Skip to main content

Schrems II

TL;DR

Schrems II er navnet på en sag ved EF-Domstolen, som var baseret på det faktum, at amerikanske virksomheder ikke kan sikre tilstrækkelige standarder for beskyttelse af personoplysninger. Som følge heraf blev overførsel af personoplysninger mellem EU og USA ulovlig, og Privacy Shield-aftalen mellem de to lande blev gjort overflødig.

Hvad betyder Schrems II?

Schrems II er det generiske navn for en sag ved EF-Domstolen, som den 16. juli 2020 gav Max Schrems ret og førte til ugyldigheden af Privacy Shield-aftalen mellem EU og USA. Dette førte til, at det blev ulovligt for enhver form for databehandler at bruge tjenester fra USA, som ville give disse tjenester adgang til EU-borgernes personoplysninger uden at forklare risiciene fuldt ud. Konsekvenserne var meget alvorlige, så alvorlige at nogle store amerikanske virksomheder (f.eks. Facebook) overvejede at afbryde deres forretninger i EU helt og holdent.

En tidligere sag, kendt som Schrems I, der blev indledt af den samme person, havde været årsag til et lignende resultat i 2015. EU-Domstolens afgørelse i Schrems II-sagen var baseret på argumentet om, at der især på grund af amerikansk lovgivning somCLOUD Act ikke er nogen mulighed for at garantere privatlivets fred for personoplysninger, hvis de håndteres af amerikanske virksomheder. De føderale myndigheder kan ved hjælp af en dommerkendelse altid tvinge databehandlere som Google eller Facebook til at videregive personlige oplysninger om brugerne uden deres samtykke. Det er ligegyldigt, hvor de servere, der indeholder dataene, er fysisk placeret. Derfor skal enhver EU-borger, der får adgang til et websted, der er hostet i USA, eller ethvert websted, der bruger apps fra tredjeparter, som administreres af amerikanske virksomheder (f.eks. Google Analytics), informeres ordentligt om alle de juridiske konsekvenser af dataoverførslen samt om alle risici.

Du kan få flere oplysninger om konsekvenserne af Schrems II i denne oversigt. Sammenfattende er de:

  • ejere af websteder med besøgende fra EU kan ikke gemme data uden for EU, medmindre lovgivningen i det pågældende land kan give et passende beskyttelsesniveau for dataene
  • alle tredjepartstjenester, der anvendes af et websted, skal også yde beskyttelse, og kan derfor ikke være baseret i USA. Disse tjenester kan omfatte: værktøjer til analyse af websteder, værktøjer til forvaltning af kunderelationer, reklametjenester, chatværktøjer, værktøjer til brugerindsigt osv.
  • listen over amerikanske virksomheder, der var undtaget fra reglerne på grundlag af Privacy Shield, var ikke længere lovligt aktive
  • samtykke-bannere skal indeholde specifikke oplysninger om cookies samt regler om dataoverførsel