EU-domstolsløft for aktivist i kampen om Facebook-dataoverførsel

EU-regulatorer skal gøre en større indsats for at forhindre teknologivirksomheder i at overføre data til lande med svagere databeskyttelsesstandarder, Det sagde en rådgiver for EU's højesteret torsdag. Det er det seneste i en langvarig og kompleks retssag, der involverer en østrigsk privatlivsforkæmper og Facebook.

En foreløbig udtalelse fra EU-Domstolens generaladvokat sagde, at eksisterende EU-retlige regler for dataoverførsel bør forblive på plads, men der bør være strengere håndhævelse af myndighederne. Det giver et boost til privatlivsaktivisten Max Schrems, som indledte sagen for syv år siden på grund af bekymringer, at europæere var underlagt masseovervågning af den amerikanske regering.

"Virksomheder vil et øjeblik ånde lettet op", at EU sandsynligvis vil opretholde den juridiske mekanisme, som mange virksomheder nu bruger til at flytte data rundt i verden, sagde Caitlin Fennessy, forskningsdirektør i International Association of Privacy Professionals. Men hun sagde, at udtalelsen også giver plads til udfordringer med at overføre data fra sag til sag, hvis et land anses for ikke at have tilstrækkelig beskyttelse.

Selvom sagen involverer Facebook, det kan have vidtrækkende konsekvenser for sociale medier og andre teknologivirksomheder, der flytter store mængder data over internettet. Schrems sagde, at sagen potentielt påvirker Google, Microsoft og enhver anden amerikansk virksomhed, der leverer elektroniske kommunikationstjenester, men ikke dataoverførsler mellem traditionelle virksomheder som flyselskaber, hoteller og banker.

Generaladvokatens udtalelse er ikke bindende, men kan påvirke domstolens dommere, når de afsiger deres endelige afgørelse næste år. sandsynligvis i marts.

Det drejer sig om såkaldte "standardkontraktbestemmelser, "som tvinger virksomheder til at overholde strenge EU's privatlivsstandarder, når de overfører meddelelser, fotos og anden information. Virksomheder som Facebook flytter rutinemæssigt sådanne data mellem sine servere rundt om i verden, og klausulerne - lagervilkår og -betingelser - bruges til at sikre, at EU-reglerne opretholdes, når data forlader blokken.

Schrems havde argumenteret for, at klausulerne betød, at myndigheder i individuelle EU-lande kan, ved lov, standse overførsler, hvis dataene sendes et sted med svagere privatlivsregler.

Generaladvokat Henrik Saugmandsgaard Oe sagde i en foreløbig udtalelse, at standardkontraktklausulerne er gyldige. men tilføjede, at en bestemmelse i klausulerne betyder, at virksomheder og regulatorer har en forpligtelse til at suspendere eller forbyde overførsler, hvis der er en konflikt med loven i et ikke-EU-land som f.eks. USA.

"Hvis Silicon Valley ønsker at have data fra hele verden, hvilket den gør, så kan det ikke samtidig være underlagt overvågningslove, der dybest set ikke har nogen rettigheder for udlændinge, " sagde Schrems.

Han sagde, at udtalelsen bekræfter, at "generelt er dataoverførsler i orden, medmindre der er en specifik overvågningslov i et andet land, der underminerer europæisk privatlivsbeskyttelse."

Schrems indgav sin første klage i 2013 med den begrundelse, at dataene ikke havde tilstrækkelig beskyttelse mod hemmelig overvågning fra amerikanske regeringsmyndigheder. Hans klage fulgte efter afsløringer fra den tidligere NSA-entreprenør Edward Snowden om elektronisk overvågning fra amerikanske sikkerhedsagenturer. herunder offentliggørelsen af, at Facebook gav bureauerne adgang til europæeres personlige data.

Schrems, bekymret for, at hans personlige oplysninger var i fare, havde anfægtet dataoverførslerne gennem domstolene i Irland, hjemsted for Facebooks europæiske hovedkvarter.

Den irske databeskyttelseskommission forsøgte at omgå problemet ved at hævde, at klausulerne var juridisk ugyldige. Kommissionen sendte til sidst sagen til den luxembourgske EU-Domstol, EU's højeste domstol.

Facebook, som havde hævdet, at amerikansk overvågning ikke overtræder EU's privatlivslovgivning, sagde, at det var taknemmeligt for udtalelsen.

"Standard kontraktklausuler giver vigtige garantier for at sikre, at europæernes data er beskyttet, når de først er overført til udlandet, "Menlo Park, Californien, sagde selskabet i en erklæring.

Google, Apple og Microsoft returnerede ikke straks anmodninger om kommentarer.

Den irske databeskyttelseskommission sagde, at udtalelsen gav "analyseklarhed." Talsmand Graham Doyle sagde, at det viser den kompleksitet, der opstår, når EU's databeskyttelseslove interagerer med lovene i andre lande.

Juridiske eksperter sagde, at virksomhederne vil blive lettet, da udtalelsen validerer den nuværende juridiske praksis for dataoverførsler.

"Alternativet ville være noget af en vending, " sagde Elliot Fry, en senior associate hos det britiske advokatfirma Cripps Pemberton Greenish. "Det ville have krævet mange omvæltninger i forhold til internationale overførsler. Så det er langt hen ad vejen det vigtigste aspekt af det her."

© 2019 The Associated Press. Alle rettigheder forbeholdes.