Femte juli

Nätet till folket!

EU-US Privacy Shield

Facebook och Instagram hotar stänga ner i EU

av

Åter stoppas överföring av persondata från EU till USA. Meta överväger därför om de alls kan driva verksamhet som Facebook och Instagram i Europa.

Frågan av överföring av persondata mellan EU och USA har varit problematisk i mer än 15 års tid.

Från början handlade det om överföring av data i bulk om europeiska banktransaktioner, men rör idag mer sociala media och allmän affärsverksamhet.

Frågan fick ny aktualitet sedan Edward Snowdens avslöjande om hur amerikanska NSA, Homeland Security med flera har ambitionen att samla in allt de kan komma över inom ramen för den globala massövervakningen.

Europaparlamentet, EU-domstolen, nationella dataskyddsmyndigheter och aktivister vill ha garantier för att europeisk persondata inte kommer att delas med ovan nämnda amerikanska myndigheter.

Tidigare avtal har upphävts, på grund av att sådana garantier inte kunnat lämnas.

Nya förhandlingar pågår mellan EU-kommissionen och den amerikanska administrationen. Men de går enligt uppgift trögt.

Idag har den irländska dataskyddsmyndigheten sagt stopp.

Politico rapporterar:

»The Irish Data Protection Commission on Thursday informed its counterparts in Europe that it will block Facebook-owner Meta from sending user data from Europe to the U.S. The Irish regulator’s draft decision cracks down on Meta’s last legal resort to transfer large chunks of data to the U.S., after years of fierce court battles between the U.S. tech giant and European privacy activists.

The European Court of Justice in 2020 annulled an EU-U.S. data flows pact called Privacy Shield because of fears over U.S. surveillance practices. In its ruling, it also made it harder to use another legal tool that Meta and many other U.S. firms use to transfer personal data to the U.S., called standard contractual clauses (SCCs). This week’s decision out of Ireland means Facebook is forced to stop relying on SCCs too.«

Den irländska dataskyddsmyndigheten skall nu samråda med sina motsvarigheter i övriga EU-stater.

Redan i mars månad uttalade sig Facebooks och Instagrams ägare, Meta, om saken för U.S. Securities and Exchange Commission:

»If a new transatlantic data transfer framework is not adopted and we are unable to continue to rely on SCCs or rely upon other alternative means of data transfers from Europe to the United States, we will likely be unable to offer a number of our most significant products and services, including Facebook and Instagram, in Europe.«

Meta hotar alltså att stänga ner Facebook och Instagram för användare i EU-länder.

Detta är en fråga med flera olika sidor. Som användare vill man naturligtvis inte att ens persondata och allt Meta samlar in om oss skall hamna i den amerikanska övervakningsbyråkratins händer.

Samtidigt är Facebook och Instagram värdefulla tjänster som låter oss hålla kontakt med släkt och vänner var de än befinner sig. Speciellt för mindre företag är de en ovärderlig kanal för att komma i kontakt med potentiella kunder.

Dessutom är överföring av persondata till USA en nödvändighet för en lång rad andra företag.

Nu ökar trycket på EU-kommissionen att komma framåt i förhandlingarna med USA. Samtidigt aktualiseras frågan om inte Meta skulle kunna hantera sina europeiska persondata inom EU, utan att sända över dem till USA.

Avslutningsvis känns det inte särskilt troligt att Meta skulle stänga ner en lönsam verksamhet i EU. Men man kan inte utesluta att de kommer att känna sig tvingade att göra det.

• Politico: Europe faces Facebook blackout »

Relaterat:
• Oklart om överföring av persondata från EU till USA, trots uppgifter om provisoriskt avtal »
• Bakgrund: Dragkampen om överföring av persondata mellan EU och USA »

Oklart om överföring av persondata från EU till USA, trots uppgifter om provisoriskt avtal

av

Ännu en gång annonseras ett avtal om överföring av persondata från EU till USA. Och ännu en gång tycks man ha missat kärnfrågan.

Det har meddelats att EU och USA har ingått ett nytt preliminärt avtal för att reglera överföring av europeisk persondata (från Facebook, Google och många andra) till USA.

Någon text att ta ställning till finns dock inte ännu. Och man har inte förklarat hur man tänkt komma runt de problem som fällde den senaste varianten av EU-US Privacy Shield.

Kärnfrågan gäller EU:s dataskyddsförordning (GDPR) och risken för att europeisk användardata kan komma att hamna i den amerikanska massövervakningens händer.

Enkelt uttryckt vill EU att samma skydd skall gälla för persondata som överförs till USA som för persondata som lagras i EU.

Kommer man inte runt detta, då är risken uppenbar att EU-domstolen kommer att ogiltigförklara avtalet, på samma grund som de tidigare varianterna.

Och än så länge finns inga tecken på att den underliggande principfrågan är löst.

Juristen Max Schrems driver motståndet mot överföring av persondata till USA som inte håller europeisk standard. Han säger:

»We already had a purely political deal in 2015 that had no legal basis. From what you hear we could play the same game a third time now. The deal was apparently a symbol that von der Leyen wanted, but does not have support among experts in Brussels, as the US did not move.«

Det ser med andra ord ut som om överföringen av persondata från EU till USA kommer att hänga i luften ett tag till. Tyvärr, då detta innebär stor osäkerhet för många företag.

Länkar:
• Början på slutet på molnkaoset? Nytt provisoriskt avtal mellan USA och EU »
• ”Privacy Shield 2.0”? – First Reaction by Max Schrems »
• EU, US strike preliminary deal to unlock transatlantic data flows »

Relaterat:
• Bakgrund: Dragkampen om överföring av persondata mellan EU och USA »

Bakgrund: Dragkampen om överföring av persondata mellan EU och USA

av

Facebooks hotar att lämna EU. Domstolar förklarar Google Analytics olagligt. Detta är konsekvensen av en dragkamp om överföring av persondata från EU till USA som pågått i årtionden.

EU-domstolen menar att sociala medias överföring av persondata från EU till USA strider mot dataskyddsförordningen (GDPR). Domstolar i Frankrike, Nederländerna och Österrike har förklarat Google Analytics olagligt. Och Meta / Facebook / Instagram har hotat att helt dra sig ur den europeiska marknaden om de inte får fortsätta överföra persondata till USA.

Även om dessa frågor är aktuella just nu är frågan långt ifrån ny. I EU har det pågått en dragkamp om dataöverföring till USA i årtionden.

Det började med det så kallade SWIFT-avtalet. Efter terrorangreppen 9-11 skärpte USA sin kamp mot terrorismen. Ett steg i detta var att analysera banktransaktioner i jakt på terror-finansiering. Detta gällde även europeiska banktransaktioner. Därför överfördes bankdata i bulk från EU till USA.

Formerna för detta var under all kritik. Dokumentationen var ibland så dålig att någon verklig granskning av metod och innehåll i princip blev omöjlig. Gång på gång krävde Europaparlamentet att detta skulle skärpas upp.

Den övergripande principfrågan var enkel: Europaparlamentet ville ha garantier för att europeisk persondata inte föll i händerna på den amerikanska säkerhetsbyråkratin.

Och gång på gång ingick EU-kommissionen avtal med USA som inte levde upp till denna princip. Av skäl man bara kan spekulera kring.

Sedan kom GDPR, som i princip kräver att data som överförs från EU till annat land skall åtnjuta samma persondataskydd som i EU. Vilket var början på senare års processer. Två gånger har EU-domstolen kommit fram till att den överföring som sker till USA (inom ramen för Safe Harbour respektive EU-US Privacy Shield) inte lever upp till dessa krav.

Ungefär samtidigt avslöjade NSA-wisselblåsaren Edward Snowden hur USA (och dess partners) dammsuger allt de kan snappa upp inom ramen för sin globala massövervakning. Vilket gjorde frågan än mer brännande.

Så vad kommer att ske nu?

En första möjlighet är att USA faktiskt ger med sig och lämnar garantier för att europeisk persondata som överförs inte sugs upp av NSA och Homeland Security. Detta vill USA inte göra.

Ett alternativ är att nätplattformarna sätter upp separat databehandling för EU, i EU. Vilket tydligen Google, TikTok och Microsoft överväger att göra. Bolagen är trots allt beroende av att analysera användardata för att kunna upprätthålla sin affärsmodell.

En tredje möjlighet är atombombs-alternativet, där de aktuella företagen stänger ner i EU. Vilket känns väldigt osannolikt.

Tills vidare hänger frågan i luften. Vilket inte är bra då det innebär stor osäkerhet för europeiska företag som är beroende av de olika plattformarna och deras analysverktyg.

Är Google Analytics olagligt i EU?

av

Användning av Google Analytics har bedömts stå i strid med EU:s dataskyddsförordning, GDPR. Så vad händer nu?

I Österrike har dataskyddsmyndigheten, Datenschutzbehörde (DSB), kommit fram till att användning av Google Analytics strider mot dataskyddsförordningen (GDPR).

Skälet är att persondata överförs till USA, vilket strider mot den så kallade Schrems II-domen i EU-domstolen.

Liknande klagomål har nu lämnats in i de flesta EU-länder.

Scherms II är ett steg i den decennielånga dragkampen om överföring av persondata till USA, där sådan information kan komma att hamna i händerna på NSA (”collect it all”) och andra underrättelseorgan. (FISA 702-reglerna.)

Hanteringen av sådan överföring har i stor delar varit under all kritik och bland annat kritiserats hårt av Europaparlamentet.

Striden har sitt ursprung redan i början av 2000-talet med överföringen av europeisk bankdata i bulk till amerikanska myndigheter, som en del i kriget mot terrorismen.

Scherms II-domen innebar att Privacy Shield-avtalet mellan EU och USA upphävdes, då det inte uppfyllde de krav som utlovats.

Ett sätt att lösa problemet skulle kunna vara att USA utfärdar vattentäta garantier för att europeisk persondata inte kommer att missbrukas där. Vilket inte tycks ske. Ett annat alternativ är att tjänster som Google Analytics delas upp, så att europeisk persondata stannar och analyseras inom EU:s gränser. Vilket inte heller tycks ske. Så läget förefaller rätt låst.

Google säger till The Register (i översättning av Computer Sweden):

»Människor vill att webbplatserna de besöker ska vara väldesignade, lätta att använda och respektera deras integritet. Google Analytics hjälper återförsäljare, regeringar, icke-statliga organisationer och många andra att förstå hur deras webbplatser och appar fungerar för användarna – men inte genom att identifiera individer eller spåra dem på webben. Dessa organisationer, inte Google, kontrollerar vilka data som samlas in med dessa verktyg och hur den används. Google hjälper till genom att tillhandahålla en rad skyddsåtgärder, kontroller och resurser för regelefterlevnad.«

Som vanligt står olika, var för sig relativt begripliga, intressen mot varandra.

• Computer Sweden: Österrikes dataskyddsmyndighet: Tyskt företag bröt mot GDPR när de använde Google Analytics »
• The Register: Austrian watchdog rules German company’s use of Google Analytics breached GDPR by sending data to US »

Kommer krav på skydd av persondata att leda till ett balkaniserat internet?

av

Som vi berättat i en tidigare bloggpost har EU-domstolen upphävt det så kallade EU-US Privacy Shield-avtalet, som reglerar överföring av persondata mellan EU och USA. Skälet är att domstolen anser att sådan data inte har tillräckligt starkt skydd mot amerikanska underrättlseorgan, som NSA.

Detta har utlöst en intensiv juridisk aktivitet hos många av de berörda företagen. Politico skriver:

»While it remains to be seen exactly how EU watchdogs will interpret the Privacy Shield ruling, a growing number of companies are not waiting to find out — and proactively taking the decision to keep their data in the bloc.« (…)

»A lawyer who represents large tech companies — and who asked to speak on condition of anonymity to discuss confidential matters — said they now advise some clients to consider compartmentalizing data in different regions.« (…)

»Calls for data localization — especially from privacy-conscious Germany — are not new, but this time could be different. Digital sovereignty has emerged as a top priority for Europe’s top policymakers, who have thrown their weight behind projects like Gaia-X, an initiative aimed at boosting the bloc’s ability to store data on the continent.«

Plötsligt tycks alla kort finnas på bordet. En möjlighet – som inte är speciellt trolig – är att USA ger utländska medborgare samma skydd mot massövervakning som amerikanska, eller ett USA inför en ny lagstiftning som ligger i linje med EU:s GDPR. En annan möjlighet är att dela upp data mellan EU och USA. Ett tredje alternativ är att endast överföra hårt krypterad persondata mellan EU och USA. Man skulle även teoretiskt kunna tänka sig att amerikanska nätjättar lagrar all sin information i Europa, även om inte heller det är troligt.

Oavsett vilket är risken att vi går mot en ökad balkanisering av internet – vilket i så fall strider mot hela principen om ett fritt, öppet och globalt nät. Det är också möjligt att vissa internationella företag och plattformar kan välja att sluta acceptera och serva kunder i EU. Vilket för övrigt är något Youtube redan överväger, efter att EU klubbat sitt nya upphovsrättsdirektiv.

Man kan även konstatera att företagsklimatet för nättjänster och -plattformar är sådant i EU att startups och riskkapital hellre söker sig till andra delar av världen. Vilket kommer att leda till att EU hamnar ännu mer på efterkälken. Trots de bästa intentioner håller vi på att reglera denna marknad till döds. Det är problematiskt, eftersom internet är ett centralt verktyg för mänsklighetens kollektiva utveckling.

Politico: The demise of Privacy Shield may be the end of US-Europe data transfers »

Överföring av persondata mellan EU och USA i limbo efter EU-dom

av

Överföring av persondata mellan EU och USA har länge varit en surdeg. Det gäller såväl överföring av bankdata i bulk som ren persondata (Safe Harbour, sedemera Privacy Shield). Såväl Europaparlamentet som EU-domstolen har satt sig på tvären när de avtal som tecknats inte levt upp till EU:s krav på på skydd för persondata.

Idag har EU-domstolen – för andra gången – upphävt det avtal som är grunden för Safe Harbour / Privacy Shield.

Grunden är det mål som drivits av den österrikiske juridikstudenten Max Schrems och som i sak rör dataöverföring från Facebook Ireland (där företaget har sitt europabolag) till USA. Frågan sattes i rörelse efter Edwards Snowdens avslöjanden om den amerikanska, globala massövervakningen – då det framkom att bland andra Facebook förser de amerikanska signalspaningsmyndigheterna med information. Och i USA gäller det begränsade persondataskydd som finns bara amerikanska medborgare.

Time har en tydlig sammanfattning:

»The European Union’s top court ruled Thursday that an agreement that allows big tech companies to transfer data to the United States is invalid, and that national regulators need to take tougher action to protect the privacy of users’ data.

The ruling does not mean an immediate halt to all data transfers outside the EU, as there is another legal mechanism that some companies can use. But it means that the scrutiny over data transfers will be ramped up and that the EU and U.S. may have to find a new system that guarantees that Europeans’ data is afforded the same privacy protection in the U.S. as it is in the EU.«

Max Schrems själv säger:

»I am very happy about the judgment. It seems the Court has followed us in all aspects. This is a total blow to the Irish DPC and Facebook. It is clear that the US will have to seriously change their surveillance laws, if US companies want to continue to play a major role on the EU market.«

»The Court clarified for a second time now that there is a clash of EU privacy law and US surveillance law. As the EU will not change its fundamental rights to please the NSA, the only way to overcome this clash is for the US to introduce solid privacy rights for all people – including foreigners. Surveillance reform thereby becomes crucial for the business interests of Silicon Valley.«

Även om det finns andra avtal om dataöverföring till utlandet att falla tillbaka på – så kommer dagens dom att skapa mycket oreda på båda sidor Atlanten. Att USA skulle ändra sin lagstiftning och massövervakning är knappast troligt. I värsta fall kan detta leda till ett digitalt handelskrig mellan EU och USA.

Precis som när det gäller EU:s dataskyddsförordning (GDPR) står här viktiga principer och praktisk verklighet mot varandra.

Ansvaret för den uppkomna situationen vilar hos EU-kommissionen – som konsekvent vägrat lyssna på Europaparlamentet och som istället för att rätta sig efter EU-domstolens första dom försökt kringgå den.

Nu är vi i princip åter på ruta ett.

Länkar:
• Time: E.U.’s Top Court Invalidates Data-Sharing Agreement With U.S. »
• EU-domstolens dom (PDF) »
• Max Schrems / noyb »
• Bakgrundsmaterial från Politico (publicerat innan domen) »

EU-domstolen granskar överföring av persondata från EU till USA

av

Under tisdagen (9 juli) kommer EU-domstolen att hålla en viktig utfrågning om överföring av persondata från EU till USA.

Bakgrunden är en anmälan från den österrikiske nätaktivisten Max Scherms. Han har redan en gång fått ett avtal om dataöverföring mellan EU och USA ogiltigförklarat. Och nu är det kanske dags igen.

Politico skriver:

On Tuesday, the European Court of Justice in Luxembourg will hear arguments in another case brought by Schrems over claims that the U.S. government does not sufficiently protect Europeans’ data when it is shipped across the Atlantic.

”There is fundamentally a clash between surveillance laws in the U.S. and privacy rules in Europe,” he said. ”We’re in a debate about who governs the internet. Europe governs privacy, but the U.S. governs surveillance.” (…)

Schrems and his lawyers are expected to argue this data-transfer mechanism runs against EU privacy rules because it allows U.S. national security agencies extensive access to Europeans’ digital information. Others, including the European Commission and industry groups, will says these agreements provide sufficient guarantees for EU citizens.

Problemet är att även de nya reglerna lämnar mycket att önska. Bland annat handlar det om den amerikanska säkerhetsbyråkratins tillgång till den data som överförs.

Om det existerande avtalet upphävs kan det få stora konsekvenser såväl för de amerikanska nätjättarna som för näringslivet i övrigt. Och det finns en oro för att detta även kan få negativa konsekvenser vad gäller dataskydd – då det nu gällande regelpaketet i vissa delar erbjuder ett rimligt skydd för europeisk persondata, men i andra delar inte.

Detta är komplex materia. Men i grunden handlar det om att gällande avtal mellan EU och USA är allt för vaga, vilket bland annat påpekats flera gånger av Europaparlamentet.

Politico: Top court hearing puts EU data transfers in jeopardy »

EU-US Privacy Shield till EU-domstolen. Igen.

av

EU-US Privacy Shield är en surdeg. Det började med Safe Harbor-reglerna som främst var avsedda för att reglera hur USA kan använda de data om europeiska privatpersoners, företags, organisationers och institutioners bankaffärer som – i namn av »kriget mot terrorismen« – överförs från EU till amerikanska myndigheter, i bulk.

Dokumentationen om hur reglerna efterlevs har varit så dålig att det ibland inte gått att utvärdera eller bedöma om USA levt upp till dem. Europaparlamentet har vid upprepade tillfällen kritiserat regelverket och krävt att det skall upphävas. Vilket är något som EU-kommissionen i stort sett ignorerat.

Däremot upphävde EU-domstolen regelverket 2013, i skuggan av whistleblowern Edward Snowdens avslöjanden om den amerikanska massövervakningen.

EU-US Privacy Shield är uppföljaren till Safe Harbor-reglerna, men lider i stort sett av samma brister. Regelverket har även utökats till att omfatta lagring av annan europeisk persondata i USA. Och Europaparlamentet har så sent som förra året krävt att avtalet suspenderas, i väntan på att USA skall börja leva upp till dess regler.

Och nu blir det alltså rättssak av det hela, igen. TechCrunch rapporterar…

»The General Court of the EU has set a date of July 1 and 2 to hear the complaint brought by French digital rights group, La Quadrature du Net, against the European Commission’s  renegotiated data transfer agreement which argues the arrangement is still incompatible with EU law on account of US government mass surveillance practices.«

Länk: EU-US Privacy Shield complaint to be heard by Europe’s top court in July »