Sedan Snowdens avslöjanden vet vi att USA ägnar sig åt massövervakning av EU-användare genom att samla in personuppgifter från amerikanska Big Tech. "Privacy and Civil Liberties Oversight Board" (PCLOB) är den viktigaste amerikanska tillsynsmyndigheten för dessa lagar. Amerikanska medier rapporterar nu, att demokratiska ledamöter i PCLOB har avlägsnats och att deras e-postkonton har stängts ned. Därmed är antalet utsedda ledamöter under den tröskel som krävs för att PCLOB ska kunna fungera. Det faktum att USA:s president helt enkelt avlägsnade personer från en (påstått) oberoende myndighet gör att oberoendet för alla andra verkställande prövningsorgan i USA kan ifrågasättas.
Europeiska unionen har förlitat sig på dessa amerikanska nämnder och domstolar för att fastställa att USA tillhandahåller ett "adekvat" skydd för personuppgifter. Genom att förlita sig på PCLOB och andra mekanismer tillåter EU-kommissionen att europeiska personuppgifter flödar fritt till USA i det så kallade "Transatlantic Data Privacy Framework" (TADPF). PCLOB är det enda relevanta "tillsyns"-elementet i avtalet. Andra delar fungerar bara som överklagandeorgan. Tusentals företag, myndigheter och skolor i EU förlitar sig på dessa bestämmelser. Utan TADPF skulle de omedelbart behöva sluta använda amerikanska molnleverantörer som Apple, Google, Microsoft eller Amazon.
- Bakgrund till sagan om dataöverföring mellan EU och USA
- PDF med information om TADPF från EU
- TADPF:s programsida från USA:s regering
- TADPF-beslut (EU) 2023/1795
- EU-DOMSTOLEN: Schrems I och Schrems II
- Rapport om avlägsnande av PCLOB-ledamöter
Systemet för överföring av uppgifter mellan EU och USA - en blandning av EU- och amerikansk lagstiftning. Enligt EU-lagstiftningen är det sedan 1995 förbjudet att exportera personuppgifter till länder utanför EU, såvida det inte finns ett absolut behov (t.ex. när man skickar ett e-postmeddelande till ett land utanför EU). Uppgifter får skickas utomlands om landet utanför EU ger ett "i allt väsentligt likvärdigt" skydd av européers personuppgifter. USA har å andra sidan mycket starka lagar om massövervakning (t.ex. FISA702 eller EO 12.333), som gör det möjligt för den amerikanska regeringen att få tillgång till alla uppgifter som lagras hos Amazon, Meta, Microsoft, Google och andra amerikanska Big Tech-företag utan sannolika skäl eller individuellt rättsligt godkännande. EU-domstolen har därför två gånger(Schrems I och Schrems II) slagit fast att amerikansk lag inte är "väsentligen likvärdig". Ursula von der Leyen har dock insisterat på att få igenom ett tredje avtal mellan EU och USA, kallat "Transatlantic Data Privacy Framework" (TADPF).
TADPF var byggt på sand. Den 10.7.2023 utfärdade Europeiska kommissionen genomförandebeslut (EU) 2023/1795, som formellt godkände TADPF. Detta innebar att alla företag i EU fritt kunde överföra uppgifter till leverantörer i USA, trots USA:s övervakningslagar. EU-kommissionen förlitade sig på (mycket tvivelaktiga) exekutiva order eller brev från den amerikanska regeringen, inklusive PCLOB, för att fastställa att USA är "i allt väsentligt likvärdigt". Dessa element återspeglas dock inte i amerikanska lagar och kodifierad lagstiftning, eftersom det inte fanns någon majoritet i den amerikanska kongressen för att anta sådana lagar. Det har länge framförts kritik mot att USA:s nästa president med ett pennstreck skulle kunna ta död på dessa skydd. Detta scenario är nu på horisonten. I sitt beslut nämnde EU-kommissionen PCLOB hela 31 gånger för att förklara varför USA har ett "i allt väsentligt likvärdigt" skydd. PCLOB är det enda allmänna "tillsynsorgan" som övervakar om de amerikanska tjänsterna verkligen följer lagar, order och andra löften. Andra delar av den amerikanska lagstiftningen, t.ex. olika mekanismer för gottgörelse, kräver att en kärande blir aktiv. USA har traditionellt blockerat tillgången till dessa organ genom olika "stående" regler, vilket har lett till att i princip inga stämningar någonsin har tagits upp. Detta innebär att PCLOB är den enda relevanta övervakningsmekanism som TADPF förlitade sig på.
Max Schrems:"Den här affären var alltid byggd på sand, men EU:s näringslivslobby och EU-kommissionen ville ha den ändå. I stället för stabila rättsliga begränsningar gick EU med på löften från den verkställande makten som kan upphävas på några sekunder. Nu när de första Trump-vågorna träffar detta avtal kastas många EU-företag snabbt in i ett juridiskt limbo. PCLOB i sig är bara en pusselbit, och så länge den bara tillfälligt inte fungerar finns det ett argument för att avtalet inte är värre än tidigare. Den riktning som detta tar under den första veckan av Trumps presidentskap ser dock inte bra ut. Vi håller noga koll på om detta är ett tillfälligt problem eller om PCLOB kommer att dödas för gott."
De verkställande organens oberoende ifrågasätts. Till skillnad från dataskyddsmyndigheterna i EU är de flesta tillsynsorgan i USA en del av den verkställande makten och därmed inte oberoende. Oberoendet beviljas ofta endast av presidenten, men kan när som helst återkallas eller åsidosättas. Många av dessa märkliga juridiska begrepp är ett resultat av den strukturella oförmågan att anta faktiska lagar i USA. Istället regleras hela rättsområden enbart genom presidentens order. Det faktum att USA:s president nu försöker att helt enkelt avsätta personer gör att man kan ifrågasätta om idén med (påstått) "oberoende" verkställande organ ens var sakligt försvarbar från början. Många andra delar av TADPF, t.ex. domstolen för överprövning av dataskydd, har ännu svagare rättsligt skydd än PCLOB.
Max Schrems:"Det fanns många frågor om oberoendet för dessa tillsynsmekanismer. Tyvärr verkar det som om de inte ens kommer att klara av de första dagarna av Trumps presidentskap. Det här är skillnaden mellan ett solitt rättsligt skydd och önsketänkande. Europeiska kommissionen har enbart förlitat sig på det senare."
45 dagar till nästa knäckpunkt. I en av de första exekutiva order som Trump undertecknade på måndagen fastställde han att alla Biden-beslut om nationell säkerhet (inklusive de relevanta beslut som överföringarna mellan EU och USA bygger på) ska granskas och eventuellt skrotas inom 45 dagar. Detta innebär att ytterligare element som TADPF förlitade sig på kan kollapsa inom några dagar. Eftersom hela avtalet är baserat på Biden-beslut kan Trump skrota alla viktiga delar av avtalet med en enda signatur - vilket skulle leda till omedelbara olagliga dataöverföringar mellan EU och USA.
Max Schrems:"Jag kan knappast föreställa mig att ett Biden-beslut som tvingades på USA av EU och som reglerar USA:s spionage utomlands skulle kunna överleva Trumps "Amerika först"-logik. Problemet är att inte bara amerikanska Big Tech, utan framför allt vanliga EU-företag, alla förlitar sig på detta system av instabila exekutiva order för att hävda att det är lagligt att använda amerikanska molnsystem i EU."
Kommissionen manövrerade EU-företag mot ett stup. Trots alla fakta och all kritik från Europaparlamentet och EU:s dataskyddsmyndigheter har EU-kommissionen konsekvent hävdat att TADPF är solid och sund. EU:s företagslobby tryckte på för att få till stånd en (ny) överenskommelse - oavsett hur instabil eller knasig den var. På samma sätt ville amerikanska Big Tech stanna kvar på EU-marknaden utan några tekniska begränsningar i förhållande till amerikanska myndigheters åtkomst. Nu kan alla, från storbanker och hela nationella skolsystem till många småföretag, vakna upp till en rättslig situation där det snart är olagligt att använda amerikanska molnprodukter.
Dataöverföringar mellan EU och USA lagliga fram till nu - men var beredd. Ett beslut av den amerikanska administrationen kommer inte omedelbart att göra överföringar till USA olagliga. EU-kommissionens beslut är i allmänhet lagligt så länge som det gäller och inte upphävs av kommissionen själv eller av EU-domstolen. Så även om den materiella slutsatsen blir felaktig finns beslutet fortfarande formellt kvar tills det upphävs. Men om viktiga delar som EU har förlitat sig på inte fungerar måste EU ogiltigförklara avtalet.
Max Schrems: "Även om argumenten för avtalet mellan EU och USA verkar falla samman kan företagen förlita sig på avtalet så länge det inte formellt ogiltigförklaras. Med tanke på utvecklingen i USA är det dock viktigare än någonsin för företag och andra organisationer att ha en beredskapsplan för 'host in Europe'."
EU-kommissionen i en svår sits. EU-kommissionen har manövrerat sig in i en svår sits, inte bara ur ett trovärdighetsperspektiv utan också ur ett diplomatiskt perspektiv. Om kommissionen nu reagerar snabbt och upphäver TADPF kommer den amerikanska teknikoligarkin att skrika att EU "jävlas" med amerikanska Big Tech. Trumpadministrationen kan ta detta som en anledning att starta en första större strid med EU. Men att inte vidta åtgärder och underlåta att officiellt varna EU-företag, offentliga organ och andra organisationer som skickar data till USA verkar också problematiskt. TADPF:s framtid kan bli mycket kortlivad.
EU-version av den amerikanska TikTok-debatten? Medan USA länge har förringat europeiska farhågor om att personuppgifter ska flöda till USA och användas i massövervakning, har USA plötsligt vänt när deras egna uppgifter samlades in av TikTok. Å ena sidan skulle ett förbud mot eller ett tvångsförvärv av amerikansk Big Tech i Europa vara juridiskt omöjligt. Amerikanska företag skulle skyddas från att EU antar en motsvarighet till ett "TikTok-förbud". Samtidigt är skyldigheten att hålla EU-data utanför händerna på den amerikanska regeringen standard enligt EU-lagstiftningen sedan 1995. Det skulle också bli gällande lag när EU-kommissionen ogiltigförklarar avtalet mellan EU och USA. Amerikanska Big Tech skulle då behöva skydda sina datacenter i EU från åtkomst av sina amerikanska moderbolag...
