EF-Domstolen erklærer Privacy Shield ineffektiv - Hvad afgørelsen betyder for webstedsoperatører

Mario Steinberg Senest opdateret den 21. oktober 2020
6 Min.
Privacy Shield ECJ
Senest opdateret den 21. oktober 2020

Den 16.07.2020 erklærede EF-Domstolen (EF-Domstolen) Privacy Shield ineffektiv. Denne dom gælder blandt andet for alle webstedsoperatører, der bruger tjenester leveret af amerikanske virksomheder. I denne artikel vil jeg forklare dig, hvad dommen betyder for dig som webstedsoperatør eller agentur, og hvad du skal gøre nu.

Retsstilling

Enhver databehandling kræver et retsgrundlag

Enhver behandling af personoplysninger kræver et retsgrundlag (artikel 6 sek. 1 GDPR). De vigtigste retsgrundlag for websteder er:

  • Den pågældende persons samtykke (f.eks. til indstilling af cookies)
  • opfyldelse af en kontraktlig forpligtelse (f.eks. i tilfælde af onlinebutikker)
  • den registeransvarliges eller webstedsoperatørens legitime interesse (f.eks. i besvarelsen af e-mail-forespørgsler).

Samtykke indhentes traditionelt fra hjemmesider ved hjælp af et afkrydsningsfelt. Det bedste eksempel på dette er Cookie Banner, hvorved hjemmesiden besøgende samtykker til indstillingen af visse cookies (f.eks markedsføring eller sporing cookies). Hvis du ønsker at vide mere om dette, vil du se i mit indlæg "Cookie Banner - men til højre! Disse 7 ting, du bør være opmærksom på" finde.

Ovennævnte retsgrundlag vedrører imidlertid kun den faktiske behandling af data.

Yderligere retsgrundlag for dataoverførsler til ikke-europæiske lande 

Hvis databehandlingen ikke skal finde sted i EU, men i ikke-europæiske lande - det vil sige i et såkaldt tredjeland - er der behov for et yderligere retsgrundlag.

Retsgrundlaget for overførsel af personoplysninger til tredjelande findes i artikel 44 og 20 12.

For webstedsoperatører er Europa-Kommissionens såkaldte beslutninger om tilstrækkelighed (art. 45 GDPR) særligt relevante.

Ved en sådan afgørelse beslutter Kommissionen, at et tredjeland kan yde et tilstrækkeligt databeskyttelsesniveau, og at personoplysninger kan overføres til tredjelandet.

Der er tidligere truffet beslutninger om tilstrækkelighed med en lang række lande som Schweiz, Australien og New Zealand. 

Skjoldet til beskyttelse af personlige oplysninger

Privacy Shield var en beslutning truffet af Europa-Kommissionen om dataoverførsler til USA. Det blev taget i juli 2016 og blot få måneder efter, at EF-Domstolen ophævede Safe Harbor-aftalen (den tidligere Privacy Shield-ordning).  

Under Privacy Shield har amerikanske virksomheder frivilligt accepteret at overholde et vist niveau af databeskyttelse ved behandling af personoplysninger fra EU. Efter denne certificering kan personoplysninger fra EU videregives til dig.

EF-Domstolens afgørelse om beskyttelse af privatlivets fred

ECJ-dommen var baseret på en anmodning om præjudiciel afgørelse fra den irske højesteret til EF-Domstolen, som var baseret på en sag anlagt af den østrigske databeskyttelsesaktivist Maximilian Schrems mod Facebook Ireland Ltd.

I sin dom af 16. juli 2020 erklærede EF-Domstolen Privacy Shield for ineffektivt. Fra nu af er alle overførsler af personoplysninger fra EU til USA, som tidligere har været baseret på Privacy Shield som retsgrundlag, derfor uantagelige.

Det lyder dramatisk – og det er det.

Konsekvenserne af afgørelsen for webstedsoperatører

Næsten alle websteder vil sandsynligvis blive påvirket af dommens konsekvenser. Som regel har næsten alle websteder integreret mindst én tjeneste i et amerikansk selskab, som leveres ikke kun gennem europæiske datterselskaber (såsom Facebook Ireland Ltd. og Google Ireland Ltd.), men også gennem det respektive amerikanske moderselskab (f.eks. Facebook Inc. og Google LLC).

For mange af disse tjenester overføres personoplysninger til USA (muligvis afhængigt af standarden) taget. Eksempler på sådanne tjenester er:

  • Google-tjenester som Google Analytics, Google Maps eller Google Fonts (medmindre de er lokalt integreret);
  • Nyhedsbreve (e.B. Mailchimp);
  • Sociale medier Plugins (Facebook, Instagram, YouTube, Twitter osv.)
  • Cloud-backuptjenester;
  • Online shop-løsninger.

Hvis en webstedsoperatør har forberedt sin privatlivspolitik korrekt, skal den finde følgende oplysninger for hver tjeneste, hvor dataoverførsler til USA kan finde sted:

"Den amerikanske virksomhed XYZ behandler også dine personoplysninger i USA og har indsendt til EU/US Privacy Shield. Yderligere oplysninger om Privacy Shield finder du i https://www.privacyshield.gov/EU-US-Framework"

Mulige alternative retsgrundlag for dataoverførsler

De dataoverførsler til USA, der hidtil er foretaget på grundlag af Privacy Shield, vil fra nu af eller indtil en ny kommissionsbeslutning kun er tilladt, hvis de kan baseres på et andet retsgrundlag.

Overvej som sådan:

Den pågældendes samtykke

Retsgrundlaget for webstedsoperatører er først og fremmest den registreredes udtrykkelige samtykke (artikel 49, stk. 1, tændte en GDPR). Betingelsen er imidlertid, at den registrerede er blevet underrettet om risikoen ved overførsel af oplysninger, inden han giver sit samtykke.

Fremsendelse med henblik på opfyldelse af kontrakten

Det er også tænkeligt, at overførsel af personoplysninger til USA er nødvendig for opfyldelsen af en kontrakt mellem den registrerede (den besøgende på webstedet) og den registeransvarlige (webstedsoperatøren).

Det er dog ikke tilstrækkeligt, at webstedsoperatøren bruger en amerikansk virksomheds service til at gennemføre kontrakten (f.eks. en amerikansk onlinebutik Plugin ). Det, der er brug for, er, at selve kontrakten har en amerikansk forbindelse, dvs.

Europa-Kommissionens standardklausuler om databeskyttelse

Det er ikke særlig sandsynligt, at overførslen af personoplysninger til USA kan baseres på de standard databeskyttelsesklausuler, som Europa-Kommissionen har vedtaget (artikel 46, stk. 2, .c GDPR).

Standardklausulerne om databeskyttelse er standardkontrakter, der kan indgås mellem en EU-baseret dataeksportør og en dataimportør, der er etableret i et tredjeland. Med disse garanterer den ikke-europæiske dataimportør dataeksportøren, at de overførte personoplysninger vil nyde godt af et beskyttelsesniveau, der kan sammenlignes med GDPR.

I sin dom vedrørende Privacy Shield har EF-Domstolen faktisk besluttet, at indholdet af standard databeskyttelsesklausulerne ikke i sig selv er forkasteligt. Overholdelsen af dem skal imidlertid også håndhæves effektivt i tredjelandet.

Om dette rent faktisk er muligt med dataoverførsler til USA, forekommer yderst tvivlsomt. EF-Domstolen har blandt andet erklæret Privacy Shield ineffektivt, fordi EU-borgere ikke har en passende retlig beskyttelse mod de amerikanske myndigheders dataovervågningsprogrammer. Og denne situation vil sandsynligvis være næsten identisk med hensyn til standardklausuler om databeskyttelse.

Derfor fastslog EF-Domstolen også i sin dom, at databeskyttelsestilsynsmyndighederne er forpligtet til at suspendere eller forbyde overførsel af personoplysninger til et tredjeland baseret på standard databeskyttelsesklausuler, hvis de mener, at standardklausulerne om databeskyttelse i tredjelandet ikke overholdes eller ikke kan overholdes. 

Det må derfor forventes, at dataoverførsler til USA baseret på standard databeskyttelsesklausulerne vil blive anfægtet af databeskyttelsesmyndighederne og erklæret uantagelige.

Hvad du skal gøre som en hjemmeside operatør nu

Da alle overførsler af personoplysninger til USA baseret på Privacy Shield nu er uantagelige, bør webstedsoperatører gennemføre følgende foranstaltninger:

#1 vælge europæiske servere

Nogle amerikanske virksomheder tilbyder at levere dine tjenester via europæiske servere. Hvis dette er tilfældet, bør webstedsoperatørerne vælge den europæiske server.

#2 samtykke fra den pågældende person

Hvis valget af en europæisk server ikke er muligt, bør den registreredes udtrykkelige samtykke indhentes med henblik på overførsel af hans personoplysninger til USA. Dette samtykke kan gives ved hjælp af et afkrydsningsfelt, som i tilfælde af cookies.

Da hvert websted, der indstiller cookies, skal have et cookiebanner med passende meddelelser og afkrydsningsfelter til indstilling af de enkelte cookies, kan dette suppleres med yderligere (risiko) tip og afkrydsningsfelter vedrørende de tilsigtede dataoverførsler til USA. Som med ethvert afkrydsningsfelt skal man naturligvis sørge for, at den besøgende på webstedet selv skal klikke på afkrydsningsfeltet (opt-in), da forudaktiverede afkrydsningsfelter (opt-out) ikke kan antages i henhold til forbundsdomstolens retspraksis.

Ganske vist er den eneste "ulempe" ved denne samtykkeløsning, at den tilsvarende tjeneste muligvis ikke er aktiv på hjemmesiden, hvis der ikke gives samtykke.

Hvad dette betyder, lad os kort forklare her eksemplet med Google Fonts:

Nogle gange er Google-skrifttyper ikke inkluderet lokalt på webstedet, men kun når webbrowseren har adgang til siden fra Google-serverne. Hvis dette gøres med en amerikansk Google Server, overføres webbrowserdataene, dvs. personlige data fra den besøgende på webstedet, til denne Google Server i USA.

Det er allerede tvivlsomt, om genindlæsningen af Google-skrifttyper overhovedet kan baseres på en legitim interesse for webstedsoperatøren (jeg personligt er meget i tvivl om dette), da Google-skrifttyperne også kan integreres lokalt. Men selv hvis denne legitime interesse blev accepteret, ville der være behov for et ekstra retsgrundlag for overførsel af personlige webbrowserdata til de amerikanske Google-servere. Dette yderligere retsgrundlag har været Privacy Shield. Da dette nu er ineffektivt, ville det nu kræve samtykke fra hjemmesiden besøgende til genindlæsning af Google-skrifttyper af amerikanske Google-servere. Hvis dette ikke er givet, bør Google-skrifttyperne ikke genindlæses.

Det betyder, at Google Fonts skal integreres lokalt på hjemmesiden senest fra nu af.

tilpasse #3 politik om beskyttelse af personlige oplysninger

Det er vigtigt at tilpasse databeskyttelseserklæringen til den nye retlige situation.

Da privatlivspolitikken fuldt ud og korrekt skal afspejle behandlingen af personoplysninger, der finder sted på et websted, er det ikke tilstrækkeligt blot at slette de tidligere oplysninger om Privacy Shield - i hvert fald hvis de tilsvarende tjenester stadig bruges.

Faktisk, hvis dataoverførslen nu er baseret på samtykke fra den besøgende på webstedet, skal dette også nævnes i overensstemmelse hermed. I tilfælde af samtykke vil det desuden være nødvendigt at påvise de risici, der er forbundet med overførsel af data til USA, nemlig at de personoplysninger, der videregives til USA, evalueres af de amerikanske myndigheder inden for rammerne af de amerikanske dataovervågningsprogrammer, og at EU-borgere ikke har passende retsbeskyttelsesmuligheder i denne henseende.

Se

Efter at EF-Domstolen havde erklæret Safe Harbor-aftalen for ineffektiv, tog det kun et par måneder for Europa-Kommissionen at forhandle Privacy Shield med USA.

I betragtning af den vigtige betydning af transatlantisk dataudveksling, som ikke bør undervurderes, vil det bestemt ikke være længe, før der findes en ny forordning, og Kommissionen træffer en ny beslutning om tilstrækkelighed til overførsel af personoplysninger til USA.

Og hvis den tager fat på EF-Domstolens bekymringer og skaber mere databeskyttelse for EU-borgere i USA, er det også godt for webstedsoperatørerne.

Lignende artikler

Kommentarer til denne artikel

Skriv svar på en

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *.