Dødsstødet til Safe Harbor-ordningen

07 oktober 2015

EU-domstolen afsagde tirsdag formiddag endelig dom i sagen C-362/14, der udsprang af en EU-borgers protest over Facebooks overførsel af personlige oplysninger til servere beliggende i USA.

Kommissionen indførte i år 2000 ved beslutning 2000/520 den såkaldte Safe Harbor-ordning, hvor virksomheder beliggende i USA ansås for at sikre et tilstrækkeligt beskyttelsesniveau, hvis de overholdt nærmere angivne minimumskrav. Beslutningen var vedtaget efter artikel 25, stk. 6 i databeskyttelses-direktivet, der bemyndiger Kommissionen til at fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. Safe Harbor-ordningen er frivillig at tilslutte sig for virksomheder.

Facebook var selv en del af ordningen, men klager – østrigske Maximillian Schrems – fremsatte indsigelse mod, at Facebook via Safe Harbor overførte oplysninger til USA blandt andet på grund af Edward Snowdens afsløringer i 2013 omkring de amerikanske efterretningstjenesters storstilede og udifferentierede indsamling af oplysninger fra amerikanske virksomheder.

Indsigelsen blev afvist af det irske datatilsyn med henvisning til, at Safe Harbor-ordningen i det pågældende tilfælde sikrede et tilstrækkeligt beskyttelsesniveau. Sagen endte i den irske High Court, hvor der opstod tvivl om lovligheden af Kommissionens beslutning omkring Safe Harbor pga. beskyttelsesniveauet i USA. High Court forelagde derfor et præjudicielt spørgsmål for EU-domstolen, hvori de spurgte, om en afgørelse vedtaget i henhold til databeskyttelsesdirektivet, såsom beslutning 2000/520, forhindrer, at en medlemsstats tilsynsmyndighed kan behandle en persons klage, når denne person gør gældende, at den gældende lovgivning og praksis i tredjelandet alligevel ikke sikrer et tilstrækkeligt beskyttelsesniveau.

Nationale tilsynsmyndigheders kompetence

Domstolen bemærkede indledningsvist, at Domstolen er enekompetent til at fastslå ugyldigheden af en EU-retsakt, såsom beslutning 2000/520 fra Kommissionen.

Men dette forhindrer imidlertid ikke de nationale tilsynsmyndigheder i at kontrollere videregivelsen af personoplysninger til tredjelande, som har ligget til grund for beslutningen. De nationale tilsynsmyndigheder skal derfor, når en anmodning er indgivet til dem, i fuld uafhængighed kunne undersøge, om videregivelsen af personoplysninger til et tredjeland overholder de ved direktivet fastsatte krav. Er dette ikke muligt, får man en retstilstand, hvor beslutninger vedtaget af Kommissionen aldrig vil kunne blive forelagt Domstolen – den eneste instans med kompetence til at erklære Kommissionens beslutninger ugyldige.

Gyldigheden af Kommissionens beslutning

Domstolen fandt ligeledes, ligesom generaladvokaten, anledning til af egen drift at vurdere, hvorvidt Kommissionens beslutning 2000/520 var gyldig og dermed, om USA sikrede et tilstrækkeligt beskyttelsesniveau efter databeskyttelsesdirektivets artikel 25, stk. 2.

Et "tilstrækkeligt beskyttelsesniveau" indebærer blandt andet, at USA faktisk sikrer et beskyttelsesniveau for de grundlæggende rettigheder, som i det væsentlige svarer til det niveau, som er sikret inden for Unionen – herunder Den Europæiske Unions charter om grundlæggende rettigheder. I chartrets artikel 7 og 8 sikres EU-borgernes ret til respekt for privatliv og beskyttelse af personlige oplysninger.

I anledning heraf kritiserede Domstolen for det første den alt for generelle undtagelse i Kommissionens beslutning, hvorefter »kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og orden [i USA]« har forrang for Safe Harbor-principperne. En sådan undtagelse opfylder ikke kravet om, at lovgivning, der indebærer et indgreb i de grundlæggende rettigheder, skal fastsætte klare og præcise regler, som regulerer rækkevidden og anvendelsen af et sådant indgreb.

Domstolen fastslog for det andet, at den amerikanske lovgivning gav for vid adgang til indsamling af oplysninger, uden at der bliver foretaget nogen form for differentiering, begrænsning eller undtagelse under hensyn til det forfulgte mål. Noget sådant strider ikke blot mod anerkendte europæiske databeskyttelsesprincipper men også mod retten til respekt for privatlivet efter chartrets artikel 7.

For det tredje kritiserede Domstolen manglen på domstolsbeskyttelse mod indgreb af denne art. De i beslutningen nævnte voldgiftsmekanismer og procedurer ved FTC (Federal Trade Commission) i USA var ikke tilstrækkelige til at sikre borgernes ret til en effektiv domstolsbeskyttelse efter chartrets artikel 47.

Domstolen bemærkede for det fjerde, at Kommissionen oprindeligt i beslutning 2000/520 slet ikke anførte, at USA sikrede et tilstrækkeligt beskyttelsesniveau.

I en rapport udarbejdet af Kommissionen i 2013 konkluderes det endda, at »… Safe Harbor-ordningen [er] en af de kanaler, hvorigennem de amerikanske efterretningsmyndigheder får adgang til at indsamle personoplysninger«, hvilket må siges at være temmelig paradoksalt. I samme rapport konkluderes det yderligere, at »… de berørte personer ikke rådede over administrative eller retslige midler, der kunne gøre det muligt for dem at få adgang til de oplysninger, der vedrørte dem, og til i givet fald at få disse berigtiget eller slettet«.

Afslutningsvist omtalte Domstolen artikel 3 i Kommissionens beslutning 2000/520. Bestemmelsen tillagde nationale tilsynsmyndigheder kompetence til at suspendere overførslen af oplysninger til en Safe Harbor-virksomhed, men kun for at sikre overholdelsen af nationale bestemmelser vedtaget i overensstemmelse med andre end artikel 25! Bestemmelsen udelukkede reelt nationale myndigheder fra at efterprøve Safe Harbor-ordningen. Kommissionen overskred derfor sin kompetence, som den var tillagt efter artikel 25, stk. 6.

På baggrund af det ovenstående blev beslutning 2000/520 – og dermed Safe Harbor-ordningen – erklæret ugyldig.

Konsekvenser

Den umiddelbare virkning af afgørelsen er – naturligvis – at overførsel af data mellem EU og amerikanske virksomheder vil blive mere besværlig. Safe Harbor fungerede som en praktisk løsning, der tillod, at data uden de store vanskeligheder kunne passere over Atlanten.

Virksomheder må nu til at finde et andet grundlag for overførsel af data. På nuværende tidspunkt fremstår de af Kommissionen godkendte Standard Contractual Clauses, som en mulig udvej. Disse er individuelt bindende standardkontrakter, der sikrer at tilstrækkeligt beskyttelsesniveau parterne imellem. Det lægger uden tvivl store administrative byrder på virksomhederne at udarbejde nye kontrakter til deres databehandlere i udlandet, men det er ikke desto mindre en af de mere praktiske løsninger, der findes på nuværende tidspunkt.

Alternativer til Safe Harbor kan derudover være de såkaldte Binding Corporate Rules, der kan etablere et grundlag til overførsel af data mellem koncernforbundne selskaber på tværs af landegrænser. Dernæst er det i nogle tilfælde også stadigvæk muligt – om end besværligt – at overføre oplysningerne til et tredjeland på baggrund af et individuelt og specifikt samtykke fra datasubjektet.

En anden konsekvens af afgørelsen er de forskelligartede reaktioner fra de 28 forskellige medlemslande. De nationale tilsynsmyndigheders praksis i forbindelse med overførsel af data til tredjelande vil forventeligt blive mere splittet, da de nu i højere grad må udvikle sig gennem national lov og praksis i stedet for at arbejde med et sæt fælles principper, som Safe Harbor-ordningen foreskrev.

Endelig risikerer Kommissionen nu, at nationale myndigheder i højere grad vil anfægte de af Kommissionen vedtagne beslutninger.

Afslutningsvis skal det pointeres, at der ikke er grund til panik. Det vil nu være op til de nationale myndigheder, herunder det danske datatilsyn, selv at tage stilling til og implementere afgørelsen i national ret og praksis. Indtil videre har Datatilsynet ikke reageret på dommen, men der er ingen tvivl om, at de vil give danske virksomheder tid til at finde egnede alternativer, hvis virksomheden er afhængig af dataoverførsel til USA.