Skip to main content

Schrems I

TL;DR

Schrems I var ett fall som nådde EG-domstolen. Det var uppkallat efter Max Schrems och grundade sig på påståendet att amerikanska företag inte skulle kunna garantera ett adekvat skydd av personuppgifter i samband med NSA:s PRISM-program, som Edward Snowden avslöjade för allmänheten. Därför beslutades det att det enligt EU:sdirektiv om dataskydd inte var lagligt att överföra personuppgifter mellan EU och USA. Detta ledde till att Safe Harbor-avtalet ogiltigförklarades och fick allvarliga konsekvenser för flera företags verksamhet.

Vad betyder Schrems I?

Schrems I är det generiska namnet på ett rättsfall med anknytning till dataskydd vid EG-domstolen. Det är uppkallat efter Max Schrems, en österrikisk aktivist som lämnade in ett klagomål mot Facebook och hävdade att företaget inte kunde garantera adekvata skyddsåtgärder för hans personuppgifter, eftersom de överfördes från EU till USA.

Fallet inleddes 2013 på Irland, Facebooks huvudkontor i Europa, med ett klagomål till den irländska dataskyddskommissionären. Det eskalerade och nådde EG-domstolen 2015, eftersom Max Schrems inte var nöjd med det svar han fick och fortsatte med att lämna in ett klagomål mot dataskyddskommissionären själv. Europadomstolen dömde till Schrems fördel i oktober 2015.

Vilka var konsekvenserna av Schrems I?

Detta innebar att ett helt transnationellt avtal mellan EU och USA, kallat Safe Harbor, automatiskt ogiltigförklarades. I praktiken var det inte längre möjligt att överföra EU-medborgares uppgifter till USA, eftersom man ansåg att USA inte kunde garantera tillräckliga normer för integritetsskydd. Detta skedde i samband med NSA PRISM-skandalen som visade att den amerikanska myndigheten fick tillgång till privata uppgifter utan samtycke.

Därför skyddades inte längre alla företag som gjorde affärer med uppgifter om EU-medborgare av Safe Harbor, och under en tid var det olagligt för dem att behandla personuppgifter. Detta skulle få stora konsekvenser för flera företag. Alla företag var nu tvungna att överväga om enkla processer som att användare går in på deras webbplatser kunde leda till att deras personuppgifter (IP, plats, andra uppgifter som lagras i cookies) olagligt överförs till USA. Detta var fallet om dessa webbplatser använde amerikanska tredjepartsappar som till exempel Google Analytics.

Även om EU och USA arbetade på ett efterföljande avtal, kallat Privacy Shield, ogiltigförklarades även detta 2020, efter att ett annat klagomål från samma man ledde till Schrems II-målet.