Uttalande av Max Schrems ett år efter "Schrems II"-beslutet av Europeiska unionens domstol
För ett år sedan kallades det s.k. "Schrems II"-beslutet för banbrytande, trots att det var andra gången som EU-domstolen förklarade att dataöverföringar mellan EU och USA var olagliga - baserat på EU-lagstiftning som i praktiken har funnits sedan 1995. Under det senaste året verkar det som om de relevanta intressenterna främst har ägnat sig åt att avleda och peka finger, och att alla har lämnat över ansvaret till nästa.
Endast en bråkdel av de europeiska företagen har insett att den underliggande konflikten mellan EU:s dataskyddslagstiftning och USA:s survillancelagstiftning inte kommer att lösas på kort sikt och har övergått till att lagra personuppgifter i Europa eller andra säkra regioner i stället för att ägna sig åt en ändlös mardröm om efterlevnad av USA:s lagstiftning. Andra europeiska företag klagar regelbundet över bristen på "vägledning" trots två tydliga domar. När vägledning ges, t.ex. i EDPB:s nyligen publicerade riktlinjer, hävdar många att det är "orealistiskt" att följa lagens krav.
En mängd branschadvokater och amerikanska molnleverantörer försökte fylla detta tomrum med "keep calm and carry on"-vägledning och utvecklade under det senaste året allt grövre juridiska teorier. Dessa sträcker sig från förekomsten av ett "riskbaserat tillvägagångssätt" (som inte finns i den relevanta delen av GDPR) till förslaget om icke-funktionella "kompletterande åtgärder" (som att ha stängsel runt datacenter). I stället för att investera i säkra IT-system investerar dessa privata aktörer i PR-insatser som låtsas att de uppfyller kraven. Det ska bli intressant att se om företag och kunder i EU kommer att kräva kompensation om dessa löften visar sig vara tomma ord.
Dataskyddsmyndigheterna har i stor utsträckning intagit en avvaktande hållning. Med några få undantag har det hittills inte förekommit några utredningar eller beslut från dataskyddsmyndigheterna. Av de 101 modellklagomål som Noyb lämnade in efter domen har inget beslut fattats, trots att dataskyddsmyndigheterna har inrättat en arbetsgrupp. Det ursprungliga klagomålet på Facebook, som lämnades in 2013, försenades av en onödig andra utredning av den irländska dataskyddskommissionen, som krävde att noyb skulle utfärda en annan stämning mot DPC, som den förlikades i januari 2021. Vi förväntar oss just nu beslut snart.
EU-kommissionen grumlar vattnet genom att utfärda nya överföringsverktyg, som"standardavtalsklausuler", som noggrant kringgår ett tydligt ställningstagande om överföringar mellan EU och USA och gör det möjligt för branschjurister att fortsätta att spinna nya efterlevnadsteorier och undvika långsiktiga lösningar. Samtidigt verkar kommissionen inte tro på en snabb lösning med USA.
I motsats till sin europeiska motsvarighet meddelar den amerikanska regeringen gärna regelbundet påstådda "framsteg" i förhandlingarna om ett nytt avtal. Det verkar dock finnas liten eller ingen aptit på att förändra roten till problemet: USA:s långtgående övervakningslagar. Om inte den amerikanska industrin bedriver ett omfattande lobbyarbete i Washington för att förbättra skyddet för utländska kunder är det osannolikt att de amerikanska övervakningslagarna kommer att ändras. I de samtal jag hade var det amerikanska näringslivet ganska tydligt: utan hot om allvarlig tillämpning i EU eller en massflykt av EU-kunder kommer det amerikanska näringslivet inte att använda sitt politiska kapital i Washington för att kämpa för integritetsskydd för utlänningar.
Situationen är onekligen som en cirkel med aktörer som i stort sett står stilla. Det positiva är att om någon av dessa aktörer börjar röra på sig kan det snabbt leda till en dominoeffekt som leder till en långsiktig lösning.
Enligt min personliga uppfattning kan en långsiktig lösning bara vara någon form av "no spy"-avtal mellan demokratiska nationer som skyddar användarnas mänskliga rätt till integritet oberoende av plats och medborgarskap. Vi kanske inte når dit inom några månader, men potentiellt inom ett decennium, eftersom ett globalt internet behöver globala skydd för att fungera som användare och företag vill att det ska göra.
Noyb-teamet och många andra kommer att fortsätta att arbeta på en sådan långsiktig lösning.
Max Schrems
