EU-domstolen har den 6. oktober 2015 afsagt dom i en præjudiciel forelæggelse fra den irske High Court, i en sag mellem Max Schrems og det irske datatilsyn. 
 
Ved dommen fandt EU-Domstolen:

• at de nationale datatilsyn i EU er kompetente under persondatadirektivet (95/46/EC) til at behandle spørgsmålet om, hvorvidt eksempelvis Safe Harbor-beslutningen giver en tilstrækkelig beskyttelse af personoplysninger i USA. EU-domstolen er imidlertid enekompetent til at afgøre om Safe Harbor-beslutningen er ugyldig, og de nationale datatilsyns kompetence er derfor begrænset til at behandle sagen frem mod en national domstols præjudicielle forelæggelse for EU-domstolen.
• at Safe Harbor-beslutningen ikke giver en tilstrækkelig beskyttelse for behandling af personoplysninger i USA, og derfor er ugyldig.

I det følgende redegøres kort for dommens indhold samt Plesners anbefalinger til, hvordan man som dansk eksportør af persondata på grundlag af Safe Harbor-aftalen nu bør forholde sig.

Baggrund

Persondatadirektivets artikel 25 (persondatalovens § 27) fastsætter, at videregivelse (overførsel) af personoplysninger til et tredjeland som udgangspunkt kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau for personoplysningerne. Det følger også af direktivet artikel 25, stk. 6, at Kommissionen kan fastslå, at et tredjeland sikrer et "tilstrækkeligt beskyttelsesniveau" bl.a. på grundlag af dets nationale lovgivning eller dets internationale forpligtelser.

En sådan beslutning vedtog Kommissionen i juli 2000, hvor man ved beslutning 2000/520/EF fandt, at USA var et sikkert tredjeland i forhold til overførsel til amerikanske virksomheder, som var omfattet af Safe Harbor-ordningen. Ordningen oplister en række principper, som den amerikanske virksomhed skal erklære, at man vil efterleve ved sin behandling af personoplysninger. Det fremgår dog også af ordningen, at myndighederne på grundlag af kravene vedrørende statens sikkerhed og almenvellet samt på grundlag af den nationale amerikanske lovgivning, kan foretage indgreb i de grundlæggende rettigheder til beskyttelse af personoplysninger vedrørende den person, hvis personoplysninger bliver eller kan blive videregivet fra EU til USA.

Persondatadirektivets artikel 25 (persondatalovens § 27) fastsætter, at videregivelse (overførsel) af personoplysninger til et tredjeland som udgangspunkt kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau for personoplysningerne. Det følger også af direktivet artikel 25, stk. 6, at Kommissionen kan fastslå, at et tredjeland sikrer et "tilstrækkeligt beskyttelsesniveau" bl.a. på grundlag af dets nationale lovgivning eller dets internationale forpligtelser.

En sådan beslutning vedtog Kommissionen i juli 2000, hvor man ved beslutning 2000/520/EF fandt, at USA var et sikkert tredjeland i forhold til overførsel til amerikanske virksomheder, som var omfattet af Safe Harbor-ordningen. Ordningen oplister en række principper, som den amerikanske virksomhed skal erklære, at man vil efterleve ved sin behandling af personoplysninger. Det fremgår dog også af ordningen, at myndighederne på grundlag af kravene vedrørende statens sikkerhed og almenvellet samt på grundlag af den nationale amerikanske lovgivning, kan foretage indgreb i de grundlæggende rettigheder til beskyttelse af personoplysninger vedrørende den person, hvis personoplysninger bliver eller kan blive videregivet fra EU til USA.

Spørgsmålet om de nationale datatilsyns kompetence

Ved dommen fortolkede EU-domstolen ordlyden af direktivets artikel 25, sammenholdt med kravet i artikel 8, stk. 3, i Chartret om Grundlæggende Rettigheder (om at persondatabeskyttelsen skal undergives et uafhængigt tilsyn). På den baggrund kom EU-Domstolen frem til, at direktivets artikel 28 (som fastlægger kompetencerne for de nationale datatilsyn) giver de nationale datatilsyn kompetence til at behandle en persons anmodning om beskyttelse af vedkommendes rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger, der vedrører den pågældende, og som er blevet videregivet til et tredjeland (f.eks. USA).

Domstolen kom dog også frem til, at kompetencen for de nationale datatilsyn er begrænset til at behandle sagen frem mod en national domstols præjudicielle forelæggelse for EU-Domstolen, idet EU-Domstolen er enekompetent til at afgøre spørgsmålet om ugyldighed af eksempelvis Safe Harbor-beslutningen.

Gyldigheden af Safe Harbor-beslutningen

Uanset at den irske High Court ikke havde stillet dette spørgsmål, gik EU-Domstolen herefter videre til at vurdere, om Safe Harbour-beslutningen var i overensstemmelse med de krav, der følger af direktivet, sammenholdt med chartret. Konkret vurderede domstolen om den beskyttelse, som de berørte personer opnåede ved behandling af deres oplysninger i USA under Safe Harbor-ordningen, udgjorde et "tilstrækkeligt beskyttelsesniveau" sammenholdt med den beskyttelse, som ydes inden for EU i medfør af persondatadirektivet og chartret.

Domstolen fandt i den forbindelse bl.a., at formuleringen "et tilstrækkeligt beskyttelsesniveau" i direktivets artikel 25 medfører, at der skal tilvejebringes et beskyttelsesniveau, som "i det væsentlige svarer" til det niveau, der er sikret inden for Unionen.

Dette er det vigtigste principielle take-away fra dommen: Det benchmark, som skal bruges ved vurderingen af beskyttelsen i landet uden for EU, skal "i det væsentlige svare" til den beskyttelse, som er sikret inden for EU i medfør af persondatadirektivet og artikel 8, stk. 1, i chartret. Dette er et meget strengt benchmark, som på den ene side vil give en stærk beskyttelse, men som på den anden side vil stille store krav til forholdene i de lande, som Kommissionen foretager en vurdering af.

Domstolen konstaterede bl.a. også, at Kommissionen ikke havde foretaget en fyldestgørende vurdering af beskyttelsesniveauet i USA, men at den havde begrænset sig til at vurdere Safe Harbor-ordningen, der ikke indeholder regler om myndighedernes adgang til de overførte personoplysninger (og ikke forpligter myndighederne).

Samlet set fandt EU-domstolen herefter, at Safe Harbor-beslutningen er ugyldig.
  

Konsekvenser af dommen

Det er en direkte konsekvens af dommen, at Safe Harbor-ordningen ikke længere kan bruges som grundlag for overførsler af persondata til USA. Der verserer for tiden forhandlinger om en ny Safe Harbor-ordning, men det er meget usikkert, hvornår de vil blive afsluttet - omend Kommissionen har meddelt, at det vil ske i indeværende år. Usikkerheden hænger bl.a. sammen med, at dommen skærpede kravene til, hvornår et givent grundlag for overførsel giver et "tilstrækkeligt beskyttelsesniveau". Dette må forventes at få betydning for både en ny Safe Harbor-aftale, men også for hvordan EU-Domstolen fremover vil se på de andre overførselsgrundlag - eksempelvis de overordnede godkendelser af lande uden for EU, herunder Færøerne.
  
Det skal dog understreges, at dommen alene vedrører Safe Harbor-ordningen og at alle andre overførselsgrundlag - herunder anvendelse af de såkaldte standardaftaler omtalt nedenfor - fortsat er fuldt gyldige.

Plesners anbefalinger

Virksomheder og myndigheder skal sikre, at de har et overblik over, i hvilket omfang de eller deres underleverandører - f.eks. cloud leverandører - anvender Safe Harbor som overførselsgrundlag.
 
Det er allerede nu indikeret fra flere nationale datatilsyn, at man ikke forventer, at den dataansvarliges nye overførselsgrundlag er på plads her og nu. Det bedste råd er derfor at vente en uges tid, da de europæiske datatilsyn mødes med Kommissionen i Bruxelles torsdag den 8. oktober for at drøfte en koordineret anvendelse af dommen. Herefter forventes en udmelding en gang i uge 42.
  
De virksomheder og myndigheder, som i dag bruger Safe Harbor-ordningen, bør - alt efter hvad tilsynsmyndighederne melder ud - søge et andet grundlag for overførslen. Eller - hvor det er praktisk og kommercielt muligt - at ophøre med at overføre oplysninger til USA. Det kan i den forbindelse være relevant at forhøre sig hos de enkelte Safe Harbor-certificerede modtagere af oplysninger om, hvordan de forholder sig til dommen. Plesner er bekendt med, at visse større udbydere af cloud-tjenester allerede tilbyder alternative overførselsgrundlag i lyset af dommen.
  
Det oplagte valg til et alternativt overførselsgrundlag vil være EU-kommissionens standardaftaler, som der findes tre udgaver af. To udgaver vedrører overførsler fra dataansvarlig til dataansvarlig, mens den sidste udgave vedrører overførsler fra en dataansvarlig til en databehandler.
  
Aftalerne kan hentes på EU-kommissionens hjemmeside

Brugen af standardaftalerne skal ikke anmeldes til Datatilsynet - forudsat at der ikke er foretaget andre ændringer, end dem som er tilladt efter standardaftalernes eget indhold.

Husk at gennemlæse den valgte standardaftale. Den indeholder en række forpligtelser for såvel dataeksportøren som dataimportøren, der skal overholdes. Det er ikke nok at udfylde aftalen og underskrive den - aftalen skal også overholdes.