En stor sejr for dem, der kæmper for europæiske borgeres ret til privatliv. Det er en række eksperter og aktivisters vurdering af en opsigtsvækkende dom fra EU-Domstolen i går. Med dommen erklærede EU’s øverste domstol den såkaldte safe harbor-ordning for ugyldig. En 15 år gammel ordning, som har gjort det muligt og nemt for tusindvis af selskaber at overføre personfølsomme data fra EU-lande til USA.

De europæiske regler for beskyttelse af personoplysninger betyder ellers i udgangspunktet, at personoplysninger kun må videregives fra et EU-land til et land uden for EU, hvis landet sikrer et »tilstrækkeligt beskyttelsesniveau« for oplysningerne.

Men når det gælder udveksling af personoplysninger mellem EU-lande og USA, findes der altså en særlig og lempeligere undtagelse. Safe harbor-ordningen er indført af EU-Kommissionen med den begrundelse, at »overførsler af personoplysninger udgør et vigtigt og nødvendigt element i det transatlantiske forhold«.

Men ordningen har domstolen altså nu erklæret for ugyldig. Stewart Room, der er partner i konsulentfirmaet PricewaterhouseCoopers Legal og global chef for cybersikkerhed og databeskyttelse, siger at dommen kan vise sig at få stor betydning:

»Vi ved nu, at der er en meget åbenlys rigiditet i hjertet af EU’s databeskyttelseslovgivning. Safe harbor-ordningen var et kommercielt og politisk kompromis for at gøre det muligt at overføre persondata over Atlanten af økonomiske og samfundsmæssige årsager. Men nu ved vi, at lovgivningen er langt mere rigid end det politiske kompromis,« siger Stewart Room.

I dag er der omkring 4.400 virksomheder aktivt tilsluttet safe harbor-ordningen. Så forskellige firmaer som Facebook, Linkedin, Twitter, Deloitte, KPMG, Lockheed Martin, BMW, Tesla, Cisco og Motorola er eksempelvis i dag en del af ordningen og skal nu formentlig lede efter nye muligheder for at fortsætte med at overføre personoplysninger til USA.

USA: Personfølsomme oplysninger fra EU-borgere lagres på servere i USA – eksempelvis Facebooks – som den amerikanske efterretningstjeneste NSA potentielt kan tilgå.

Det var den 28-årige østriger Max Schrems, der som en del af en årelang kamp mod Facebook satte gang i sagen, der førte til dommen ved EU-Domstolen. Han er ph.d.-studerende, privatlivsaktivist og har været bruger af Facebook siden 2008. At være europæisk bruger hos Facebook betyder, at nogle eller alle ens data overføres fra Facebooks irske afdeling til servere i USA, hvor dataen behandles. Det valgte Max Schrems at klage over til det irske datatilsyn med henvisning til Edward Snowdens afsløringer af det såkaldte PRISM-program, der viste, at store amerikanske teknologiselskaber som Facebook samarbejder intensivt med efterretningstjenesten NSA om at udlevere personoplysninger til tjenesten.

EU: Europæiske borgere afgiver personoplysninger til datterselskaber af amerikanske firmaer – eksempelvis Facebook Ireland – som overføres til USA.

EU-Kommissionen har da også erkendt, at det ser ud til, at alle de amerikanske teknologiselskaber, som var en del af NSA’s PRISM-program, netop var en del af safe harbor-ordningen. Det fremgår af dommen. EU-Domstolen refererer ikke direkte selv til PRISM-programmet, men slår alligevel et principielt vigtigt punkt fast i forhold til de amerikanske efterretningstjenesters privilegerede adgang til dataen på amerikansk grund:

»Lovgivning, der på generel vis gør det muligt for de offentlige myndigheder at få adgang til indholdet af elektronisk kommunikation, skal anses for at udgøre et indgreb i det væsentlige indhold af den grundlæggende ret til respekt for privatlivet,« som EU-Domstolen skriver i en meddelelse om dommen.

»Denne beslutning er et stort nederlag for den amerikanske globale overvågning, der er stærkt afhængige af private partnere. Dommen gør det klart, at amerikanske firmaer ikke bare kan assistere den amerikanske spionageindsats i strid med fundamentale europæiske rettigheder,« skriver Max Schrems i en kommentar til dommen.

Ifølge Stewart Room fra PricewaterhouseCoopers viser dommen, at magten netop er tippet i retning af aktivisterne, når det kommer til databeskyttelse:

»Vi lever i aktivisternes æra. Mit synspunkt er, at de nu ’ejer’ databeskyttelsesområdet. De har nu udfordret EU-Kommissionens beslutninger, firmaers gøren og laden, samt nationale tilsyns autoritet. Aktivisterne er nu en af de mest indflydelsesrige aktører,« siger Stewart Room.

Amerikansk kritik

Hos organisationen European Digital Rights (EDRi) har man i årevis kritiseret safe harbor-ordningen for ikke yde en tilstrækkelig beskyttelse af de europæiske borgeres rettigheder.

Ifølge Joe McNamee, der er direktør i EDRi, har alle siden begyndelsen været klar over, at safe harbor-ordningen ikke var tilstrækkelige.

»Vi havde præcis det samme problem med logningsdirektivet. Der vidste man også i årevis, at der var massive problemer med direktivet, men det var først, da privatlivsaktivister investerede store mængder tid og penge i at tage en sag til EU-Domstolen, at direktivet til sidst blev annulleret,« siger Joe McNamee og tilføjer: »Det tog syv år – og præcis ligesom her – vidste alle, at det var ulovligt. Der er et underliggende fundamentalt institutionelt problem. For hvordan kan det her fortsætte med at ske?«

Mens europæiske aktivister glæder sig over dommen, bliver den mere kritisk modtaget i USA, hvor lobbygrupper og det amerikanske diplomati har advaret imod konsekvenserne af at annullere safe harbor-ordningen.

»Det er en trist dag for europæisk databeskyttelse og en trist dag for transatlantisk forretningsliv,« siger Brian Hengesbaugh, partner i Baker & McKenzie, hvor han rådgiver firmaer om blandt andet safe harbor-ordningen og databeskyttelse. Han var selv blandt de embedsmænd i det amerikanske handelsministerium, der forhandlede safe harbor-ordningen på plads med EU i halvfemserne – et job han siden har modtaget en medalje for. Han mener, at EU-dommen grundlæggende bygger på en misforstået opfattelse af det amerikanske overvågningssystem.

»De forstår ikke amerikansk lovgivning,« siger han og tilføjer: »Man har låst sig fast i 2013 (tidspunktet for Edward Snowdens afsløringer, red.) og ikke taget hensyn til de ændringer, der er sket siden. Jeg var overrasket over, at domstolen henviser til udifferentieret masseovervågning, som om det er det, der foregår i dag,« siger han og tilføjer, at det store flertal af de over 4.000 selskaber, der er en del af safe harbor-ordningen, i øvrigt aldrig nogensinde modtager forespørgsler fra NSA.

Jan Philipp Albrecht, der er tysk medlem af Europa-Parlamentet for partiet De Grønne, afviser, at dommen er et stort problem for selskaberne.

»De skal bare følge de samme regler som i EU, og som de fleste andre lande uden for EU. Der er ikke noget, der er umuligt eller forbudt, nu skal man bare overholde EU’s lovgivning og kan ikke længere henvise til, at de amerikanske regler er tilstrækkelige, når det nu helt tydeligt ikke er tilfældet,« siger han.

EU-Kommissionen, der i går afholdt et pressemøde efter dommen, henviser til, at der er flere andre måder end safe harbor-ordningen, hvormed firmaer kan overføre oplysninger fra EU-lande til USA.

Men disse øvrige ordninger er imidlertid også i potentiel fare. Det vurderer Christopher Kuner, der er juraprofessor på Vrije Universiteit Brussel med speciale i global databeskyttelseslovgivning.

»Et af de store ubesvarede spørgsmål er, hvad dommen betyder for dataoverførsler helt generelt. Domstolen kritiserer safe harbor-ordningen, men meget af den kritik kan man også rette mod næsten alle andre mekanismer, der bruges til at overføre data til tredjelande. Dommen vil dermed medføre stor juridisk usikkerhed,« siger han.