Den 09.12.2020,¹ Senatets udvalg for handel, videnskab og transport afholdt en høring, hvor behovet for en omfattende føderal amerikansk lovgivning om beskyttelse af privatlivets fred samt fremtiden for transatlantiske datastrømme blev drøftet i lyset af EU's og USA's Privacy Shields ugyldiggørelse af EU-Domstolen den 16.07.2020 (sag C-311/18, Schrems II).² Drøftelserne drejede sig om de politiske overvejelser, der fik EU-Domstolen til at konkludere, at den daværende ramme ikke havde givet de samme beskyttelsesstandarder som krævet i EU-retten. Desuden blev der under høringen fremlagt ekspertudtalelser om de praktiske skridt, der skal tages med henblik på at etablere en efterfølger til en ramme for dataoverførsel.

På mødet blev det understreget, at det haster med en hurtig udskiftning af lovgivningen, så de transatlantiske operationer kan fortsætte. Der var enighed om, at en sådan udvikling ville være særlig vigtig for små virksomheder, som udgør over 70% af de Privacy Shield-certificerede virksomheder.³ Selv om det blev erkendt, at der er behov for international konsensus, deltog der ikke europæiske eksperter eller repræsentanter for civilsamfundet i høringen. Blandt talerne var der dog repræsentanter for den amerikanske Federal Trade Commission (FTC), det amerikanske handelsministerium, softwareindustrien (Victoria Espinel) samt Neil Richards, professor i jura ved Koch, og Peter Swire, professor i jura og etik ved Georgia Tech Scheller College of Business, og vicedirektør for politik ved Georgia Tech Institute for Information Security and Privacy.

I sin åbningserklæring gav udvalgsformand Roger Wicker udtryk for sin støtte til en "holdbar og varig" transatlantisk ramme for dataoverførsel og betegnede det som en "stor, men vigtig opgave". Med udgangspunkt i et skøn, ifølge hvilket "digitalt muliggjort handel udgjorde mellem $800 og $1 500 mia. på verdensplan i 2019 [og] forventes at øge det globale BNP med over $3 billioner" i 2020, henviste han til de betydelige økonomiske fordele, som international handel giver både indenlandske og internationale virksomheder. Wicker hævdede i sine bemærkninger, at det tidligere Privacy Shield etablerede en juridisk mekanisme, der "skulle sikre, at over 5 000 små/mellemstore virksomheder, der spænder over flere økonomiske sektorer i både USA og EU, fortsat kunne deltage i transatlantisk digital handel uden forstyrrelser". Ved at fremhæve nogle af de vigtigste krav, der er fastsat i Privacy Shield (f.eks. underretningsforpligtelser for deltagende organisationer, udnævnelse af ombudsmænd for at muliggøre en ordentlig undersøgelse af klager osv.), anså han USA's eksisterende klagerettigheder for tilstrækkelige og dets overvågningsordning for at være sammenlignelig med andre EU-medlemsstater. Ikke desto mindre styrkede Wicker, ved at anerkende de fælles demokratiske værdier, som kontinenterne har til fælles, sit engagement i udviklingen af meningsfulde standarder for beskyttelse af forbrugerdata, som ville "støtte den frie informationsstrøm på tværs af Atlanten og fremme et fortsat økonomisk og strategisk partnerskab" med Europa.

Det højtstående medlem, Maria Cantwell, understregede betydningen af større gennemsigtighed i de afgørelser, der træffes af Foreign Intelligence Surveillance Court (FISC). Med en digital handel mellem USA og Europa, der vurderes til mere end 300 mia. USD om året, gik hun ind for en resolution, der ikke blot ville fremme tilliden og genindføre et større overvågningssamarbejde mellem enhederne, men som også ville afholde sig fra at aflede mere af "national protektionisme".

I sine bemærkninger sagde Victoria Espinel,⁴ formand og administrerende direktør for softwareindustriens brancheorganisation BSA, understregede vigtigheden af at opretholde en både sikker og pålidelig dataoverførselsstruktur for at opretholde og sikre den fortsatte vækst i begge økonomier. Selv om det haster med at sikre forbrugerne en effektiv beskyttelse af privatlivets fred, opfordrede hun også "alle ligesindede demokratiske samfund, der er interesseret i både sikkerhed og borgerlige frihedsrettigheder, til at tænke dristigt over mere langsigtede strategier for sikkerhedsforanstaltninger" (s. 3), idet hun påpegede, at "en vis grad af signalinformation er nødvendig i et demokratisk samfund for at sikre sikkerhed og tryghed" (s. 10).

Viceassistent i handelsministeriet med ansvar for tjenesteydelser i den internationale handelsadministration, James Sullivan,⁵ forklarede, at han havde deltaget i en række multilaterale drøftelser med EU-tjenestemænd med fokus på en erstatning for Privacy Shield. Han mente, at CJEU's afgørelse havde skabt "enorm usikkerhed for amerikanske virksomheder og den transatlantiske økonomi" (s. 2), som havde tvunget virksomhederne til at stå over for tre forskellige valgmuligheder, nemlig: "(1) risikere at stå over for potentielt enorme bøder (på op til 4 procent af den samlede globale omsætning i det foregående år) for at overtræde GDPR, (2) trække sig tilbage fra det europæiske marked eller (3) skifte med det samme til en anden dyrere dataoverførselsmekanisme" (s. 6). Han fremhævede også spørgsmålet om regeringers adgang til data og argumenterede for "bredere drøftelser mellem ligesindede demokratier" for at "udvikle principper baseret på fælles praksis for, hvordan man bedst forener retshåndhævelse og nationale sikkerhedsbehov for data med beskyttelse af individets rettigheder" (s. 8). Han mente, at et sådant krav om adgang imidlertid kan adskilles fra det krav, som ikke-demokratiske samfund stiller, hvis engagement i indsamling af personoplysninger har til formål at "overvåge, manipulere og kontrollere [borgerne] uden hensyn til privatlivets fred og menneskerettigheder" (s. 8). Afslutningsvis understregede han vigtigheden af fælles principper som et væsentligt grundlag for at "bevare og fremme et frit og åbent internet, der er muliggjort af en problemfri datastrøm" (s. 8).

Kommissær Noah Joshua Phillips fra Federal Trade Commission (FTC) anser interoperabilitet for at være en prioritet for den kommende regering,⁶ opfordrede ligeledes de liberale demokratier til at forene sig og ikke splitte sig i deres søgen efter en vej fremad efter den Schrems II afgørelse. Han hævdede, at det er skadeligt for lande at 'at evaluere deres tilgang til digital forvaltning [,] at dele og fremme fordelene ved et frit og åbent internet" og at styrke forbindelserne med kompatible datastyringsordninger ved at trække linjer "mellem allierede med fælles værdier [og] dem, der har en helt anden vision" (s. 9).

De to sidste bidrag fra Swire⁷ og hr. Richards,⁸ gav en akademisk redegørelse for de beviser, der blev fremlagt under den Schrems II procedurer. Selv om han mener, at det beskyttelsesniveau, der tilbydes af Privacy Shield, i det væsentlige svarer til det niveau, der er garanteret i EU, fandt Swire en revision af den nuværende amerikanske overvågningspraksis nødvendig. Han foreslog en etårig aftale, der ville give den "nye administration mulighed for systematisk at engagere sig [i skabelsen af] varige tilgange til aftaler med EU om data" og samtidig give et "nyttigt incitament for alle berørte parter til fortsat at arbejde intensivt hen imod en mere langsigtet løsning" (s. 10).

Richards udtrykte derimod en følelse af, at det haster med at få USA til at engagere sig i en reform af lovgivningen om beskyttelse af privatlivets fred og overvågning, som ifølge ham var blevet et "væsen af mistillid" (s. 18), der havde rod i manglen på en omfattende føderal lovgivning om beskyttelse af privatlivets fred og Snowdens afsløringer, der havde afsløret NSA's overvågningsaktiviteter i juni 2013. Gennem en meningsfuld retslig prøvelse og ved at afhjælpe manglerne ved landets enorme systemer til indsamling af signaler og efterretninger argumenterede han for, at USA kunne opnå en tilstrækkelig beskyttelse af privatlivets fred og databeskyttelse. I den forbindelse foreslog han, at Schrems II afgørelsen viser en meningsfuld mulighed for at genvinde lederskabet inden for forbrugerbeskyttelse, men også for at gøre fremskridt i retning af større internationalt samarbejde og økonomisk velstand: 'der er en vej frem, men den kræver, at vi erkender, at stærke, klare, tillidsskabende regler ikke er fjendtlige over for erhvervslivets interesser, at vi må gå videre end det fejlslagne system med "varsel og valgfrihed", at vi må bevare effektive retsmidler for forbrugerne og lovgivningsmæssig innovation på statsniveau og alvorligt overveje en loyalitetspligt" (s. 19).

De centrale synspunkter, som vidnerne gav udtryk for under høringen i Senatsudvalget, afspejler mødets overordnede støtte til en omfattende lovgivning om forbrugerbeskyttelse af privatlivets fred, som vil pålægge virksomhederne en loyalitetspligt i forbindelse med deres behandling af personoplysninger og give enkeltpersoner en privat søgsmålsret. På trods af det betydelige antal forskellige forslag, der blev fremsat den dag, anerkendte alle talere generelt den alvorlige virkning, som ugyldiggørelsen af Privacy Shield havde medført, og nødvendigheden af at rette op på virkningerne heraf. En afgørelse om tilstrækkelighed kunne imidlertid kun gennemføres med succes, hvis metoderne til indsamling af efterretninger blev revideret, og hvis der virkelig blev lagt vægt på en reform af overvågningen. Det blev fremført, at disse bestræbelser kan kræve bred konsensus med andre demokratiske allierede med stærke ordninger for beskyttelse af privatlivets fred.

En global løsning på disse problemer er et afgørende udgangspunkt for at overvinde den usikkerhed, der truer med at forstyrre de transatlantiske datastrømme, som er afgørende for mange amerikanske teknologivirksomheders drift. Men det ser også ud til at blive særlig afgørende for at finde frem til meningsfulde muligheder for en reform af overvågningen, der kan fremme overholdelsen af Schrems II afgørelse og utilsigtet tilbyder at beskytte forbrugernes rettigheder uden for landets grænser.

Fodnoter

1 Webcast og skriftlige udskrifter er tilgængelige via: https://www.commerce.senate.gov/2020/12/the-invalidation-of-the-eu-us-privacy-shield-and-the-future-of-transatlantic-data-flows.

2 Tilgængelig via: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first∂=1&cid=5219638.

3 US Department of Commerce Department, Commerce Secretary Wilbur Ross Welcomes Privacy Shield Milestone-Privacy Shield Has Reached 5,000 Active Company Participants (11. september 2019), https://www.trade.gov/press-release/commerce-secretary-wilbur-ross-welcomes-privacyshield-milestone-privacy-shield-has ; Congressional Research Service, U.S.-EU Privacy Shield (6. august 2020), https://fas.org/sgp/crs/row/IF11613.pdf

4 Udskrift tilgængelig via: https://www.commerce.senate.gov/services/files/3B067E7A-26FA-497A-9AC3-4DB37F140C8F.

5 Udskrift tilgængelig via: https://www.commerce.senate.gov/services/files/8F72849E-3625-4687-B8F5-71AFF4640D1F.

6 Udskrift tilgængelig via: https://www.commerce.senate.gov/services/files/34555EB9-4074-4A11-A4E9-A85EA3CAED56.

7 Udskrift tilgængelig via: https://www.commerce.senate.gov/services/files/6E06A2A6-A9D9-4EFA-8390-0A288B7C1DCA.

8 Udskrift tilgængelig via: https://www.commerce.senate.gov/services/files/021C9A15-B562-4818-9BDE-F103512D6ED3.

Formålet med denne artikel er at give en generel vejledning i emnet. Der bør søges specialiseret rådgivning om dine specifikke omstændigheder.