De europæiske datatilsyn fører nu tilsyn med overførsler af persondata til USA

Den 15. marts 2021 kom der en opsigtsvækkende afgørelse fra Tyskland i en sag om en tysk virksomhed, som benyttede det amerikanskejede nyheds- og marketingsselskab ”Mailchimp” til udsendelse af nyhedsbreve. Afgørelsen indebar, at virksomheden ved overførsel af deres abonnenters e-mailadresser til Mailchimp på ulovlig vis overførte persondata til et tredjeland – USA – da virksomheden ikke havde sikret tilstrækkelige ”supplerende foranstaltninger” for at beskytte personoplysningerne.
Nyhed
GDPR

Det Bayerske Datatilsyn i Tyskland foretog dermed en prøvelse af de kriterier, der blev opstillet i den meget omtalte ”Schrems II”-dom, der blev afsagt af EU-Domstolen den 16. juli 2020.

Sagens baggrund

Afgørelsen i Tyskland er en direkte følge af dommen i Schrems II-sagen, hvor EU-domstolen afgjorde, at der ved overførsel af personoplysninger fra EU til USA ikke kunne garanteres et tilstrækkeligt databeskyttelsesniveau i henhold til GDPR under anvendelse af Privacy Shield-ordningen, som derfor blev erklæret ugyldig.

Ifølge EU-Domstolen skal den dataansvarlige (dataeksportøren) sikre, at der ved overførsler fra EU-lande til tredjelande opnås en beskyttelse, som i det væsentligste er på niveau med beskyttelsesniveauet i EU. Det betyder bl.a., at national lovgivning i tredjelandet ikke må pålægge databehandleren (dataimportøren) forpligtelser, f.eks. om udlevering af oplysninger til myndighederne i det pågældende tredjeland, som går videre, end hvad der efter en europæisk standard anses for sagligt, nødvendigt og proportional, ligesom der i det pågældende tredjeland skal være ”effektive retsmidler” for de personer, hvis personoplysninger behandles.

Hvis dette ikke kan opnås igennem overførselsgrundlaget alene – f.eks. ved anvendelse af EU-Kommissionens Standardkontraktbestemmelser – skal den dataansvarlige og databehandleren i fællesskab sikre, at der implementeres supplerende foranstaltninger til beskyttelse af personoplysninger, sådan at der opnås et niveau af databeskyttelse, som i det væsentligste er på niveau med beskyttelsesniveauet i EU.

Det kunne den tyske virksomhed i den konkrete sag ikke dokumentere, at det var sket. Derfor fandt det Bayerske Datatilsyn, at overførslen af personoplysninger til MailChimp var ulovlig. Den tyske virksomhed slap dog uden en bøde, da der i stedet blev indgået en aftale med den tyske virksomhed om, at virksomheden øjeblikkeligt stoppede med at benytte MailChimp til udsendelse af nyhedsbreve.

Hvorfor er afgørelsen fra Tyskland interessant?

Afgørelsen fra det Bayerske Datatilsyn er interessant, da det er en af de første afgørelser, der direkte anvender de kriterier for overførsel af personoplysninger til tredjelande, og herunder særligt dataoverførsler til USA, der blev opstillet af EU-Domstolen i Schrems II-sagen. Det viser, at de europæiske tilsyn nu er begyndt at føre tilsyn med virksomheders overførsler af personoplysninger til tredjelande med konkret anvendelse af EU-Domstolens kriterier i Schrems II-sagen.

Afgørelsen er desuden et hårdt slag mod de mange virksomheder, der anvender Mailchimp eller tilsvarende selskaber til at udsende nyhedsbreve eller andet markedsføringsmateriale, da virksomhederne er dårligt stillet i forhold til at forhandle særlige aftalevilkår på plads med virksomheder af den karakter. Det er derfor meget vanskeligt i praksis at indføre ”supplerende foranstaltninger” i en grad, som er tilstrækkelig til at opfylde de krav, der blev opstillet af EU-Domstolen i Schrems II-sagen. Det kan i sidste ende betyde, at virksomheder må indstille eller helt ophøre brugen af sådanne tjenester.

Overførsel af persondata til tredjeverdenslande i dansk kontekst

Datatilsynet offentliggjorde tidligere i år deres tilsynsplan for 2021, hvor overførsel af persondata til tredjelande også er et fokuspunkt. Følgende er derfor vigtigt for dig som virksomhed, hvis du vil sikre dig bedst muligt imod, at Datatilsynet slår ned på overførsel af personoplysninger til tredjelande i din virksomhed:

  • Har I dannet jer et overblik over eventuelle overførsler af persondata til tredjelande, dvs. lande uden for EU/EØS?
  • Har I taget stilling til, om sådanne overførsler sker på et gyldigt overførselsgrundlag og i givet fald hvilket – f.eks. ved anvendelse af EU-Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande eller BCR (Binding Corporate Rules) ved koncerninterne overførsler?
  • Har I sikret, at der er truffet supplerende foranstaltninger til beskyttelse af personoplysninger, f.eks. i form af supplerende kontraktuelle garantier, hvis det er påkrævet – hvilket som udgangspunkt vil være tilfældet, hvis der er tale om overførsel af personoplysninger til USA?
  • Har I udarbejdet en risikovurdering, der også inddrager virksomhedens overførsel af personoplysninger til USA og andre tredjelande?

Lund Elmer Sandagers kommentar

Efter vores vurdering er afgørelsen i sagen yderst interessant for en lang række virksomheder, der overfører data til USA eller andre tredjelande, f.eks. via Mailchimp eller tilsvarende tjenester. Det er også vores vurdering, at det danske Datatilsyn med stor sandsynlighed ville være nået frem til samme resultat som det Bayerske Datatilsyn, og danske virksomheder bør derfor have dette in mente, når de foretager en vurdering og gennemgang af virksomhedernes dataoverførsler til tredjelande, herunder USA.

Har du spørgsmål til den tyske dom, eller ønsker du at vide mere omkring, hvad din virksomhed fremadrettet skal være opmærksom på, er du velkommen til at kontakte Lund Elmer Sandagers specialister inden for GDPR; partner og advokat Torsten Hylleberg eller advokat Anders Linde Reislev.

Relaterede nyheder

Se alle nyheder
Nyhed

Datatilsynet sætter spot på behandling af personoplysninger ved internetkonkurrencer

Datatilsynet har i en nylig sag taget stilling til en virksomheds behandling og videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer og spørgeskemaer.
GDPR
Nyhed

Europæiske datatilsyn stiller skarpt på cookieløsninger og brug af Google Analytics

Det danske datatilsyn og andre europæiske datatilsyn har i øjeblikket stort fokus på, om virksomheders cookieløsninger lever op til reglerne i GDPR. Det omfatter bl.a. løsninger med Google Analytics og IAB’s standardløsning for cookies og annoncer, Transparency and Consent Framework (TCF), hvor meget tyder på, at danske virksomheder skal forberede sig på alternative løsninger.
GDPR
Nyhed

Lund Elmer Sandager styrker partnerkredsen med partnerudnævnelser fra egne rækker

Det er en stor glæde, at advokat Sebastian Rungby og advokat Torsten Hylleberg begge indtræder som ejerpartnere i Lund Elmer Sandager med tilbagevirkende kraft fra den 1. januar 2022.
GDPR
Nyhed

Datatilsynet indstiller til store GDPR-bøder

I løbet af sommeren 2021 har Datatilsynet indstillet bøder til tre offentlige myndigheder og to private virksomheder i niveauet 150.000-600.000 kr. for overtrædelse af GDPR-lovgivningen. Den nye størrelse af bødeindstillingerne udstikker vigtigheden af, at virksomheder sikrer et tilstrækkeligt sikkerhedsniveau ved behandling af personoplysninger.
GDPR
Nyhed

Nye Standard Contractual Clauses ved overførsler af persondata ud af EU/EØS

EU-Kommission har den 4. juni 2021 udstedt nye Standard Contractual Clauses (”SCC”) til brug ved overførsler af persondata ud af EU/EØS, hvilket f.eks. kan være til en (under)databehandler i USA.
GDPR
Nyhed

Nye regler om whistleblowerordning sendt i høring

Lovforslaget om beskyttelse af whistleblowere er sendt i høring. Lovforslaget indebærer blandt andet, at alle danske virksomheder med 50 eller flere medarbejdere bliver forpligtet til at etablere en intern whistleblowerordning. Whistleblowerordningen skal leve op til en række krav og procedurer. Virksomheder med eksisterende whistleblowerordninger skal derfor også vurdere, om deres nuværende ordning lever op til de nye krav.
GDPR