For en del år siden indså man, at internettet ville blive så stort, at der skulle fastsættes klare regler for, hvordan der må flyttes europæiske persondata mellem EU og USA.
Et eksempel kunne være en amerikansk startupvirksomhed, der ikke har en europæisk afdeling, men som har europæiske brugere. Men det kunne også være europæiske virksomheder, der outsourcer noget databehandling til USA.
Der blev derfor indgået en aftale kaldet Safe Harbour, som basalt siger, at persondata skal beskyttes på samme niveau som i hjemlandet. For EU er det blandt andet de europæiske menneskerettigheder, der skal respekteres – specielt paragraffen om ret til privatliv, hvis man ikke er under mistanke.
Men i 2013 afslørede Edward Snowden, at USA på ingen måde respekterer Safe Harbour-aftalen, blandt andet fordi den amerikanske lovgivning giver myndighederne lempeligere adgang til indsamling af persondata, og fordi efterretningstjenesterne ikke respekterer lovgivningen.
Derfor er det ikke et voldsomt krav at stille, at persondata ikke må sendes uden for EU
Det fik Max Schrems, en ung jurastuderende fra Østrig, til at anlægge sag mod Facebook, da Facebook er blandt de virksomheder, der sender persondata til USA, og fordi Facebook ifølge Snowdens afsløringer giver amerikanske efterretningstjenester adgang til dem. Max Schrem vandt sagen, og dermed blev Safe Harbour-aftalen underkendt af EU-domstolen i 2015. Afgørelsen skabte panik, og EU fik hurtigt ny aftale på plads kaldet Privacy Shield.
I PROSA kunne vi godt se, at den aftale ikke løste det grundlæggende problem, nemlig at den amerikanske efterretningstjeneste ikke overholder aftalen og gerne bryder egen lovgivning. Snowden afslørede, at efterretningstjenesterne endda masseovervåger amerikanske borgere – noget som er klart ulovligt i USA. Max Schrems lagde derfor igen sag an, og i juli blev også Privacy Shield-aftalen kendt ugyldig af EU-domstolen. Problemet er altså stadig ikke løst. Men hvad skal der så til for, at der kan laves en gyldig aftale?
Tilbage i 2000 var det i praksis mere bøvlet for en amerikansk startup at få en europæisk afdeling, men i dag kan de bare leje sig ind på et hosting center og have en europæer ansat til at passe maskinerne hjemmefra og udtrække de afledte data (for eksempel statistik), som man har behov for i USA. Det er altså ikke længere økonomisk et problem. Derfor er det ikke et voldsomt krav at stille, at persondata ikke må sendes uden for EU. Og derfor er behovet for en ny aftale i praksis langt mindre nu, end det tidligere var.
Det er svært at forestille sig, at en ny aftale vil kunne få EU’s krav om persondatabeskyttelse og USA’s krav om overvågning til at forenes. I hvert fald hvis aftalen skal kunne holde i retten. Det er mere sandsynligt, at en af dem må bøje sig. Og måske mest sandsynligt, at der ikke kommer en ny aftale. Jeg håber i hvert fald ikke, at vi igen skal konstatere, at der er indgået en ny aftale, som heller ikke holder i retten.
