EU-Domstolen erklærer Privacy Shield-ordningen ugyldig

Den 16. juli 2020 traf EU-Domstolen afgørelse i den såkaldte Schrems II-sag, som vedrører gyldigheden af EU-Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande og EU/US Privacy Shield-ordningen.


Sagen var anlagt af den østrigske statsborger og databeskyttelsesaktivist Maximillian Schrems mod Facebook Ireland Limited ved de irske domstole, der i forbindelse med sagen stillede en række spørgsmål til EU-Domstolen.

Schrems indgav i december 2015 en klage til det irske datatilsyn, fordi han mente, at Facebooks overførsel af hans personoplysninger til USA på grundlag af EU-Kommissionens standardkontraktbestemmelser (Standard Contractual Clauses – SCC) ikke sikrede tilstrækkelig beskyttelse af Schrems’ grundlæggende rettigheder. Schrems’ begrundelse var, at de amerikanske myndigheder foretager masseovervågning af EU-borgeres personoplysninger, når oplysningerne opbevares i USA, og at denne masseovervågning sker uden tilstrækkelig beskyttelse mod de indgreb, der er forbundet med den. På den baggrund anmodede Schrems den irske tilsynsmyndighed om at suspendere Facebooks overførsel af hans personoplysninger.

Selvom Schrems’ anmodning alene gik på at suspendere overførslen af hans personoplysninger på baggrund af de specifikke standardkontraktbestemmelser, og ikke på at erklære Kommissionens standardkontraktbestemmelser ugyldige, besluttede den irske tilsynsmyndighed, at det var nødvendigt at få afklaret en række principielle spørgsmål vedrørende Kommissionens standardkontraktbestemmelser.

Sagen er en forlængelse af Schrems’ tidligere klager om Facebooks overførsel af personoplysninger til USA på grundlag af den tidligere Safe Harbour-ordning, der i 2015 blev erklæret ugyldig af EU-Domstolen.

Generaladvokaten gav den 19. december 2019 sit forslag til afgørelse af sagen. EU-domstolen har i sin afgørelse imidlertid kun delvist fulgt dette forslag, og har, på trods af at sagen alene vedrørte gyldigheden af EU-Kommissionens standardkontraktbestemmelser, også taget stilling til gyldigheden af EU/US Privacy Shield-ordningen.


EU-Kommissionens standardkontraktbestemmelser

EU-Domstolen er kommet frem til, at EU-Kommissionens standardkontraktbestemmelser fra 2010 fortsat er gyldige og derved fortsat kan finde anvendelse på overførsler til tredjelande udenfor EU.

EU-Domstolen fastslår, at eksportører af personoplysninger (dataansvarlige i EU), der anvender Kommissionens standardkontraktbestemmelser, sammen med importøren (den dataansvarlige eller databehandleren i et land udenfor EU) skal foretage en konkret vurdering af, om lovgivningen i det land, personoplysningerne overføres til, muliggør, at importøren reelt kan efterleve de krav (fx efterlevelse af dataeksportørens instruks), der stilles i standardkontraktbestemmelserne.

Baggrunden for, at EU-Domstolen har fundet, at standardkontraktbestemmelserne fortsat er tilstrækkelige som grundlag for overførsel af personoplysninger til tredjelande, er bl.a., at bestemmelserne indeholder en forpligtelse for importøren af personoplysningerne til at underrette eksportøren, hvis der opstår omstændigheder, hvor det ikke er muligt for importøren at efterleve standardkontraktbestemmelserne. Eksportøren er i så fald berettiget til at suspendere overførslen. EU-Domstolen har i den forbindelse fundet, at eksportøren i sådanne tilfælde ikke bare er berettiget, men forpligtet til at suspendere overførslen. Suspenderer eksportøren ikke overførslen i sådanne tilfælde, er den kompetente tilsynsmyndighed forpligtet til at foretage suspensionen.


EU/US Privacy Shield-ordningen

EU-Domstolen har i sin afgørelse også vurderet, at EU/US Privacy Shield-ordningen er ugyldig. Derved underkendes Kommissionens afgørelse 2016/1250.

Denne del af afgørelsen begrundes med, at de begrænsninger i beskyttelsen af personoplysninger, som den amerikanske lovgivning indebærer i relation til de amerikanske myndigheders masseovervågning, ikke er forenelige med kravene til beskyttelse af personoplysninger i EU, blandt andet fordi overvågningen ikke er proportionel, da den ikke er begrænset til det strengt nødvendige.

Domstolen pointerer derudover, at selvom de amerikanske myndigheder skal overholde en række krav i forbindelse med implementering af overvågningsprogrammer, gives der ikke de registrerede en reel og tilstrækkelig mulighed for at kunne udøve deres rettigheder overfor de amerikanske myndigheder. Dette begrundes blandt andet med, at klageorganet ikke er sikret tilstrækkelig uafhængighed, og at der ikke eksisterer regler, der giver den relevante klagemyndighed mulighed for at vedtage beslutninger og afgørelser, der er bindende for de amerikanske myndigheder.


Bech-Bruuns kommentar

EU-Domstolens afgørelse i Schrems II-sagen indebærer, at Kommissionens standardkontraktbestemmelser fortsat kan anvendes som overførselsgrundlag, men at det er nødvendigt at være opmærksom på, om der er regler i importørens land, der gør det umuligt for importøren at efterleve forpligtelserne i standardkontraktbestemmelserne. Er det tilfældet, skal påtænkte overførsler ikke iværksættes eller eksisterende overførsler suspenderes. Det må i den forbindelse forventes, at de europæiske tilsynsmyndigheder fremadrettet vil have øget fokus på beskyttelsesniveauet i eksisterende standardkontraktbestemmelser, som – hvis de ikke vurderes som tilstrækkelige – har risiko for at blive suspenderet.

Dette medfører, at eksportører, der overfører personoplysninger til tredjelande på baggrund af Kommissionens standardkontraktbestemmelser, i hvert enkelt tilfælde skal vurdere, om lovgivningen i importørens land muliggør, at kravene i standardkontraktbestemmelserne efterleves.

Underkendelsen af EU/US Privacy Shield-ordningen medfører, at dataansvarlige, der baserer overførsler af personoplysninger til USA på denne ordning, skal etablere et andet overførselsgrundlag, og at overførsler af personoplysninger, der er baseret på EU/US Privacy Shield-ordningen, skal suspenderes, indtil der er etableret et nyt, tilstrækkeligt overførselsgrundlag. Dataansvarlige, der overfører personoplysninger til USA, bør derfor straks forholde sig til og vurdere tilstrækkeligheden af deres overførselsgrundlag.

Fremadrettet bør databehandleraftaler, som i forbindelse med tredjelandsoverførsler suppleres af standardkontraktbestemmelse, i højere grad, end det har været tilfældet hidtil, fokusere på de forpligtelser, som parterne skal efterleve i deres roller som eksporterer og importører.

I lyset af Schrems II-afgørelsen anbefaler Bech-Bruun, at dataansvarlige gennemgår alle deres eksisterende overførsler af personoplysninger til tredjelande, som er baseret på standardkontraktbestemmelser eller Privacy Shield, og vurderer om beskyttelsesniveauet i de pågældende tredjelande er tilstrækkeligt, samt etablerer alternative overførselsgrundlag for overførsler til USA, som tidligere har været baseret på Privacy Shield.

Hos Bech-Bruun er vi specialiserede i de databeskyttelsesretlige regler, herunder overførsel af personoplysninger til tredjelande. Har I behov for rådgivning om overførsel af personoplysninger til tredjelande og de krav, som stilles i den forbindelse, er I meget velkomne til at kontakte én af vores specialister på området.