I maj 2024 lagde både Europa-Kommissionen og Microsoft sag an mod Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) for Den Europæiske Unions Domstol (EU-Domstolen).

Det er det seneste kapitel i en løbende debat om, hvordan europæiske virksomheder kan forene brugen af standardiserede cloud-tjenester med GDPR.

Så læs med for at få mine perspektiver på en sag, som kan ændre måden, europæiske virksomheder bruger cloudtjenester på:

• En opsamling på de vigtigste ‘points of no return’, der har ført os hertil
• De tvivlsspørgsmål, der ligger til grund for retssagerne
• Et fingerpeg om, hvad din organisation skal være opmærksom på i de kommende måneder.

De fleste af os bruger cloud-udbydere med base i USA

Cloud-tjenester er et uundværligt værktøj for dem, der vil drive moderne forretning. Både små og mellemstore virksomheder er afhængige af cloud-baserede løsninger for at forblive innovative og konkurrencedygtige.

Udbyderen tilbyder typisk disse tjenester via et abonnement med den ekstra fordel, at udbyderen håndterer alle sikkerhedsopdateringer og rettelser centralt.

Denne fordeling af roller fører dog til et vist tab af kontrol for kunden – især når det gælder behandlingen af persondata i cloud-miljøet.

Tal fra 2022 viser, at tjenesteudbydere som Amazon, Microsoft og Google tilsammen sad på 72% af det europæiske cloud-marked.

Europæiske udbydere sad kun på 15%.

Dette tapper ind i og bekræfter en generel tendens:

De fleste cloud-giganter har hovedkvarter i USA.

Som følge af dén tendens har den udbredte brug af deres tjenester skabt et stigende behov for effektive mekanismer til at overføre og beskytte persondata uden for EU.

Overførsler udenfor EU: Sådan ligger (tredje)landet

Lande uden for EU kender vi som ‘tredjelande’ under GDPR, som er den generelle forordning om databeskyttelse.

Siden GDPR trådte i kraft i 2018, har den indført et højt, konsekvent niveau af beskyttelse for EU-borgernes personoplysninger.

Et centralt sæt forpligtelser finder du i kapitel V i GDPR.

Kapitlet tager dig igennem forskellige overførselsmekanismer. De skal sikre, at der ikke bliver gået på kompromis med EU’s niveau for databeskyttelse fortsat, når en virksomhed eller myndighed overfører persondata til tredjelande.

Selv til lande, der ikke tilbyder samme beskyttelse som EU.

En sådan mekanisme til overførsel af data er at stole på afgørelser om tilstrækkeligheden af beskyttelsesniveauet:

Det handler i bund og grund om, at Europa-Kommissionen læner sig op ad GDPR’s artikel 45 og giver grønt lys til overførslen.

Disse afgørelser kommer fra grundige analyser af tredjelandsjurisdiktioner, som Kommissionen udfører. Beslutninger om tilstrækkelighed udpeger en jurisdiktion som et “sikkert tredjeland.”

Det vil sige, at tredjelandets lokale love om beskyttelse af privatlivets fred giver et tilstrækkeligt niveau af beskyttelse for EU’s personoplysninger.

I mangel af afgørelser om tilstrækkelighed kan EU-data kun overføres til såkaldte “ikke-sikre tredjelande,” hvis de involverede parter sikrer et tilstrækkeligt niveau af beskyttelse via en privat kontrakt.

I praksis er det Europa-Kommissionens standardkontraktbestemmelser (SCC) jævnfør artikel 46, stk. 2, der bruges som overførselsmekanisme af de fleste virksomheder.

Standardkontraktbestemmelser er skabeloner, der er lavet og godkendt på forhånd af Kommissionen. De har bestemmelser, der beskriver specifikke databeskyttelsesforanstaltninger, som parterne forpligter sig til at overholde.

På den måde etablerer parterne et tilstrækkeligt niveau af beskyttelse via en privat juridisk ramme, når de sammen bliver enige om SCC’er.

I teorien virker denne tilgang effektiv til at sikre databeskyttelse på tværs af globale grænser.

Men i praksis?

Hér er SCC’er ikke en lige-ud-ad-landevejen-løsning.

Schrems II og ’nultolerance-tilgangen’

SCC’er var i centrum for EU-Domstolens afgørelse i Schrems II-sagen. Den handlede om de amerikanske myndigheders adgang til data, der blev behandlet af Facebook – det, vi nu kender som Meta.

Den skelsættende dom viste samspillet mellem EU og tredjelandes nationale lovgivning, især når det kommer til overvågningsprogrammer ejet af staten.

Efter Schrems II-dommen har Det Europæiske Databeskyttelsesråd (EDPB) og de nationale databeskyttelsesmyndigheder i Europa udstukket retningslinjer, der udtrykker en restriktiv holdning til dataoverførsler til ikke-sikre tredjelande.

Denne tilgang ser nogle som en “nultolerance”-fortolkning af kapitel V i forordningen.

Den tvinger europæiske dataansvarlige og databehandlere til at fjerne al teoretisk risiko for, at myndigheder i tredjelande får adgang til EU-borgernes data. Og dét fører kun til dokumentationskrav, der er endnu sværere at greje.

Hvis du har arbejdet med en konsekvensanalyse af internationale dataoverførsler (TIA), ved du også, at det er besværligt at vurdere udenlandske jurisdiktioner. Det gælder især, hvis du sidder i en europæisk SMV, som ikke har ‘musklerne’ til at håndtere sådanne opgaver.

Og så alligevel…

Kritikere af nultolerance-tilgangen mener, at denne strenge fortolkning ikke stemmer overens med EU-lovgivningen.

Faktisk fremgår det klart af betragtning 4 i præamblen til GDPR, at retten til databeskyttelse ikke er “absolut.”

Det er meningen, at vi skal se denne rettighed i en samfundskontekst og skal afveje den i forhold til andre grundlæggende rettigheder. Alt dette stemmer overens med princippet om proportionalitet, der ligger bag al EU-lovgivning.

Når fortolkninger clasher: Microsoft 365-sagen

Efter Schrems II-dommen begyndte EDPB, EDPS og flere nationale databeskyttelsesmyndigheder at dykke ned i, hvordan europæiske virksomheder og institutioner bruger databehandlere.

De så især på dem, der har base uden for EU eller har moderselskaber uden for EU.

En af disse undersøgelser af EDPS stillede skarpt på Kommissionens brug af Microsoft 365. Undersøgelsen tog tre år – og kulminerede med offentliggørelsen af en detaljeret 180-siders beslutning i marts 2024.

Den tilsynsførende fandt, at Kommissionen overtrådte EUDPR på tre nøgleområder.

De krævede derfor af Kommissionen at overholde følgende punkter inden den 9. december 2024:

Punkt 1) Sikre afgrænsning af behandlingsformål

Det databeskyttelsesretlige princip om formålsbegrænsning kræver, at en dataansvarlig alene behandler data til udtrykkeligt angivne formål.

Selvom Kommissionens aftale med Microsoft indeholdt en sådan instruks, var det EDPS’ opfattelse, at de angivne typer af personoplysninger og behandlingsformål ikke var klart defineret og begrænset til specifikke formål.

På samme måde var beskrivelsen af, hvilke typer af personoplysninger, Microsoft måtte behandle, for upræcis.

Derfor kom EDPS frem til, at Kommissionen ikke kunne danne sig tilstrækkeligt overblik over de behandlede typer af personoplysninger og reelle behandlingsformål. EDPS mente af denne grund, at Kommissionen ikke var i stand til at føre tilsyn med, at Microsoft behandlede personoplysninger inden for de aftalte rammer – og dermed om behandlingen var lovlig.

Punkt 2) Sikre passende sikkerhedsforanstaltninger ved internationale overførsler

Kommissionen beskrev ikke med tilstrækkelig præcision, hvilke persondata, som Microsoft kunne overføre til hvilke modtagere uden for EU/EEA.

Som nævnt i punkt 1 er det en forudsætning for at kunne sikre lovligheden af behandlingsaktiviteter, at man som dataansvarlig kender omfanget af, hvilke data der behandles på hvilke måder (og hvor).

EDPS mente ikke, at Kommissionen havde ’mappet’ internationale dataoverførsler præcist nok til at kunne sikre, at disse overførsler også skete med tilstrækkelig sikkerhed.

Af dén grund mente EDPS heller ikke, at Kommissionen var rustet til at tage stilling til, hvorvidt de skulle sørge for supplerende foranstaltninger ved overførslerne.

De sikrede derfor heller ikke, at der var passende sikkerhedsforanstaltninger på plads.

Selvom Kommisionen havde sørget for SCC’er med Microsoft, havde Kommissionen hverken risikovurderet eller kortlagt overførslerne af persondata.

Punkt 3) Forhindre uautoriserede afsløringer

Kommissionen sikrede ikke, at Microsoft kun underrettede dem om anmodninger om persondata, når de var nødt til det i henhold til EU- eller medlemsstatslovgivning.

Desuden havde de ikke vurderet databeskyttelseslovgivningen i tredjelande, hvor data kunne blive overført til.

Det efterlod mulige huller i forebyggelsen af uautoriseret videregivelse.

EDPS’ beslutning bygger på EUDPR, som er en lov, der kun gælder for EU-institutioner. Det er en tilsynsmyndighed, som alene fører tilsyn med de institutioner, der håndhæver loven.

Situationen er dog et udtryk for de udfordringer, mange EU-virksomheder møder, når de bruger cloud-tjenester.

Spørgsmålet til 365 millioner: Hvad kan vi forvente af ‘appellen'?

Fra maj 2024 har Kommissionen – og sidenhen Microsoft – indbragt EDPS-afgørelsen for EU-Domstolen.

Det gør denne sag særligt interessant at følge med i.

Virksomheder, der bruger cloud-tjenester, vil med (neglebidende) spænding afvente EU-Domstolens syn på flere centrale spørgsmål, som mange kæmper med i øjeblikket. Bl.a.:

#1: Hvornår bliver brugen af et cloudbaseret værktøj til en tredjelandsoverførsel?

Det er et spørgsmål, vi ser igen og igen:

“Hvad udgør præcist en overførsel til tredjelande?”

Det er især tilfældet, når vi taler om cloud-tjenester, da det typisk er virksomheder med hovedkvarter i USA, som udbyder dem.

Disse tjenester er komplekse og involverer flere typer datastrømme. Et centralt problem opstår, når tjenestegenererede data – altså, data skabt af selve tjenesten – overføres fra EU-servere til det amerikanske moderselskab for at forbedre tjenesten.

Et centralt spørgsmål i sagen er, hvor mange detaljer den dataansvarlige skal dokumentere i den forbindelse:

Hvor præcist og tæt skal datastrømmene mappes og overvåges?

Selvom servicegenererede data anses som persondata, er det værd at huske, at det er data, der indirekte afspejler den enkelte brugers tekniske brug af et IT-system.

Med andre ord ser servicegenererede data ud til at have en mindre direkte forbindelse til den registreredes integritet sammenlignet med andre typer data, der er beskyttet af GDPR.

Efter min mening bør myndigheder som den tilsynsførende tage højde for dette, når de definerer de dataansvarliges ansvar i praksis.

#2: Hvor præcist skal personoplysningerne og formålene med behandlingen beskrives i en databehandleraftale?

Vi forventer, at EU-Domstolen vil tage stiling til et centralt spørgsmål:

Hvor detaljeret og præcist en dataansvarligs instruks i en databehandleraftale skal beskrive typen af personoplysninger, som databehandleren må behandle?

I EU-Domstolen’s svar på dette spørgsmål kan vi forhåbentlig forvente nogle præciseringer af rækkevidden af ansvarlighedsprincippet.

På samme måde håber vi at uddybe vores forståelse af, i hvilket omfang dataansvarlige skal give detaljerede instruktioner til deres databehandlere på kontrakttidspunktet.

Som jurister med rette har påpeget, synes EDPS’ krav om meget detaljerede behandlingsinstruktioner at være i modstrid med konceptet om outsourcing af tjenester til en cloud-udbyder. Hvis en tjeneste er outsourcet, hvorfor skal de dataansvarlige så have intern ekspertise til at give meget detaljerede behandlingsinstruktioner?

Ud fra et forretnings-synspunkt synes et krav om at beholde interne eksperter med dyb viden om Microsofts systemer at modarbejde formålet med at outsource disse funktioner.

På samme måde kan vi også få en klarere indsigt i forventningerne til de dataansvarlige, når det drejer sig om at foretage risikovurderinger i forbindelse med overførsler.

Specialister har argumenteret for, at eksportøren – snarere end den dataansvarlige – er bedre i stand til at lave risikovurderinger i de regioner, hvor de opererer.

For at kunne følge denne tilgang bør der være klare, praktiske retningslinjer på plads for at støtte og strømline processen.

EU-Domstolens afgørelse kan få store praktiske konsekvenser for, hvordan kontraktforholdet mellem dataansvarlige og cloududbydere vil se ud i fremtiden.

#3: Hvilken rolle spiller det generelle EU-princip om proportionalitet, når databeskyttelsesmyndigheder træffer beslutninger med fatale konsekvenser for europæiske virksomheder?

Den tilsynsførendes krav om, at Kommissionen skal bringe alle databehandlingsaktiviteter i overensstemmelse med den tilsynsførendes afgørelse inden den 9. december, er en betydelig indgriben i institutionens drift.

EU’s proportionalitetsprincip spiller en afgørende rolle for at sikre, at databeskyttelsesreglerne skaber en rimelig balance mellem beskyttelse af persondata og støtte til praktisk forretningsdrift.

Når myndighederne stiller strenge krav – som f.eks. dokumentation for enhver potentiel dataoverførsel, selv for servicegenererede data – risikerer de at skabe byrder, der opvejer de faktiske risici for privatlivets fred.

Det rejser vigtige spørgsmål:

Er disse forventninger realistiske, og stemmer de overens formålet med at outsource til sikre, velrenommerede udbydere, eller skaber de uforholdsmæssigt store hindringer for virksomhederne?

Som vi ved fra præamblen til GDPR, er retten til databeskyttelse ikke absolut.

Proportionalitet bør styre beslutninger for at sikre, at databeskyttelsesforanstaltninger er effektive uden at kvæle innovation eller konkurrenceevne i europæiske virksomheder og organisationer.

Som det er nu, efterlader håndhævelsen af kapitel V organisationer, der er afhængige af cloud-tjenester, med juridisk usikkerhed og bevismæssige udfordringer, der kan hindre deres drift unødigt.

Mens amerikanske lovgivere måske er ved at vænne sig til tanken om at indføre en lovgivning, der minder om GDPR, bliver det interessant at høre EU-Domstolens perspektiv på, hvordan europæiske virksomheder skal navigere i kompleksiteten af globale datastrømme i det nuværende lovgivningsmæssige miljø.

Vi ser frem til en afklaring fra EU-Domstolen om, hvordan proportionalitetsprincippet skal anvendes, når databeskyttelsesreglerne håndhæves.

Uanset hvordan det hele ender, er denne sag om cloud – og hvordan den er blevet til en ‘thundercloud’ – en af mange sager fra praksis, der hjælper os med at forstå, hvordan vi skal overholde GDPR.

Hvis du vil dykke ned i flere GDPR-sager, er du velkommen til at hente vores gratis GDPR-casebook 2024 (del 2) her.

‍