Navnet Max Schrems vækker formentlig både genkendelse og kuldegysninger på chefgangene rundtomkring hos både Google, Microsoft, Facebook og Amazon.
Den 34-årige advokat og privacy-aktivist fra Østrig har i mere end et årti udfordret de amerikanske tech-virksomheders behandling af europæeres persondata. Og den dag i dag hersker der som følge af de sager, Max Schrems har foranlediget – senest med den såkaldte Schrems II-dom – usikkerhed om, i hvilket omfang det overhovedet er muligt at anvende amerikanske cloud-tjenester på en måde, der respekterer europæisk persondataret.
Hvad fik dig til at tage kampen op?
– Oprindeligt tror jeg, det var en reaktion på Snowden-afsløringerne for ti år siden. Det var denne her følelse af, at det er rigtig, rigtig skidt.
Denne artikel er et tema om cloud-tjenester:
Kampen for privatliv kostede hans eget
Amerikanske cloud-løsninger giver hovedbrud
På sikker grund
Sådan siger han, da Prosabladet møder ham til interview i København i forbindelse med it-sikkerhedskonferencen V2Security, og forklarer, at han var rystet over, at Edward Snowdens afsløringer indikerede elektronisk overvågning fra amerikansk side mod lande i EU.
Hvad er problemet egentlig?
– Grundlæggende tror jeg ikke, at det for de fleste almindelige mennesker er et problem. Men lad os sige, at du er aktivist, journalist eller andet af interesse (for den amerikanske stat, red.), så er det et stort problem. For lige nu, som europæer, så har du ingen beskyttelse. Du er bogstavelig talt fair game.
Jeg har mistet mit privatliv på grund af privatlivssager
Max Schrems henviser til, at den amerikanske efterretningstjeneste NSA via amerikansk lovgivning kan få særlig adgang til persondata om ikke-amerikanere via de amerikanske tech-giganters ydelser, selv om EU forsøger at beskytte sine borgeres privatlivsdata. Den østrigske advokat mener, at det er et grundlæggende problem at have to forskellige standarder. En, der er baseret på statsborgerskab i en global verden – og en i en digital verden. »
– Jeg tænkte: O.k., der er måske en juridisk vej her, som kan gøre det til et reelt problem for branchen. For så længe industrien kan ignorere det, så forbliver det bare politisk uden at få konsekvenser, siger han om grunden til, at han gik op mod det, der må have syntes som en overmagt.
Men Max Schrems kunne som advokat se muligheder i at bruge europæisk lovgivning til at gøre livet vanskeligt for de amerikanske tech-giganter i EU. Han udfordrede dataoverførselsaftalerne mellem EU og USA, og nu bærer to EU-domme hans navn, så den mission lader umiddelbart til at være lykkedes.
Både det østrigske og det franske datatilsyn har tidligere på året truffet afgørelser om, at hjemmesider i de konkrete sager, som tilsynene har taget stilling til, ikke må anvende Google Analytics. Sagerne ved begge datatilsyn er rejst af Max Schrems' privacy-organisation Noyb (None Of Your Business) umiddelbart efter Schrems II-afgørelsen, og det drejer sig om 101 hjemmesiders brug af henholdsvis Google Analytics og Facebook Connect.
Når Noyb valgte at indgive konkrete klager over Google Analytics og ikke alle mulige andre amerikanske, cloud-baserede tjenester, er det, fordi det er ligetil at detektere, hvorvidt en hjemmeside bruger analyseværktøjet. Derudover, fortæller Max Schrems, findes der alternativer til Google Analytics, og dermed var tanken, at de ramte hjemmesider ikke ville stå i en helt umulig situation, såfremt et nationalt datatilsyn dømte tjenesten ude.
– Vi prøvede at gøre noget, der var mere acceptabelt. Men vi oplevede faktisk, at vores fokus på Google Analytics, som er meget udbredt, medførte en meget negativ reaktion, siger Max Schrems og uddyber:
– Vi får bogstavelig talt hademails fra advokater.
Han gætter på, at det hænger sammen med, at mange advokater i årevis har rådgivet deres klienter om, at de trygt kunne bruge værktøjer som eksempelvis Google Analytics.
– Det forbløffer mig. For dem er det mindblowing, at de faktisk skal overholde loven. Jeg mener: Man kan være enig eller uenig i mange love. Jeg er uenig i mange love, men jeg skal stadig overholde dem. Trods alt, siger han.
Det tog ifølge Max Schrems ikke mere end tre dages arbejde at lave de 101 klager, som er blevet sendt til myndighederne i 30 forskellige lande. Han peger i den sammenhæng på, at Noyb ikke er en stor NGO.
– Det viser bare, hvor grundlæggende non-compliant mange af de systemer, vi har, er. Selv med bare et lille puf får man på en måde noget til at eksplodere, siger han.
Umiddelbart kan det virke lidt spøjst, at en relativt lille NGO i Østrig med en begrænset arbejdsindsats på den måde kan ryste det digitale fundament, som en ikke uvæsentlig del af EU hviler på. Ikke mindst taget i betragtning af at der ifølge Max Schrems var det samme grundlæggende galt med Privacy Shield som med Safe Harbor. Altså en umiddelbar inkompatibilitet mellem EU’s persondataret og amerikansk lovgivning.
Når ingen tilsyneladende havde lært noget af Schrems I-dommen, da man udarbejdede Privacy Shield, så mener Max Schrems, at det hænger sammen med et massivt lobbyarbejde fra en ressourcestærk tech-branche på den ene side og et meget begrænset modtryk på den anden.
– Der er jo en grund til, at du har store lobbyfirmaer, og at der betales millioner for deres tjenester, for vi får disse beslutninger ud af det på en eller anden måde, siger han og henviser til, at resultatet bliver aftaler som Safe Harbor og Privacy Shield, der viser sig ikke at holde i retten.
EU og USA har annonceret en ny aftale som erstatning for Privacy Shield. Og måske kan europæiske virksomheder sætte deres lid til den aftale som nyt overførselsgrundlag af data allerede ved udgangen af året. Det kan dog vise sig at blive en kort fornøjelse at basere sine persondataoverførsler på arvtageren for Privacy Shield, for Max Schrems forventer nemlig også at udfordre det kommende grundlag, medmindre der dukker noget helt uventet op.
– Vi bliver nødt til at se på den endelige tekst. Måske sker der noget magisk i løbet af det næste halve år, siger han.
Vi får bogstavelig talt hademails fra advokater
Han er dog skeptisk. Umiddelbart er en ændring af amerikansk lovgivning i forbindelse med dataindhentning om ikke-amerikanere den eneste måde, hvorpå Max Schrems kan se, at en ny aftale vil kunne holde i EU-retten. Og det forventer han ikke kommer til at ske lige med det samme. Men måske i det lange løb:
– De dominobrikker, der skal falde, er, at branchen siger: ”O.k., vi har virkelig et problem. Vi har prøvet tre eller fire gange at tryne europæerne, men det er ikke lykkedes.” Og så på et eller andet tidspunkt vil der komme et pres i Washington, siger han.
Max Schrems må altså fortsat leve med, at hans navn giver genlyd fra EU-Kommissionen til Silicon Valley, men manden selv kalder det super weird at være blevet så kendt. Noget, han konstant må forholde sig til, eksempelvis når der opstår kø på den københavnske it-sikkerhedskonference, fordi deltagerne vil have en selfie med privacy-aktivisten. Som han siger:
– Jeg har mistet mit privatliv på grund af privatlivssager. Det er lidt mærkeligt.
Drejer det sig om persondata, skal løsningerne i skyen bruges med omtanke, mener Niels Bertelsen, der er formand for PROSA. Han henviser til Datatilsynets cloud-vejledning, der kom, efter at Schrems II-dommen annullerede Privacy Shield-aftalen.
— Groft sagt siger den, at man som udgangspunkt ikke må overføre persondata til usikre tredjelande eller give folk i usikre tredjelande adgang til persondata. Der er nogle mindre undtagelser, men hovedbudskabet er klart: Det er dit ansvar at overholde loven, og du skal dokumentere, at loven er overholdt, hvis du laver en dataoverførsel, siger han.
EU og USA arbejder for øjeblikket på at strikke en ny standardaftale sammen, men den vil Niels Bertelsen ikke anbefale, at man sætter sin lid til.
— Så længe USA har en lovgivning, der giver deres efterretningstjenester ret til at kigge i alle data i USA, vil en ny standardaftale ganske givet også blive underkendt af EU-Domstolen. I stedet for at håbe bør man nok bare erkende, at det er slut med at bruge amerikansk-ejede cloud-tjenester og datacentre, siger han.
Han opfordrer til, at man er opmærksom på ikke at låse sig til enkelte cloud-leverandørers teknologier.
— Man bør allerede nu gøre sig leverandør-uafhængig, så man nemt kan flytte sin løsning fra en cloud-udbyder til en anden, siger han og peger på Kubernetes.
Det er et orkestreringsværktøj til applikationer, der befinder sig i en container. Det kan gøre det lettere at skifte leverandør, fordi containeren i udgangspunktet indeholder hele det runtime-miljø, som appen forudsætter. Og fordi runtime på den måde er pakket med appen, så er det også relativt let at flytte appen til en anden leverandør.
Også internt i PROSA er der fokus på dataopbevaring. Netop med amerikansk overvågning in mente har PROSA valgt at oprette en NextCloud-instans til deling af indhold som videoer og referater. Altså en slags Dropbox — bare open source og selv-hostet.
— Vi er opmærksomme på, at det kan være problematisk at smide hvad som helst i en amerikansk-drevet cloud-service, og så har vi set på, hvad vi aktivt kan gøre i stedet, siger Ole Tange, it-politisk rådgiver og NextCloud-tovholder, og tilføjer:
— Vi har aktivt truffet det valg at få gjort vores cloud-drive lokalt. Så når vi skal udveksle ting med folk uden for huset, kan det foregå med et netværksdrev, der er hostet på vores eget jern.