Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

23. juni 2021 kl. 09:111
Datatilsynet
Illustration: Datatilsynet.
De længe ventede anbefalinger fra EDPB er endelig landet. Og ifølge Datatilsynets ekspert er der ikke meget plads at spille på, hvis man som dansk myndighed eller virksomhed gerne vil bruge amerikanske cloud-tjenester.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Schrems II-dommen har siden sidste sommer udløst hovedpine og nervøse trækninger i it-organisationer over hele Europa, og herhjemme har cloud-krisen blandt andet sat sit tydelige aftryk på det offentlige it-område.

Få fuld adgang til ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder.

Få 3 uger gratis prøve abonnement til ComplianceTech. Betalingskort er ikke påkrævet, og du vil ikke blive flyttet til et betalt abonnement efterfølgende.

Du kan også få tilsendt et tilbud til dig.

Abonnementsfordele
vpn_key
Fuld adgang til ComplianceTech
Alt indhold på ComplianceTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
1 kommentar.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
24. juni 2021 kl. 10:11

Hele grund præmissen for Schrems 2 og hvorfor dette spørgsmål overhovedet blev bragt op i EU, er reelt ikke om usikre tredjelande myndigheder kan få adgang til data opbevaret i, eller overført til, det pågældende tredjeland. Dette vil altid være et relistisk scenarie, uanset hvilket land data er opbevaret i. Præmissen var det langt mere problematiske i dette scenarie, som vi via rettsager i blandt andet byretten i New York, allerede ved er virkligheden:

Amerikansk myndighed beder Amerikansk virksomhed om adgang til data med en hemmelig dommerkendelse i hånden, uanset hvorhenne denne data befinder sig og om virksomheden der opbevarer den juridisk set er en selvstændig enhed. Det gør de kva ledelsen i den adspurgte virksomhed her ejerskabskontrol med den juridiske enhed, og derved er den Amerikanske virksomhed juridisk i stand til at efterkomme myndgihedernes krav, da man må formode det i yderste instans er et spørgsmål om at indsætte den ledelse i den oversøiske instans, som vil være villig til at afterkomme moder selskabets befalinger. Efterkommer ledelsen i den Amerikanske afdeling ikke dette, er det ledelsen som personligt straffes for ikke at efterkomme dette. Hvad vælger den Amerikanske statsborger derfor at gøre i dette scenarie?

Når nu MS indfører for eksempelvis end-to-end kryptering, så er det jo ikke særlig svært at forestille sig selv samme fremgangsmåde for at gennemtvinge bagdøre eller bevidst svækkelse af løsningerne. Det er netop her at EDPB sætter ind når de vurderer de ikke kan forestille sig nogen teknisk foranstaltning som skulle kunne sandsynliggøre at usikre tredjdelands ejede cloud services kunne anvendes i harmoni med GDPR. Og netop defor bliver jeg træt af at læse om jurister som vurderer ud fra et Europæisk juridisk scenarie der forudsætter kontrakter der binder leverandøreren til at sikre ovenstående ikke kan finde sted. INGEN kontrakt kan nogensinde overrule lovgivning.

Brugen af usikre tredjelands ejede cloud services, er hermed en totalt lukket bog.