Kommer krav på skydd av persondata att leda till ett balkaniserat internet?

Som vi berättat i en tidigare bloggpost har EU-domstolen upphävt det så kallade EU-US Privacy Shield-avtalet, som reglerar överföring av persondata mellan EU och USA. Skälet är att domstolen anser att sådan data inte har tillräckligt starkt skydd mot amerikanska underrättlseorgan, som NSA.

Detta har utlöst en intensiv juridisk aktivitet hos många av de berörda företagen. Politico skriver:

»While it remains to be seen exactly how EU watchdogs will interpret the Privacy Shield ruling, a growing number of companies are not waiting to find out — and proactively taking the decision to keep their data in the bloc.« (…)

»A lawyer who represents large tech companies — and who asked to speak on condition of anonymity to discuss confidential matters — said they now advise some clients to consider compartmentalizing data in different regions.« (…)

»Calls for data localization — especially from privacy-conscious Germany — are not new, but this time could be different. Digital sovereignty has emerged as a top priority for Europe’s top policymakers, who have thrown their weight behind projects like Gaia-X, an initiative aimed at boosting the bloc’s ability to store data on the continent.«

Plötsligt tycks alla kort finnas på bordet. En möjlighet – som inte är speciellt trolig – är att USA ger utländska medborgare samma skydd mot massövervakning som amerikanska, eller ett USA inför en ny lagstiftning som ligger i linje med EU:s GDPR. En annan möjlighet är att dela upp data mellan EU och USA. Ett tredje alternativ är att endast överföra hårt krypterad persondata mellan EU och USA. Man skulle även teoretiskt kunna tänka sig att amerikanska nätjättar lagrar all sin information i Europa, även om inte heller det är troligt.

Oavsett vilket är risken att vi går mot en ökad balkanisering av internet – vilket i så fall strider mot hela principen om ett fritt, öppet och globalt nät. Det är också möjligt att vissa internationella företag och plattformar kan välja att sluta acceptera och serva kunder i EU. Vilket för övrigt är något Youtube redan överväger, efter att EU klubbat sitt nya upphovsrättsdirektiv.

Man kan även konstatera att företagsklimatet för nättjänster och -plattformar är sådant i EU att startups och riskkapital hellre söker sig till andra delar av världen. Vilket kommer att leda till att EU hamnar ännu mer på efterkälken. Trots de bästa intentioner håller vi på att reglera denna marknad till döds. Det är problematiskt, eftersom internet är ett centralt verktyg för mänsklighetens kollektiva utveckling.

Politico: The demise of Privacy Shield may be the end of US-Europe data transfers »

Överföring av persondata mellan EU och USA i limbo efter EU-dom

Överföring av persondata mellan EU och USA har länge varit en surdeg. Det gäller såväl överföring av bankdata i bulk som ren persondata (Safe Harbour, sedemera Privacy Shield). Såväl Europaparlamentet som EU-domstolen har satt sig på tvären när de avtal som tecknats inte levt upp till EU:s krav på på skydd för persondata.

Idag har EU-domstolen – för andra gången – upphävt det avtal som är grunden för Safe Harbour / Privacy Shield.

Grunden är det mål som drivits av den österrikiske juridikstudenten Max Schrems och som i sak rör dataöverföring från Facebook Ireland (där företaget har sitt europabolag) till USA. Frågan sattes i rörelse efter Edwards Snowdens avslöjanden om den amerikanska, globala massövervakningen – då det framkom att bland andra Facebook förser de amerikanska signalspaningsmyndigheterna med information. Och i USA gäller det begränsade persondataskydd som finns bara amerikanska medborgare.

Time har en tydlig sammanfattning:

»The European Union’s top court ruled Thursday that an agreement that allows big tech companies to transfer data to the United States is invalid, and that national regulators need to take tougher action to protect the privacy of users’ data.

The ruling does not mean an immediate halt to all data transfers outside the EU, as there is another legal mechanism that some companies can use. But it means that the scrutiny over data transfers will be ramped up and that the EU and U.S. may have to find a new system that guarantees that Europeans’ data is afforded the same privacy protection in the U.S. as it is in the EU.«

Max Schrems själv säger:

»I am very happy about the judgment. It seems the Court has followed us in all aspects. This is a total blow to the Irish DPC and Facebook. It is clear that the US will have to seriously change their surveillance laws, if US companies want to continue to play a major role on the EU market.«

»The Court clarified for a second time now that there is a clash of EU privacy law and US surveillance law. As the EU will not change its fundamental rights to please the NSA, the only way to overcome this clash is for the US to introduce solid privacy rights for all people – including foreigners. Surveillance reform thereby becomes crucial for the business interests of Silicon Valley.«

Även om det finns andra avtal om dataöverföring till utlandet att falla tillbaka på – så kommer dagens dom att skapa mycket oreda på båda sidor Atlanten. Att USA skulle ändra sin lagstiftning och massövervakning är knappast troligt. I värsta fall kan detta leda till ett digitalt handelskrig mellan EU och USA.

Precis som när det gäller EU:s dataskyddsförordning (GDPR) står här viktiga principer och praktisk verklighet mot varandra.

Ansvaret för den uppkomna situationen vilar hos EU-kommissionen – som konsekvent vägrat lyssna på Europaparlamentet och som istället för att rätta sig efter EU-domstolens första dom försökt kringgå den.

Nu är vi i princip åter på ruta ett.

Länkar:
• Time: E.U.’s Top Court Invalidates Data-Sharing Agreement With U.S. »
• EU-domstolens dom (PDF) »
• Max Schrems / noyb »
• Bakgrundsmaterial från Politico (publicerat innan domen) »

EU-domstolen granskar överföring av persondata från EU till USA

Under tisdagen (9 juli) kommer EU-domstolen att hålla en viktig utfrågning om överföring av persondata från EU till USA.

Bakgrunden är en anmälan från den österrikiske nätaktivisten Max Scherms. Han har redan en gång fått ett avtal om dataöverföring mellan EU och USA ogiltigförklarat. Och nu är det kanske dags igen.

Politico skriver:

On Tuesday, the European Court of Justice in Luxembourg will hear arguments in another case brought by Schrems over claims that the U.S. government does not sufficiently protect Europeans’ data when it is shipped across the Atlantic.

”There is fundamentally a clash between surveillance laws in the U.S. and privacy rules in Europe,” he said. ”We’re in a debate about who governs the internet. Europe governs privacy, but the U.S. governs surveillance.” (…)

Schrems and his lawyers are expected to argue this data-transfer mechanism runs against EU privacy rules because it allows U.S. national security agencies extensive access to Europeans’ digital information. Others, including the European Commission and industry groups, will says these agreements provide sufficient guarantees for EU citizens.

Problemet är att även de nya reglerna lämnar mycket att önska. Bland annat handlar det om den amerikanska säkerhetsbyråkratins tillgång till den data som överförs.

Om det existerande avtalet upphävs kan det få stora konsekvenser såväl för de amerikanska nätjättarna som för näringslivet i övrigt. Och det finns en oro för att detta även kan få negativa konsekvenser vad gäller dataskydd – då det nu gällande regelpaketet i vissa delar erbjuder ett rimligt skydd för europeisk persondata, men i andra delar inte.

Detta är komplex materia. Men i grunden handlar det om att gällande avtal mellan EU och USA är allt för vaga, vilket bland annat påpekats flera gånger av Europaparlamentet.

Politico: Top court hearing puts EU data transfers in jeopardy »

EU-US Privacy Shield till EU-domstolen. Igen.

EU-US Privacy Shield är en surdeg. Det började med Safe Harbor-reglerna som främst var avsedda för att reglera hur USA kan använda de data om europeiska privatpersoners, företags, organisationers och institutioners bankaffärer som – i namn av »kriget mot terrorismen« – överförs från EU till amerikanska myndigheter, i bulk.

Dokumentationen om hur reglerna efterlevs har varit så dålig att det ibland inte gått att utvärdera eller bedöma om USA levt upp till dem. Europaparlamentet har vid upprepade tillfällen kritiserat regelverket och krävt att det skall upphävas. Vilket är något som EU-kommissionen i stort sett ignorerat.

Däremot upphävde EU-domstolen regelverket 2013, i skuggan av whistleblowern Edward Snowdens avslöjanden om den amerikanska massövervakningen.

EU-US Privacy Shield är uppföljaren till Safe Harbor-reglerna, men lider i stort sett av samma brister. Regelverket har även utökats till att omfatta lagring av annan europeisk persondata i USA. Och Europaparlamentet har så sent som förra året krävt att avtalet suspenderas, i väntan på att USA skall börja leva upp till dess regler.

Och nu blir det alltså rättssak av det hela, igen. TechCrunch rapporterar…

»The General Court of the EU has set a date of July 1 and 2 to hear the complaint brought by French digital rights group, La Quadrature du Net, against the European Commission’s  renegotiated data transfer agreement which argues the arrangement is still incompatible with EU law on account of US government mass surveillance practices.«

Länk: EU-US Privacy Shield complaint to be heard by Europe’s top court in July »