På verdensplan: Amerikanske senatorer reagerer på EU-Domstolens Schrems II - Revurdering af behovet for en reform af privatlivets fred

Den 09.12.2020^[1] afholdt Senatets udvalg for handel, videnskab og transport en høring, hvor man diskuterede behovet for en omfattende føderal amerikansk lovgivning om privatlivets fred samt fremtiden for transatlantiske datastrømme i lyset af EU/US Privacy Shields ugyldiggørelse af Den Europæiske Unions Domstol (EU-Domstolen) den 16. juli 2020 (sag C-311/18, Schrems II)[2].07.2020 (sag C-311/18, Schrems II)^[2] Diskussionerne var centreret om de politiske overvejelser, der fik EU-Domstolen til at konkludere, at den daværende ramme ikke havde givet tilsvarende beskyttelsesstandarder som krævet i henhold til EU-lovgivningen. Derudover indeholdt høringen ekspertindlæg om de praktiske skridt, der skal tages med henblik på at etablere en efterfølgende ramme for dataoverførsel.

Mødet understregede, at det haster med en hurtig udskiftning af lovgivningen, så de transatlantiske operationer kan fortsætte. Der var almindelig enighed om, at en sådan udvikling ville være særlig vigtig for små virksomheder, som udgør over 70 % af de Privacy Shield-certificerede virksomheder^[3]. Selv om man anerkendte behovet for international konsensus, omfattede høringen ikke europæiske eksperter eller repræsentanter for civilsamfundet. Blandt talerne var dog repræsentanter for U.S. Federal Trade Commission (FTC), U.S. Department of Commerce (DoC), Software Industry (Victoria Espinel) samt Koch Distinguished Professor in Law, Neil Richards og Peter Swire, professor i jura og etik ved Georgia Tech Scheller College of Business og Associate Director for Policy of the Georgia Tech Institute for Information Security and Privacy.

I sin åbningstale udtrykte udvalgets formand, Roger Wicker, sin støtte til en "holdbar og varig" transatlantisk ramme for dataoverførsel og betegnede det som en "høj, men vigtig ordre". Med udgangspunkt i et skøn, ifølge hvilket "digitalt muliggjort handel beløb sig til mellem 800 og 1.500 milliarder dollars globalt i 2019 [og] forventes at øge det globale BNP med over 3 billioner dollars" i 2020, henviste han til den betydelige økonomiske fordel, som international handel giver både indenlandske og internationale virksomheder. I sine bemærkninger argumenterede Wicker for, at det tidligere Privacy Shield etablerede en juridisk mekanisme, der havde til formål at sikre, at over 5.000 små/mellemstore virksomheder, der spænder over flere økonomiske sektorer i både USA og EU, kunne fortsætte med at engagere sig i transatlantisk digital handel uden forstyrrelser. Ved at fremhæve nogle af de vigtigste krav under Privacy Shield (f.eks. underretningsforpligtelser for deltagende organisationer, udnævnelse af ombudsmænd for at muliggøre en ordentlig undersøgelse af klager osv.) anså han USA's eksisterende klagemuligheder for at være tilstrækkelige og dets overvågningsordning for at være sammenlignelig med andre EU-medlemslandes. Ved at anerkende de fælles demokratiske værdier mellem kontinenterne forstærkede Wicker ikke desto mindre sit engagement i udviklingen af meningsfulde standarder for forbrugerdatabeskyttelse, der ville "opretholde den frie informationsstrøm på tværs af Atlanten og tilskynde til fortsat økonomisk og strategisk partnerskab" med Europa.

Det ledende medlem, Maria Cantwell, understregede betydningen af større gennemsigtighed i beslutninger truffet af Foreign Intelligence Surveillance Court (FISC). Da den digitale handel mellem USA og Europa vurderes til mere end 300 milliarder dollars om året, talte hun for en resolution, der ikke kun ville fremme tilliden og genskabe et større overvågningssamarbejde mellem enhederne, men som også ville afholde sig fra mere afledning "mod national protektionisme".

I sine bemærkninger understregede Victoria Espinel,^[4] præsident og administrerende direktør for softwareindustriens handelsgruppe BSA, vigtigheden af at opretholde en både sikker og pålidelig dataoverførselsstruktur for at opretholde og sikre den fortsatte vækst i begge økonomier. Uanset at det haster med at give forbrugerne en effektiv beskyttelse af deres privatliv, opfordrede hun også "alle ligesindede demokratiske samfund, der er interesserede i både sikkerhed og borgerlige frihedsrettigheder, til at tænke dristigt over langsigtede tilgange til sikkerhedsforanstaltninger" (s. 3) og sagde, at "en vis mængde signaloplysning er nødvendig i et demokratisk samfund for at sikre tryghed og sikkerhed" (s. 10).

James Sullivan, viceminister for International Trade Administration,^[5] forklarede, at han havde deltaget i en række multilaterale diskussioner med EU-embedsmænd med fokus på en erstatning for Privacy Shield. Han mente, at EU-Domstolens afgørelse havde skabt "enorm usikkerhed for amerikanske virksomheder og den transatlantiske økonomi" (s. 2), hvilket havde tvunget virksomhederne til at stå over for tre forskellige valg, nemlig: "(1) risikere at få potentielt enorme bøder (på op til 4 procent af den samlede globale omsætning i det foregående år) for at overtræde GDPR, (2) trække sig ud af det europæiske marked eller (3) med det samme skifte til en anden dyrere dataoverførselsmekanisme" (s. 6). Han fremhævede også spørgsmålet om myndighedernes adgang til data og argumenterede for "bredere diskussioner blandt ligesindede demokratier" for at "udvikle principper baseret på fælles praksis for, hvordan man bedst kan forene retshåndhævelse og nationale sikkerhedsbehov for data med beskyttelse af individuelle rettigheder" (s. 8). Han mente, at et sådant krav om adgang dog adskiller sig fra det, der kræves af ikke-demokratiske samfund, hvis engagement i indsamling af persondata har til formål "at overvåge, manipulere og kontrollere [borgerne] uden hensyntagen til privatlivets fred og menneskerettighederne" (s. 8). Afslutningsvis understregede han vigtigheden af fælles principper som et væsentligt fundament for at "bevare og fremme et frit og åbent internet, der muliggøres af en problemfri datastrøm" (s. 8).

Noah Joshua Phillips, kommissær for Federal Trade Commission (FTC),^[6] betragtede interoperabilitet som en prioritet for den kommende regering og opfordrede på samme måde de liberale demokratier til at forene sig og ikke splitte sig for at finde en vej frem efter Schrems II-dommen. Han hævdede, at det er skadeligt for lande at "evaluere deres tilgang til digital forvaltning [,] at dele og fremme fordelene ved et frit og åbent internet" og at styrke båndene til kompatible datastyringsregimer ved at trække linjer "mellem allierede med fælles værdier [og] dem, der tilbyder en helt anden vision" (s. 9).

De sidste to bidrag fra Swire^[7] og Richards^[8] gav en akademisk redegørelse for de beviser, der blev fremlagt under Schrems II-sagen. Swire mente, at det beskyttelsesniveau, som Privacy Shield tilbyder, i det væsentlige svarer til det, der garanteres i EU, men at det er nødvendigt med en revision af USA's nuværende overvågningspraksis. Han foreslog en etårig aftale, der ville gøre det muligt for "den nye regering at engagere sig systematisk [i at skabe] holdbare tilgange til aftaler med EU om data" og samtidig give "et nyttigt incitament for alle involverede til at fortsætte med at arbejde intensivt hen imod en langsigtet løsning" (s. 10).

Richards udtrykte derimod en følelse af, at det haster med en amerikansk forpligtelse til at reformere lovgivningen om privatlivets fred og overvågning, som ifølge ham var blevet et "væsen af mistillid" (s. 18), der havde rod i manglen på en omfattende føderal lovgivning om privatlivets fred og Snowden-afsløringerne, som havde afsløret NSA's overvågningsaktiviteter i juni 2013. Han argumenterede for, at USA kunne opnå tilstrækkelig beskyttelse af privatlivets fred og databeskyttelse gennem meningsfulde retsmidler og ved at afhjælpe manglerne i landets omfattende systemer til indsamling af signaler og efterretninger. I den forbindelse foreslog han, at Schrems II-beslutningen viser en meningsfuld mulighed for at genvinde lederskabet inden for forbrugerbeskyttelse, men også for at komme videre mod større internationalt samarbejde og økonomisk velstand: "Der er en vej frem, men det kræver, at vi erkender, at stærke, klare, tillidsskabende regler ikke er fjendtlige over for forretningsinteresser, at vi er nødt til at gå videre end det fejlslagne system med "varsel og valg", at vi er nødt til at bevare effektive forbrugermidler og lovgivningsmæssig innovation på statsniveau og alvorligt overveje en loyalitetspligt" (s. 19).

De centrale synspunkter, som vidnerne gav udtryk for under høringen i senatsudvalget, afspejler mødets overordnede støtte til en omfattende lovgivning om forbrugernes privatliv, som ville pålægge virksomhederne en loyalitetsforpligtelse i deres behandling af personoplysninger og give enkeltpersoner en privat ret til at anlægge sag. På trods af det store antal forskellige forslag, der blev præsenteret den dag, anerkendte alle talere den alvorlige effekt, som ugyldiggørelsen af Privacy Shield havde medført, og nødvendigheden af at rette op på den. En beslutning om tilstrækkelighed kunne dog kun gennemføres med succes, hvis tilgangen til efterretningsindsamling blev revideret, og hvis man virkelig forpligtede sig til at gennemføre en overvågningsreform. Disse bestræbelser, blev det hævdet, kan kræve bred konsensusopbygning med andre demokratiske allierede med stærke privatlivsregimer.

At konfrontere disse spørgsmål globalt er et vigtigt udgangspunkt for at overvinde den usikkerhed, der truer med at forstyrre de transatlantiske datastrømme, som er afgørende for mange USA-baserede teknologivirksomheders drift. Men det tegner også til at blive særligt afgørende for at finde frem til meningsfulde muligheder for en overvågningsreform, der kan fremme overholdelsen af Schrems II-beslutningen og utilsigtet beskytte forbrugernes rettigheder på tværs af landegrænser.

Ressourcer

1. Webcast og skriftlige udskrifter er tilgængelige via: https: //www.commerce.senate.gov/2020/12/the-invalidation-of-the-eu-us-privacy-shield-and-the-future-of-transatlantic-data-flows.
2. Tilgængelig via: http: //curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first∂=1&cid=5219638.
3. US Department of Commerce Department, Commerce Secretary Wilbur Ross Welcomes Privacy Shield Milestone-Privacy Shield Has Reached 5,000 Active Company Participants (11. september 2019), https://www.trade.gov/press-release/commerce-secretary-wilbur-ross-welcomes-privacyshield-milestone-privacy-shield-has; Congressional Research Service, U.S.-EU Privacy Shield (6. august 2020), https://fas.org/sgp/crs/row/IF11613.pdf
4. Udskrift tilgængelig via: https: //www.commerce.senate.gov/services/files/3B067E7A-26FA-497A-9AC3-4DB37F140C8F.
5. Udskrift tilgængelig via: https: //www.commerce.senate.gov/services/files/8F72849E-3625-4687-B8F5-71AFF4640D1F.
6. Udskrift tilgængelig via: https: //www.commerce.senate.gov/services/files/34555EB9-4074-4A11-A4E9-A85EA3CAED56.
7. Udskrift tilgængelig via: https: //www.commerce.senate.gov/services/files/6E06A2A6-A9D9-4EFA-8390-0A288B7C1DCA.
8. Udskrift tilgængelig via: https: //www.commerce.senate.gov/services/files/021C9A15-B562-4818-9BDE-F103512D6ED3.

Indholdet af denne artikel er beregnet til at give en generel vejledning om emnet. Du bør søge specialistrådgivning om dine specifikke omstændigheder.