Persondata: Snowden og Schrems spøger stadig

USA og EU er trængt op i et hjørne i spørgsmålet om håndtering af persondata. Det er grundlæggende demokratiske spilleregler, der er på dagsordenen. Hele sagen kan når som helst eksplodere mellem hænderne på myndigheder og politikere.

Mange millioner borgere i EU vil kunne blive afskåret fra at bruge Facebook allerede inden sommeren er ovre.

Det er konsekvensen af en højesteretsdom i Irland, hvor Facebook har sit europæiske hovedkvarter.

Facebook har i over 8 år opereret i EU i strid med EU-lovgivningen, men på trods af protester fra EU-borgere og påbud fra myndighederne, så er der intet sket.

I stedet for at gøre noget ved problemet har Facebook rejst en stribe appelsager ved domstolene.

Efter den seneste højesteretsdom i Irland ser det ud til, at Facebook har opbrugt sine muligheder for at appellere.

Den irske datamyndighed har derfor nu (efter en ekstraordinært langsommelig sagsbehandling) i slutningen af februar 2022 givet Facebook – der nu hedder Meta – 30 dage til at svare på et påbud om at stoppe sin ulovlige praksis.

Herefter vil de irske myndigheder give sagen videre til de øvrige EU-landes datamyndigheder, der så skal bruge nogle måneder til at gennemføre deres egne interne procedurer.

Men sidst på sommeren vil myndighederne i EU efter mere end 8 års sagsbehandling få vanskeligt ved at komme uden om at pålægge Facebook enten at følge EU’s lovgivning eller at lukke ned for sine aktiviteter i EU.

Datasikkerhed

I modsætning til hvad man kunne tro, set i lyset af det lange sagsforløb, så er sagens substans ganske enkel.

Det handler simpelthen om, at Facebook i strid med EU-lovgivningen overfører data om EU-borgere til datacentre i USA.

EU-domstolen har i to domme afgjort, at EU’s lovgivning ikke bliver overholdt i de aftaler, der er indgået mellem EU og USA om udveksling af persondata.

Aftalerne overtræder bestemmelserne i Den Europæiske Unions charter om borgernes grundlæggende demokratiske rettigheder og bestemmelserne om beskyttelse af persondata i EU’s persondatadirektiv fra 1995, så det er alvorlige sager, der er på spil.

Facebook er ikke alene om at operere i strid med lovgivningen ved at overføre data til USA.

Google Analytics, der udgør en krumtap i Googles forskellige tjenester, er også i fare for at blive lukket ned i EU.

Ifølge datamyndighederne i Irland findes der formentlig tusindvis af amerikanske og europæiske apps, der på samme måde opererer i strid med lovgivningen.

Men sagerne skal rejses hver for sig, én efter én, og de enkelte sager kan herefter appelleres i årevis. 

Som sagen mod Facebook har vist, så kan den ulovlige behandling af data fortsætte så længe appelsagerne kører ved domstolene.

Med det aktuelle tempo i sagsbehandlingen vil der derfor kunne gå årtier eller ligefrem århundreder før en række af de retsgarantier, som politiske ledere i EU ofte fremhæver som definerende for det europæiske demokrati, kommer til at gælde i praksis.

Statens sikkerhed

Problemet med databehandling i USA er, at den amerikanske lovgivning ikke giver borgerne særlig god beskyttelse mod statslig overvågning, hvis overvågningen sker af hensyn til statens sikkerhed.

Borgerne har ikke ret til at blive oplyst om, at de bliver overvåget, og borgerne kan ikke kræve, at en beslutning om overvågning bliver prøvet ved en uafhængig instans.

Når EU-borgeres persondata flyttes til et datacenter i USA, kan der derfor ske en statslig overvågning af EU-borgernes persondata, der ville være ulovlig, hvis overvågningen fandt sted i et EU-land.

USA og EU har med andre ord meget forskellige opfattelser af, hvornår og hvordan statslige myndigheder kan overvåge borgerne.

I USA kommer hensynet til statens sikkerhed i første række.

I EU kommer hensynet til borgernes rettigheder i første række.

Den europæiske lovgivning afspejler blandt andet de katastrofale konsekvenser af nazisters, facisters og kommunisters systematiske overvågning af europæiske borgerne i første halvdel af det 20. århundrede, og for kommunisternes vedkommende helt frem til Berlin-murens fald i 1989. De historiske erfaringer fra denne periode i Europas historie har sat sig dybe spor i europæisk kultur og politik. Det er derfor ikke noget, som EU-landene hverken kan eller vil tage let på.

Tilsvarende afspejler den amerikanske position blandt andet, at USA i de sidste 100 år har ført en aktiv udenrigspolitik, der er blevet bakket op med militær magt over det meste af verden. Det har skabt mange fjender, og USA ser sig selv som værende under konstant angreb fra omverdenen. Det primære hensyn til statens sikkerhed er derfor ikke noget, som USA hverken kan eller vil give køb på.

Gode intentioner

Problemet med udveksling af persondata i større stil over Atlanten hænger sammen med hele den digitale revolution, der har udfoldet sig i de sidste tyve år, og problemet er derfor, set i en bredere historisk sammenhæng, af forholdsvis ny dato.

I første omgang forsøgte USA og EU at løse problemet med en slags gentleman agreement, der gik under betegnelsen “Safe Habour”, og som grundlæggende var baseret på, at begge parter respekterede hinandens gode intentioner med hensyn til beskyttelse af persondata.

Det var en OK aftale mellem venner, der trådte i kraft i år 2000, men rent juridisk var aftalen ikke meget værd.

I 2013 afslørende Snowden-dokumenterne, at USA’s sikkerhedsmyndigheder åbenbart ikke anså sig for at være bundet af denne gentleman agreement. I stedet gennemførte de amerikanske sikkerhedsmyndigheder en helt systematisk overvågning af indholdet af de persondata, der kom ind til USA fra EU-landene, for eksempel – men ikke kun – via Facebook.

EU-kommissionen, der var ansvarlig for Safe Habour-aftalen, var alt for lang tid om at tage konsekvensen af Snowden-afsløringerne.

Først efter en retssag, der blev rejst af den østrigske jurastuderende, Max Schrems, og som blev ført helt frem til EU-domstolen, blev den gældende gentleman agreement med USA taget af bordet.

Det skete som konsekvens af, at Schrems i 2015 vandt sagen ved EU-domstolen i en skelsættende EU-dom, der i dag går under betegnelsen “Schrems 1”.

Med “Schrems 1” blev “Safe Habour” fjernet med et pennestrøg.

Dermed blev udveksling af persondata over Atlanten gjort betydeligt mere besværlig, og EU-kommissionen, der er ansvarlig for den type internationale aftaler, kom straks under massivt politisk pres for at få indgået en ny aftale med USA.

En fornyet aftale skulle blandt andet sikre, at Facebook, Google og andre amerikanske techvirksomheder kunne fortsætte med at operere i EU-landene.

Uden en ny dataaftale ville både Facebook og Google og mange andre techvirksomheder blive nødt til at lukke ned i Europa eller gennemføre fundamentale ændringer i hele deres forretning.

Få måneder efter Schrems 1-dommen præsenterede kommissionen så en ny aftale med USA’s regering om håndtering af persondata under titlen “Private Shield”.

Den nye aftale var pakket ind i meget mere jura end den tidligere “Safe Harbour” aftale, men når man skrællede al den floromvundne jura væk, så var “Private Shield” stadig reelt blot en gentleman agreement.

Schrems skar hurtigt ind til benet af “Private Shield”, fik rejst en ny sag, der også nåede frem til EU-domstolen, og Schrems vandt i 2020 sagen med den dom, der i dag går under betegnelsen “Schrems 2”.

Det var en kæmpe ydmygelse for EU-kommissionen.

Private Shield kunne herefter ikke længere bruges som grundlag for udveksling af persondata mellem EU og USA, og “Schrems 2” udfordrede endnu engang forretningsmodellen for virksomheder som Facebook og Google i hele EU-markedet.

Kommissionen i klemme

Lige siden “Schrems 2” har EU-kommissionen arbejdet på at finde en ny og holdbar model for en dataaftale med USA, men det har vist sig at være nemmere sagt end gjort.

Det er politisk uacceptabelt for EU at ændre på den grundlæggende og historisk betingede lovgivning, der beskytter EU-borgerne mod statslig overvågning, så den udvej er lukket.

Schrems 1 og 2 har gjort det klart, at en ny aftale med USA ikke alene kan være baseret på gode hensigter og tillid mellem venner. USA må formentlig bakke en ny aftale op med lovgivning, og selvom det måske ikke ligefrem er udelukket, så er lovgivning på dette område i hvert fald op ad bakke, og det vil kunne tage en evighed at få sådan en lov igennem Kongressen.

Desuden kan lovgiverne i USA ikke være sikre på, at EU-domstolen efterfølgende vil stille sig tilfreds med den lovgivning, der måtte blive gennemført i USA.

Iagttagere i USA har peget på, at det under disse vilkår er svært at se, hvad der skulle få en kreds af tilstrækkeligt indflydelsesrige medlemmer af kongressen til at bruge en stor del af deres politiske kapital på at forsøge at få denne sag kørt igennem det byzantinske lovgivningsmaskineri i USA. 

Uden ny amerikansk lovgivning vil det imidlertid være yderst risikabelt for EU-kommissionen at indgå en ny aftale med USA.

Hvis en ny dataaftale med USA efterfølgende bliver skudt ned af EU-domstolen i en “Schrems 3” vil det ryste hele EU-kommissionens politiske fundament. Desuden vil en sådan dom kunne føre til en brat ende på den politiske karriere for den eller de medlemmer af EU-kommissionen, der vil blive udpeget som ansvarlige for aftalen.

På den anden side er der næppe nogen kommissær, der har et brændende ønske om at blive kendt af hele EU’s befolkning som den, der var skyld i at Facebook blev lukket ned, fordi der ikke i tide blev indgået en ny dataaftale med USA.

Så kommissionen sidder i en klemme.

Rule of law

Det er den danske kommissær og næstformand i kommissionen, Margrethe Vestager, der har det politiske ansvar for det digitale lovgivningsområde, og selvom en ny dataaftale med USA ligger i kommissionens juridiske afdeling, så kan Vestager næppe undgå at komme i centrum for det aktuelle opgør mellem EU og USA om en ny dataaftale.

Efter at de irske datamyndigheder nu har indledt en afsluttende procedure mod Facebook, har spørgsmålet om en ny dataaftale med USA fået stor politisk opmærksomhed, simpelthen fordi det hele nu kan ende med, at Facebook og andre store amerikanske techvirksomheder kan blive tvunget til at standse aktiviteterne i EU, indtil de kan garantere, at data om EU-borgere ikke overføres til USA. Det vil være uhyre vanskeligt for de amerikanske techvirksomheder at leve op til dette krav, for ellers ville de have gjort det for længst.

Endnu er der ingen af de mange politiske beslutningstagere i EU, der officielt tror på, at Facebook vil blive tvunget til at lukke. Men EU’s lovgivning giver det sidste ord i den sag til de nationale datamyndigheder og deres fællesorgan, Det Europæiske Databeskyttelsesråd.

På en pressekonference i slutningen af februar 2022 brugte Vestager det meste af sit krudt på at skrue ned for forventningerne til en snarlig aftale med USA, og Vestager understregede, at der ikke er nogen smutveje og at ingen har brug for en “Schrems 3”.

Vestagers forsigtighed kan virke velbegrundet set i lyset af, at det amerikanske Center for Democracy and Technology for nylig tilsluttede sig veldokumenterede anklager om, at de amerikanske sikkerhedstjenester fortsat gennemfører hemmelig masseovervågning af egne og andre landes borgere uden lovhjemmel.

Center for Democracy and Technology offentliggjorde disse anklager den 21. marts i år.

Fire dage senere kom den amerikanske præsident, Joe Biden, på besøg hos EU-kommissionens formand, Ursula von der Leyen, i Bruxelles, og på det efterfølgende pressemøde blev det kort meddelt, at EU og USA nu var blevet enige om rammerne for en ny dataaftale.

Denne noget pludselige udvikling i sagen kan fortolkes som et udtryk for, at EU og USA i den aktuelle politiske situation i Europa vil afværge et politisk opgør i fuld offentlighed om deres forskellige holdninger til grundlæggende demokratiske frihedsrettigheder og til ulovlig statslig masseovervågning af borgerne. 

I stedet vil sagen øjensynligt nu blive forsøgt lukket ned med endnu et pragmatisk hjørnespark, der gerne må havne langt ude i det høje græs.

Efterfølgende kommer EU-domstolen med sikkerhed til at se på, om en ny aftale lever op til EU-lovgivningen. Schrems & Co vil sørge for det.

Men en afgørelse ved EU-domstolen vil tage sin tid, og hvis det efterfølgende skulle vise sig, at aftalen ikke kan holde i retten, så kan Vestager eller en anden kommissær meget vel blive udset til at spille rollen som the fall guy

For de politiske chefer handler det lige nu om keeping up appearances, og med henvisning til den nye politiske enighed om rammerne for en dataaftale, så kan de aktuelle sager mod Facebook og Google måske endnu engang sættes på hold.

For at få kabalen til at gå op må Biden og von der Leyen håbe, at datamyndighederne og domstolene rundt om i EU-landene er villige til at play ball.

For der er stadig en politisk risiko for, at datamyndighederne og Det Europæiske Databeskyttelsesråd efter mere end 8 års tovtrækkeri vælger at efterleve Den Europæiske Unions charter om borgernes grundlæggende demokratiske rettigheder og beslutter at udsætte Facebook for the rule of law.

But, don’t count on it.


HENVISNINGER OG BAGGRUND: 31-03-2022

noyb-logoet, der er vist øverst i denne artikel, anvendes af “NOYB – European Center for Digital Rights” i Wien. Centeret er en direkte udløber af Max Schrems’ banebrydende indsats for digitale borgerrettigheder i EU.
European Center for Digital Rights er finansieret af private bidrag fra borgere i hele EU. Man kan yde sit bidrag via deres hjemmeside.