Skip to main content

Schrems II

TL;DR

Schrems II er navnet på en ECJ (European Court of Justice) sak som var basert på det faktum at amerikanske selskaper ikke kan sikre tilstrekkelige standarder for beskyttelse av personopplysninger. Som en konsekvens ble overføring av personopplysninger mellom EU og USA ulovlig og Privacy Shield-avtalen mellom dem ble gjort foreldet.

Hva betyr Schrems II?

Schrems II er det generiske navnet gitt til en sak ved EU-domstolen, som dømte til fordel for Max Schrems og førte til ugyldiggjøringen av EU-US Privacy Shield16. juli 2020. Dette førte til at det ble ulovlig for enhver type databehandler å bruke tjenester fra USA, som ville gi disse tjenestene tilgang til personopplysningene til EU-borgere, uten å fullstendig forklare risikoen. Konsekvensene var svært alvorlige, så mye som at noen store amerikanske selskaper (f.eks. Facebook) vurderte å avbryte virksomheten sin i EU totalt.

En tidligere sak, kjent som Schrems I, startet av samme person, hadde hatt et lignende utfall i 2015. Avgjørelsen fra EF-domstolen i Schrems II-saken var basert på argumentet om at, spesielt på grunn av amerikansk lovgivning som CLOUD Act, er det ingen måte å garantere personvernet til personopplysninger hvis de håndteres av amerikanske selskaper. Føderale byråer som bruker en garanti kan alltid tvinge databehandlere som Google eller Facebook til å avsløre personlig informasjon om brukere uten samtykke fra dem. Det spiller ingen rolle hvor serverne som inneholder dataene fysisk er plassert. Derfor må enhver EU-borger som går inn på et nettsted som er vert i USA, eller ethvert nettsted som bruker tredjepartsapper administrert av amerikanske selskaper (f.eks. Google Analytics), være riktig informert om alle juridiske implikasjoner av dataoverføringen, samt alle risikoene.

For flere detaljer om konsekvensene av Schrems II kan du lese denne oversikten. Oppsummert er de:

  • nettstedeiere med besøkende fra EU kan ikke lagre data utenfor EU, med mindre lovene i det landet kan gi et tilstrekkelig beskyttelsesnivå for dataene
  • eventuelle tredjepartstjenester som brukes av et nettsted må også gi beskyttelse, og kan derfor ikke være basert i USA. Disse tjenestene kan omfatte: nettstedsanalyseverktøy, verktøy for administrasjon av kunderelasjoner, reklametjenester, chatteverktøy, brukerinnsiktsverktøy osv.
  • listen over amerikanske selskaper som ble unntatt fra reglene, basert på Privacy Shield, fungerte ikke lenger lovlig
  • samtykkebannere må inneholde spesifikk informasjonskapselinformasjon, samt dataoverføringsbestemmelser