Databeskyttelse i Europa - sproof

Katharina Raabe-Stuppnig begyndte sin karriere inden for medieret. Hun rådgav forlag og teleselskaber i spørgsmål om konkurrenceret, reklame og medieansvar. Broen til databeskyttelse kom næsten automatisk: "Mange klienter henvendte sig til mig og sagde: Du kender vores processer og vores interesseafvejning - kan du også hjælpe os med databeskyttelse?"

Da GDPR trådte i kraft, flyttede databeskyttelse mere ind i centrum af virksomhedernes virkelighed. Bøder i millionklassen øgede presset. Virksomhederne havde brug for klare koncepter - og var afhængige af eksisterende partnerskaber. Som følge heraf udviklede databeskyttelsesloven sig fra et perifert spørgsmål til det centrale fokus for deres aktiviteter.

Siden indførelsen af GDPR i 2018 er behovet for juridisk bistand steget enormt - og er fortsat stort. Det skyldes ikke mindst, at forordningen ikke skelner mellem store og små virksomheder. Alle skal leve op til de samme standarder.

"Et velfungerende databeskyttelsesstyringssystem er en reel hjælp i dag", forklarer Raabe-Stuppnig. "Det giver virksomheder et overblik over systemer, processer og risici - og danner grundlag for optimering og øget effektivitet."

Samtidig bliver miljøet stadig mere komplekst: Ny lovgivning som NIS-2, Cyber Resilience Act, AI Act og Data Act stiller yderligere krav til virksomhederne - på tværs af alle brancher. De, der allerede har skabt et stabilt fundament for databeskyttelse, har nu en klar fordel.

De spørgsmål, som virksomheder henvender sig til advokatfirmaet med i dag, er mangfoldige:

• Hvordan påvirker NIS-2 mig, hvis jeg er leverandør af kritisk infrastruktur?

• Hvilke politikker har jeg brug for i forbindelse med AI-loven?

• Hvordan håndterer jeg nye dataadgangsrettigheder i henhold til dataloven - uden at bringe det databeskyttelsesniveau, jeg hidtil har opbygget, i fare?

Ud over juridiske vurderinger spiller strategiske spørgsmål en stadig vigtigere rolle: Hvor skal ansvaret placeres i virksomheden? Hvordan kan compliance, cybersikkerhed og evnen til at innovere forenes? Raabe-Stuppnig og hendes team hjælper ikke kun virksomhederne med implementeringen, men også med at positionere sig inden for de nye juridiske rammer.

Brugen af software fra tredjelande - for eksempel af amerikanske hyperscalere - er et særligt følsomt emne. Selvom der også findes databeskyttelseslove i USA, forklarer Raabe-Stuppnig, gælder beskyttelsen primært for amerikanske borgere. Disse regler er betydeligt svagere for EU-borgere.

"Problemet ligger i vægtningen: NSA's sikkerhedsinteresser går ofte forud for databeskyttelsen af ikke-amerikanere. EU-Domstolen har allerede konstateret denne uforholdsmæssighed to gange - og dermed væltet centrale principper som Safe Harbor og Privacy Shield."

Siden GDPR trådte i kraft, har bevidstheden i Europa ændret sig markant. Virksomheder er nu meget mere følsomme, når de håndterer persondata. Medieopmærksomheden omkring databeskyttelsesdomme og prominente sager har spillet en vigtig rolle i den forbindelse.

"Vi har skabt en guldstandard for databeskyttelse i Europa", opsummerer Raabe-Stuppnig. "Og det er glædeligt at se, hvor mange virksomheder der aktivt stræber efter ikke bare at opfylde denne standard, men også at bruge den som en konkurrencefordel."

Debatten om databeskyttelse mellem EU og USA er kompleks - og frem for alt meget dynamisk set fra et juridisk perspektiv. I modsætning til lande som Schweiz, hvor EU-Kommissionen har udstedt en såkaldt tilstrækkelighedsbeslutning, var og er situationen med USA meget mere kompliceret. I en sådan afgørelse står der, at personoplysninger kan overføres til et tredjeland, fordi databeskyttelsesniveauet der er sammenligneligt med det i EU. I lande som Kina eller Rusland - og i lang tid også i USA - var der ingen sådan beslutning.

Så snart virksomheder samarbejder med tjenesteudbydere om databehandling i for eksempel USA, skal de træffe yderligere beskyttelsesforanstaltninger for at opretholde det databeskyttelsesniveau, som GDPR kræver. Det betyder en større indsats, flere obligatoriske kontroller - og større risiko.

Et praktisk eksempel: Selv om man vælger en serverplacering inden for EU til amerikanske cloud-udbydere, er der stadig et problem - f.eks. hvis det europæiske datterselskab er under kontrol af et amerikansk moderselskab. I en nødsituation kan amerikanske myndigheder som NSA kræve adgang til dataene - selv via en intern kommandovej. En serverplacering i EU reducerer risikoen, men eliminerer den ikke helt.

Historien om databeskyttelsesaftaler mellem EU og USA ligner en række juridiske tilbageslag:

• Safe Harbor var den første aftale, der på frivillig basis pålagde amerikanske virksomheder visse databeskyttelsesstandarder. Den blev ophævet i 2015 med Schrems I-dommen.

• Privacy Shield var efterfølgeren - en revideret version af Safe Harbor. Men denne aftale blev også erklæret ugyldig af EU-Domstolen i Schrems II-dommen i 2020.

• Som svar trådte Data Privacy Framework i kraft, på grundlag af hvilken EU-Kommissionen endnu en gang vedtog en beslutning om tilstrækkelighed for USA.

Det skyldes, at Data Privacy Framework er baseret på en bekendtgørelse fra den amerikanske præsident - en bekendtgørelse, der i teorien kan tilbagekaldes når som helst. Kritikere tvivler derfor på den langsigtede stabilitet af denne ramme. Der er allerede lagt sag an mod beslutningen om tilstrækkelighed ved EU-Domstolen - udfaldet er usikkert.

Desuden er den ansvarlige amerikanske tilsynsmyndighed, PCLOB, i øjeblikket ude af stand til at handle, fordi tre af dens fem direktører blev afskediget af den tidligere præsident Trump. Resultatet er stor usikkerhed om, hvor stabil databeskyttelsesmekanismen i USA egentlig er.

Hvis du planlægger på lang sigt og ønsker at fokusere på datasikkerhed, bør du ikke stole blindt på Data Privacy Framework. Som tidligere kan den juridiske situation hurtigt ændre sig. Omkostningerne til konsekvensanalyser af dataoverførsel (TIA) er høje, og overtrædelser kan resultere i alvorlige bøder på op til 4 % af den årlige globale omsætning.

Cloud-tjenester fra amerikanske udbydere kan i øjeblikket bruges i overensstemmelse med **databeskyttelsesbestemmelser, forudsat at ** passende beskyttelsesforanstaltninger såsom standardkontraktbestemmelser og tekniske sikkerhedsforanstaltninger er implementeret. Men der er stadig en restrisiko. Det er især problematisk, at der stadig ikke er nogen end-to-end-kryptering, der er egnet til daglig brug til alle typer brug - for eksempel til den løbende behandling af data ("data i brug").

Brugen af amerikanske tjenester bør derfor altid vurderes individuelt: Hvor følsomme er de data, der behandles? Hvilke sikkerhedsforanstaltninger er der truffet? Og i hvilket omfang er virksomheden faktisk i stand til at mindske risici?

Spørgsmålet om, hvorvidt virksomheder kun bør bruge software og cloudtjenester af europæisk oprindelse - et "helt eller slet ikke" - lyder ved første øjekast som en klar holdning. Men det er netop, hvad databeskyttelsesekspert Katharina Raabe-Stuppnig advarer imod. Et sådant princip er ikke kun upraktisk, men også svært at retfærdiggøre over for myndighederne. I stedet skal enhver beslutning om brug af software eller cloudtjenester træffes fra sag til sag - afhængigt af, hvor følsomme de behandlede data er, og hvilke specifikke beskyttelsesforanstaltninger der kan træffes.

Et andet emne, som i øjeblikket optager mange virksomheder: Hvad sker der, hvis EU-Domstolen underkender de nye rammer for databeskyttelse mellem EU og USA - som den tidligere har gjort med "Safe Harbor" og "Privacy Shield"? Svaret er klart: Der vil igen opstå massiv retsusikkerhed. Det er netop derfor, Kargl allerede nu råder virksomheder til ikke kun at stole på rammerne, men at aftale yderligere standardkontraktbestemmelser (SCC'er). Disse bør altid omfatte en konsekvensanalyse af overførslen (TIA) - dvs. en risikoanalyse for dataoverførsel til tredjelande.

Advokaten gør det dog også klart, at hvis Data Privacy Framework rent faktisk falder, og der grundlæggende sættes spørgsmålstegn ved proportionaliteten af dataoverførsel til USA, vil TIA'er også nå deres grænser. Håbet hviler da på supplerende tekniske og organisatoriske foranstaltninger - frem for alt kryptering.

Databeskyttelsesmyndighederne og EU-Domstolen kræver en klar løsning fra amerikanske cloud-udbydere: Data bør kun opbevares i krypteret form, og nøglen bør administreres uden for udbyderen - ideelt set i Europa og under kontrol af den virksomhed, der er ansvarlig for dataene, eller en europæisk administrator. Formålet med denne såkaldte "eksterne nøglehåndtering" er at sikre, at selv i tilfælde af adgang fra amerikanske myndigheder som NSA kan kun krypterede, dvs. ubrugelige, data videregives.

I praksis kan denne type kryptering ifølge Katharina Raabe-Stuppnig dog kun anvendes til backup-data. Så snart data behandles aktivt i hverdagen, er der brug for adgang til ukrypteret materiale. Det er netop her, problemet ligger: Teknologien, der muliggør komplet databehandling i krypteret tilstand, findes i øjeblikket kun i meget begrænset omfang - f.eks. til simple beregninger eller estimater i specifikke scenarier. Det tekniske niveau er endnu ikke tilstrækkeligt til udbredt brug, som det kræves i erhvervslivet.

På trods af disse udfordringer ser advokaten optimistisk på fremtiden: EU's datalov vil sætte en vigtig kurs. Cloud-udbydere skal forpligtes til at muliggøre multicloud-strategier, dvs. at understøtte let skift mellem udbydere - uden høje skifteomkostninger. Dette er en aktiv indsats for at styrke den europæiske suverænitet i det digitale rum og skabe flere alternativer til amerikanske hyperscalere på lang sigt.

Spørgsmålet er, om Europa vil være i stand til at handle mere uafhængigt og sikkert i det digitale rum med tiden. Raabe-Stuppnig er ikke desto mindre fortrøstningsfuld: "Den politiske vilje er der - og med målrettet støtte og regulering kan der snart opstå levedygtige europæiske alternativer.

Det er hverken praktisk muligt eller lovpligtigt at give afkald på løsninger fra tredjelande. Virksomheder skal nøje afveje, hvor følsomme deres data er, hvilke partnere der er egnede - og hvilke specifikke beskyttelsesforanstaltninger, de kan implementere. De, der allerede benytter sig af SCC'er, TIA'er og kryptering, er ikke kun på den sikre side rent juridisk, men styrker også Europas position i den digitale konkurrence.