Skip to main content

Schrems I

TL;DR

Schrems I var en sag, der nåede EU-Domstolen. Opkaldt efter Max Schrems var det baseret på påstanden om, at amerikanske virksomheder i forbindelse med NSA PRISM-programmet, afsløret for offentligheden af Edward Snowden, ikke ville være i stand til at garantere tilstrækkelig beskyttelse af personlige data. Derfor blev det fastslået, at det i henhold til det europæiske direktiv om databeskyttelseikke var lovligt at foretage nogen form for persondataoverførsel mellem EU og USA. Dette førte til ugyldiggørelsen af Safe Harbor-aftalen og fik alvorlige konsekvenser for flere virksomheders aktiviteter.

Hvad mener jeg med Schrems?

Schrems I er det generiske navn for en data-privatlivsrelateret retssag ved EF-Domstolen. Den er opkaldt efter Max Schrems, en østrigsk aktivist, der indgav en klage mod Facebook, der hævdede, at virksomheden ikke kunne sikre tilstrækkelige foranstaltninger til beskyttelse af hans personlige data, da de blev overført fra EU til USA.

Sagen startede i 2013 i Irland, Facebooks hovedkvarter i Europa, med en klage til den irske databeskyttelseskommissær. Det blev eskaleret og nåede EF-Domstolen i 2015, da Max Schrems ikke var tilfreds med det svar, han modtog, og fortsatte med at indgive en klage mod selve databeskyttelseskommissæren. EU-domstolen gav Schrems medholdi oktober 2015.

Hvad var konsekvenserne af Schrems I?

Det betød, at en hel transnational aftale mellem EU og USA, kaldet Safe Harbor, automatisk blev ugyldig. I praksis var det ikke længere muligt at overføre europæiske borgeres data til USA, da det blev fastslået, at sidstnævnte ikke kunne sikre tilstrækkelige standarder for privatlivets fred. Dette var i forbindelse med NSA PRISM-skandalen, der viste, at private data blev tilgået af det amerikanske agentur uden samtykke.

Derfor var alle virksomheder, der driver forretning, der involverede EU-borgerdata, ikke længere beskyttet af Safe Harbor, og i nogen tid var det ulovligt for dem at behandle personoplysninger. Det vil have stor betydning for flere virksomheder. Enhver virksomhed skulle nu overveje, om simple processer som brugere, der tilgår deres hjemmesider, kunne føre til, at deres personlige data (IP, placering, andre data gemt i cookies) blev ulovligt overført til USA. Dette var tilfældet, hvis nævnte websteder brugte amerikanske tredjepartsapps som for eksempel Google Analytics.

Selvom EU og USA arbejdede på en efterfølgende aftale, kaldet Privacy Shield, blev denne også ugyldig i 2020, efter endnu en klage fra samme mand førte til Schrems II-sagen.