ta uppåt ett år beror dels på att det rör sig om ett omfattande gränsöverskridande arbete för EDPB-gruppen. Och dels på att den europeiska dataskyddsstyrelsen ännu inte – som noterat ovan – röstat om de slutliga rekommendationer som ska ligga till grund för hur Schrems II i praktiken ska tolkas.
– Men vi har regelbundna möten och det finns en stark vilja att komma framåt, säger Olle Pettersson.
Hur har andra EU-länder agerat?
Många personuppgiftsansvariga har med viss fasa noterat utvecklingen i Tyskland, där en av landets dataskyddsmyndigheter har beslutat att en tysk förläggares användning av den amerikanska tjänsten Mailchimp står i strid med gdpr. Mailchimp är ett mycket populärt program för bland annat e-postmarknadsföring och nyhetsbrev och används flitigt även av många svenska företag.
Den som lämnade in anmälan ansåg att förläggaren bröt mot lagen när den låtit Mailchimp behandla klagandens e-postadress. Den tyska dataskyddsmyndigheten gick på samma linje eftersom det fanns ”indikationer” på att Mailchimp möjligen omfattas av Fisa.
Notera att dataöverföringsavtalet mellan förläggaren och Mailchimp inte är baserat på Privacy Shield, utan på ett standardklausulavtal. Det den tyska myndigheten specifikt slog ner på var att förläggaren inte gjort någon bedömning om huruvida något tekniskt tillägg till standardavtalsklauseln var nödvändigt.
Rocket Science Groups, företaget bakom Mailchimp, tolkning av detta tycks vara att alla deras kunder kan fortsätta som vanligt. Ett något nyktrare synsätt efter Schrems II är nog att som personuppgiftsansvarig säkerställa att det över huvud taget finns något sådant tekniskt tillägg att använda för att undslippa NSA:s snokande. Som vi sett ovan är det nämligen inte alls säkert att det i vissa fall existerar någon laglig väg att behandla personuppgifter i USA.
Finns det någon hållbar långsiktig lösning i sikte?
Säg det. I vilket fall som helst så har Johan Christensson på City Network och andra med honom talat sig varma om en suverän europeisk molninfrastruktur som skulle efterleva gdpr enligt konstens och dataskyddförordningens alla regler. Eftersom Christenssons eget City Network är ett exempel på just en sådan talar han naturligtvis i egen sak.
Men det är mer än bara prat. Tanken på att bevara den råvara som data inom EU:s gränser utgör har formaliserats i det ambitiösa projektet Gaia-X, som först initierades av Tyskland och Frankrike, och som ska mynna ut i ett europeiskt moln och digitalt ekosystem som kan konkurrera med Amazons och Microsofts motsvarigheter.
Den svenska Gaia-X-huben leds av City Network, Netnod och Ericsson. Skatteverket har fått i uppdrag av regeringen att bevaka arbetet. Och tidigare i år meddelade Gaia-X att över 200 företag anslutit som medlemmar.
