Microsoft bøjer sig for Schrems II: Data kan blive i EU

6. maj 2021 kl. 15:241
EU sky
Illustration: Iskra Denkova.
EU Data Boundary skal give cloud-kunder mulighed for at behandle og gemme alle data i EU. Det tekniske grundlag vil ligge klart i slutningen af 2022.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Microsoft har torsdag meddelt, at virksomheden vil tage et nyt skridt for at komme de nye strikse EU-regler om datatilgang i møde.

et blogindlæg skriver firmaet:

Få fuld adgang til ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder.

Få 3 uger gratis prøve abonnement til ComplianceTech. Betalingskort er ikke påkrævet, og du vil ikke blive flyttet til et betalt abonnement efterfølgende.

Du kan også få tilsendt et tilbud til dig.

Abonnementsfordele
vpn_key
Fuld adgang til ComplianceTech
Alt indhold på ComplianceTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
1 kommentar.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
11. maj 2021 kl. 09:37

Det er da rigtig fint, at Microsoft prøver noget. Men det er da ikke nok!?

Er Microsoft stadig en amerikansk virksomhed? Ja. Er Microsoft stadig underlagt FISA 702 fordi de er kategoriseret som* electronic communication service provider*? Ja. Skal Microsoft stadig udlevere data til efterretningsmyndigheder i USA ved en FISA-anmodning som udelukkende er godkendt af amerikanske juridiske instanser, men ingen europæiske? Ja. Selvom Microsoft prøver at offentliggøre nogle af disse FISA-anmodninger, vil der så ikke stadig være nogle datatræk ud af EU, som Microsoft har fået besked om at hemmeligholde, mens ingen europæisk myndighed bliver notificeret, for ikke at tale om den registrerede/dataansvarlige selv, hvis data bliver ulovligt overført til USA vha. Microsoft? Ja.

Så, hvad skal dette nytte? "Microsoft bøjer sig for Schrems-II" - nej det gør de bestemt ikke. De bøjer sig for FISA 702 og EO 12333, hvilket vil have prioritet over europæiske ønsker om fuld transparens og kontrol, samt retssikkerhed (hvilket vi europæiske borgere heller ikke har på samme måde, da europæiske borgere ikke har ret til at stævne overvågninger i FISA-court), og alle de andre europæiske garantiert forbundet med privatlivsbeskyttelse, som stammer fra EU Charteret for Menneskerettigheder, EU Charteret for Grundlæggende Rettgiheder, GDPR, etc.

»Vi implementerede supplerende foranstaltninger efter Schrems II-beslutningen, for yderligere at understøtte overholdelse af dataoverførsler, som vi mener opfylder og går ud over, hvad der kræves af Schrems II-beslutningen.

De supplerende foranstaltninger, som yderligere er forklaret i et udkast til anbefalinger udgivet af EDPB, Recommandations 02/2020 (en vejledning til, hvad "supplerende foranstaltnigner" rummmer, og som stadig er til høring), er jo ikke defineret ordentligt endnu. EDPB lægger op til at "data in the clear" ikke gives i hænderne af amerikanske virksomheder som underligger FISA 702 (hvis der er tale om at data forbliver på EU-servere fra electronic communication service provider) eller EO 12333 (hvis data i behandlingen flyttes over til servere i Amerika).

Ja, selvfølgelig kan EDPB ændre i deres anbefalinger (Recommandations 02/2020), eller EU-kommissionen finder på en ny aftale med USA om tredjelandsoverførsler, en "privacy shield afløser" om man vil, som jeg har hørt kilder fra Datatilsynet berette om er under udvikling og snart klar til offentliggørelse. Men så længe de europæiske garantier ikke er bevaret, og der stadig er hemmelige dataoverførsler ud af EU, hhv. hemmelige datatræk igennem electronic communication service providers i og udenfor EU's grænser, nytter det ikke noget at AWS, Microsoft, etc. begynder på juridiske krumspring, sikkerhedsmæssige smoke & mirrors og desparat prøver at argumentere for en "risikobaseret tilgang" - en tilgang, som ikke tager højde for den manglende retssikkerhed i USA for EU-borgere, og som kun fungerer, hvis man faktisk kender til dataanmodninger (nemt for virksomheder som Microsoft at tænke ind i deres risikovurdering, men yderst svært for Microsoft-kunderne).

Jeg ser stadig kun få løsninger i den her sag - løsninger, som ville løse problemets rod:

  1. USA ændrer deres lovgivning til at tage højde for "non-US-citizens", og åbner op for en mere transparent tilgang til anmodninger om overvågning. Dvs. at USA giver EU-borgere ret til at stævne overvågning af deres person, samt at anmodninger ikke kun godkendes af US-myndigheder, men også af en repræsentant af det enkelte lands efterretningstjeneste el. lign., så nogen inden for EU's juridisktion godkender anmodningernes proportionalitet og nødvendighed, samt logger disse anmodninger, så EU-borgere efterfølgende kan blive underrettet, når sagen som ligger til grund for overvågningsanmodningen er færdigbehandlet.
  2. Virksomhederne ændrer deres organisation til ikke at være knyttet så tæt til USA - enten ved at EU-borgeres data ligger i datacentre, som ikke kan ejes, købes eller driftes af amerikanske virksomheder som falder under FISA 702, dvs. electronic communication service provider, eller ved at der åbnes nye selskaber helt uden tilknytning til amerikanske virksomheder, hvis eneste opgave er at formidle dataoverførsler til amerikanske virksomheder.