De flesta dataöverföringar mellan EU och USA baseras på "Transatlantic Data Privacy Framework" (TAFPF) eller så kallade "Standard Contract Clauses" (SCC). Båda instrumenten bygger på bräckliga amerikanska lagar, icke-bindande förordningar och rättspraxis som är under attack - och som sannolikt kommer att sprängas i luften under de närmaste månaderna. I takt med att instabiliteten i USA:s rättssystem blir alltmer påtaglig och USA visar öppna tecken på fientlighet mot EU, är det dags att ompröva vart våra data flödar - och hur länge det juridiska "korthus" som EU har byggt upp håller.
Blogginlägg av Max Schrems
USA:s och EU:s lagstiftning i flera lager. Den "bro" som Europeiska kommissionen och tidigare demokratiska amerikanska regeringar byggde för att göra det möjligt att behandla personuppgifter från EU i USA bygger inte på en enkel, stabil amerikansk integritetslagstiftning. I stället förlitade sig EU och USA på ett vildvuxet lapptäcke av mängder av interna riktlinjer och bestämmelser, Högsta domstolens rättspraxis, amerikanska faktiska "praxis" eller exekutiva order.
I ett försök att få det hela att gå ihop stöder dessa lager inte varandra, utan är uppradade för att skapa en så tunn koppling som möjligt mellan EU:s och USA:s lagstiftning - vilket innebär att om bara ett av de många rättsliga elementen sannolikt skulle göra de flesta dataöverföringar mellan EU och USA omedelbart olagliga. Precis som i ett korthus kommer instabiliteten hos ett enskilt kort att få huset att kollapsa.
Med tanke på Trumpadministrationens enormt destruktiva inställning är många delar av dataöverföringarna mellan EU och USA under attack - ofta inte på grund av några direkta avsikter. Istället angriper den nuvarande amerikanska administrationen helt enkelt det amerikanska rättssystemet och den amerikanska konstitutionen (med hjälp av en mycket politiserad högsta domstol) - med många potentiella konsekvenser för dataflödena mellan EU och USA.
1:a sannolika punkten för misslyckande: FTC:s oberoende. I måndags prövade USA:s högsta domstol ett mål om den federala handelskommissionens (FTC) oberoende. Ända sedan ett fall 1935 (Humphrey's Executor) är det rättspraxis i USA:s högsta domstol att den amerikanska lagstiftaren kan skapa "oberoende" organ inom den verkställande makten, som är något isolerad från den amerikanska presidenten.
En tidigare marginell teori om att all verkställande makt enligt den amerikanska konstitutionen måste ligga hos en enda person (presidenten) har nu fått fäste bland konservativa jurister i USA. Denna så kallade "enhetliga verkställande teorin" skulle göra att alla oberoende myndigheter, som till exempel FTC, typiskt sett skulle strida mot konstitutionen. All makt skulle behöva koncentreras till presidenten.
I målet Trump mot Slaughterhar USA:s högsta domstol nu hört argumenten från en FTC-kommissionär som avsattes av Trump trots alla oberoendegarantier i 15 U.S.C. § 41. Baserat på domarnas kommentarer och frågor är det en utbredd uppfattning (se t.ex. The Guardian, CNN eller SCOTUS-bloggen) att den konservativa majoriteten i USA:s högsta domstol kommer att ställa sig på Trumps sida och (i en eller annan utsträckning) följa "unitary executive theory" och upphäva FTC:s oberoende.
I kombination med USA:s högsta domstols avgöranden om presidentens absoluta immunitetskulle USA därmed alltmer röra sig mot ett system där presidenten är en absolut "kung" - åtminstone under fyra år.
Ur ett europeiskt perspektiv är FTC:s oberoende en avgörande faktor, eftersom det i artikel 8.3 i EU:s stadga om de grundläggande rättigheterna (CFR) krävs att behandlingen av personuppgifter övervakas och verkställs av en "oberoende" organ. I TADPF (och tidigare i systemen "Safe Harbor" och "Privacy Shield") har EU och USA enats om att ge dessa befogenheter till FTC i USA - som är ett sådant "oberoende" organ. Avsnitt 2.3.4 i TADPF-beslutet från Europeiska kommissionen betonas FTC:s roll när det gäller verkställighet. Skäl 61 och fotnot 92 hänvisar uttryckligen till 15 U.S.C. § 41 som en grund för att få de nödvändiga garantierna för oberoende i USA.
Ingen annan del av TADPF har de nödvändiga utredningsbefogenheterna och det nödvändiga oberoendet. Det finns även privata skiljeförfaranden, men de saknar utredningsbefogenheter eller relevanta verkställighetsbefogenheter. Följaktligen måste alla TADPF-deltagare antingen styras av den oberoende FTC eller DoT (för transportorganisationer).
Trump mot Slaughter är planerat att avgöras senast i juni eller juli 2025, men kan komma att avgöras tidigare. Så det är dags att "spänna fast sig" och förbereda sig för detta.
En väg kan vara att byta till SCC eller BCR, eftersom de inte kräver ett oberoende amerikanskt organ för verkställighet, men också gör det möjligt att låta avtalet omfattas av en dataskyddsmyndighet i EU. Det finns emellertid också stora frågetecken kring hur redan överförda uppgifter kan "återföras" till ett EU-godkänt system eller ens "återföras" till EU i allmänhet. Dessutom kan SCC och BRC påverkas av stora förändringar i amerikansk lagstiftning (se nedan).
2. Sannolik punkt för misslyckande: Överprövningsdomstol för dataskydd. I direkt anslutning till Trump mot Slaughter, som handlar om tillsyn i den privata sektorn, uppstår den parallella frågan om hur den så kallade "Data Protection Review Court" (DPRC) fortfarande kan åberopas som någon form av realistisk prövning mot amerikanska myndigheters övervakning.
DPRC har många juridiska problem (man skulle lätt kunna fylla en doktorsavhandling med dessa problem), men avgörande är att DPRC inte en riktig amerikansk domstol - också för att den inte är etablerad enligt lag. Det är faktiskt en grupp människor inom den verkställande makten som enbart inrättats genom en exekutiv order från Biden (EO 14.086, se detaljer nedan). Denna grupp av personer kan i bästa fall kallas en "tribunal" utifrån artikel 6 i Europakonventionen, men även detta påstående är förmodligen en överdrift.
Den springande punkten är att i förhållande till Trump mot Slaughterär att denna så kallade "domstols" "oberoende" inte ens är fastställt i lag (som 15 USC § 41 för FTC), utan genom EO 14.086alltså en rent intern presidentorder som kan ändras när som helst.
Logiskt sett, om Högsta domstolen i Trump mot Slaughter anser att oberoende verkställande organ är författningsstridiga, kan det mycket väl vara så att eventuella krav på oberoende i EO 14.086 i sig (logiskt sett) också är författningsstridiga. Detta beror i hög grad på vilka argument som Högsta domstolen kommer att använda i målet Trump mot Slaughtermen det är mycket troligt att vi får se detta som en direkt konsekvens av ett bredare avgörande.
Detta problem skulle utvidgas långt bortom TADPF, eftersom andra överföringssystem (SCC eller BCR) förlitar sig på så kallade "Transfer Impact Assessments" (TIA) som i sin tur vanligtvis pekar på EO 14.086 och DPRC som grund för att någon personuppgiftsansvarig i EU kom till slutsatsen att amerikansk lag inte får åsidosätta SCC eller BCR utöver vad som är tillåtet enligt artiklarna 7, 8 och 47 i stadgan.
Om dessa delar försvinner har vi bara artikel 49 i GDPR kvar för "nödvändiga" överföringar (t.ex. att skicka ett e-postmeddelande till USA, göra en beställning eller boka ett hotell eller en flygresa), men all "outsourcing" till amerikanska molnleverantörer eller SaaS-leverantörer skulle normalt sett inte ha någon hållbar rättslig grund längre.
3:e sannolika punkten för misslyckande: EO 14.086. Utöver förändringar i USA:s konstitutionella lagstiftning finns också Trump själv som en stor riskfaktor. Som förklarats ovan är i princip alla former av dataöverföringar mellan EU och USA beroende av ett dekret från Biden (EO 14.086). Trump har vid upprepade tillfällen hotat att upphäva detta dekret. Redan samma dag som han installerades uppgav medierapporter att han blint skulle upphäva alla Bidens dekret. I slutändan undertecknade han EO 14.148som endast upphävde 68 Biden EO och 11 Biden Presidential Memoranda - men inte EO 14.086.
EO 14.148 kräver att alla presidentdekret som rör "nationell säkerhet" skulle ha granskats inom 45 dagar av den nationella säkerhetsrådgivaren - detta skulle ha skett senast den 06.03.2025. Det fanns inga rapporter om några följdändringar. Detta betyder inte att EO 14.086 inte (delvis) upphävdes under tiden, eftersom den USA:s president kan utfärda "hemliga" EO som ändrar det publicerade EO 14.086. Med tanke på Trumps oberäkneliga agerande är detta inte ett osannolikt scenario.
I ett nyligen utbrott om Bidens användning av den så kallade Autopen, har Trump förklarat alla Bidens EO som undertecknats med autopens ogiltiga via en Sanning Social inlägg. Det är helt oklart om EO 14.086 är ett sådant "autopen" EO och om Trumps inlägg på sociala medier innebär ett formellt upphävande av dessa EO. Samtidigt måste man undra om någon NSA-tjänsteman känner sig alltför bunden av dem längre. Det är inte heller osannolikt att Truth Social-inlägget kan följas upp med ett formellt EO som upphäver dessa Biden EO.
En annan indikation på att EO 14.086 kan vara på väg är "Project 2025"-agendan för det konservativa övertagandet av den amerikanska regeringen. På sidan 225går författaren till angrepp mot EO 14.086, EU och den påstått orättvisa behandlingen av USA - så EO 14.086 står helt klart på dagordningen. För att göra saker ännu mer absurda är författaren (Dustin Carmack) nu den nya "republikanska" lobbyisten för Meta - ett företag som förlitar sig på EO 14.086 för att motivera sina dataöverföringar mellan EU och USA som ifrågasattes i Schrems I och Schrems II.
Sammantaget kan EO 14.086 falla när som helst - och med det TADPF och med det nästan alla TIAS och de flesta SCC, BCR.
Många andra alternativ. Även om detta går utöver detta blogginlägg finns det många ytterligare frågor om de många andra element som används i TADPF.
Det finns uppenbarligen fortfarande de viktigaste frågorna om TADPF någonsin har uppnått "väsentlig ekvivalens". Till exempel:
- Skyddet i EO 14.086 var till stor del en 1:1-kopia av ett Obama EO kallat PPD-28, som avvisades av EU-domstolen i Schrems II.
- De extremt höga kostnaderna för att få rättelse eller avsaknaden av någon verklig rätt att bli hörd inför DPRC ligger miltals från artikel 47 i stadgan.
- De kommersiella dataskyddsprinciperna i TADPF kräver inte ens en rättslig grund (vilket krävs i artikel 8.2 i stadgan och artikel 6.1 i GDPR), utan endast att en opt-out-möjlighet ska finnas.
Dessutom fanns det frågor om PCLOB:s oberoende eller EU:s stora beroende av (oskrivna) "Amerikansk praxis" - när Trump har visat att han och hans administration inte ens respekterar lagar, för att inte tala om tidigare "praxis".
Vad kan vi göra? Jag anser att EU:s regeringar och personuppgiftsansvariga (mer än någonsin) måste förbereda sig på att dataöverföringar mellan EU och USA sannolikt kommer att drabbas hårt under de närmaste månaderna. Den USA:s nationella säkerhetsstrategi har gjort det klart att Trumpadministrationen ser Europa mer som en fiende än som en partner och att europeisk digital lagstiftning är en central fokuspunkt för USA:s troliga aggression.
Den enda långsiktiga lösningen är (tyvärr) att begränsa alla dataöverföringar till amerikanska leverantörer, i den mån de har "besittning, förvaring eller kontroll" av europeiska personuppgifter. Det kan finnas fler erbjudanden där all faktisk åtkomst från USA är tekniskt omöjlig - men hittills är det enda realistiska skyddet som finns tillgängligt på marknaden att byta till Europeiska leverantörer.
