De europæiske datatilsyn fører nu tilsyn med overførsler af persondata til USA

Den 15. marts 2021 kom der en opsigtsvækkende afgørelse fra Tyskland i en sag om en tysk virksomhed, som benyttede det amerikanskejede nyheds- og marketingsselskab ”Mailchimp” til udsendelse af nyhedsbreve. Afgørelsen indebar, at virksomheden ved overførsel af deres abonnenters e-mailadresser til Mailchimp på ulovlig vis overførte persondata til et tredjeland – USA – da virksomheden ikke havde sikret tilstrækkelige ”supplerende foranstaltninger” for at beskytte personoplysningerne.
News
GDPR

Det Bayerske Datatilsyn i Tyskland foretog dermed en prøvelse af de kriterier, der blev opstillet i den meget omtalte ”Schrems II”-dom, der blev afsagt af EU-Domstolen den 16. juli 2020.

Sagens baggrund

Afgørelsen i Tyskland er en direkte følge af dommen i Schrems II-sagen, hvor EU-domstolen afgjorde, at der ved overførsel af personoplysninger fra EU til USA ikke kunne garanteres et tilstrækkeligt databeskyttelsesniveau i henhold til GDPR under anvendelse af Privacy Shield-ordningen, som derfor blev erklæret ugyldig.

Ifølge EU-Domstolen skal den dataansvarlige (dataeksportøren) sikre, at der ved overførsler fra EU-lande til tredjelande opnås en beskyttelse, som i det væsentligste er på niveau med beskyttelsesniveauet i EU. Det betyder bl.a., at national lovgivning i tredjelandet ikke må pålægge databehandleren (dataimportøren) forpligtelser, f.eks. om udlevering af oplysninger til myndighederne i det pågældende tredjeland, som går videre, end hvad der efter en europæisk standard anses for sagligt, nødvendigt og proportional, ligesom der i det pågældende tredjeland skal være ”effektive retsmidler” for de personer, hvis personoplysninger behandles.

Hvis dette ikke kan opnås igennem overførselsgrundlaget alene – f.eks. ved anvendelse af EU-Kommissionens Standardkontraktbestemmelser – skal den dataansvarlige og databehandleren i fællesskab sikre, at der implementeres supplerende foranstaltninger til beskyttelse af personoplysninger, sådan at der opnås et niveau af databeskyttelse, som i det væsentligste er på niveau med beskyttelsesniveauet i EU.

Det kunne den tyske virksomhed i den konkrete sag ikke dokumentere, at det var sket. Derfor fandt det Bayerske Datatilsyn, at overførslen af personoplysninger til MailChimp var ulovlig. Den tyske virksomhed slap dog uden en bøde, da der i stedet blev indgået en aftale med den tyske virksomhed om, at virksomheden øjeblikkeligt stoppede med at benytte MailChimp til udsendelse af nyhedsbreve.

Hvorfor er afgørelsen fra Tyskland interessant?

Afgørelsen fra det Bayerske Datatilsyn er interessant, da det er en af de første afgørelser, der direkte anvender de kriterier for overførsel af personoplysninger til tredjelande, og herunder særligt dataoverførsler til USA, der blev opstillet af EU-Domstolen i Schrems II-sagen. Det viser, at de europæiske tilsyn nu er begyndt at føre tilsyn med virksomheders overførsler af personoplysninger til tredjelande med konkret anvendelse af EU-Domstolens kriterier i Schrems II-sagen.

Afgørelsen er desuden et hårdt slag mod de mange virksomheder, der anvender Mailchimp eller tilsvarende selskaber til at udsende nyhedsbreve eller andet markedsføringsmateriale, da virksomhederne er dårligt stillet i forhold til at forhandle særlige aftalevilkår på plads med virksomheder af den karakter. Det er derfor meget vanskeligt i praksis at indføre ”supplerende foranstaltninger” i en grad, som er tilstrækkelig til at opfylde de krav, der blev opstillet af EU-Domstolen i Schrems II-sagen. Det kan i sidste ende betyde, at virksomheder må indstille eller helt ophøre brugen af sådanne tjenester.

Overførsel af persondata til tredjeverdenslande i dansk kontekst

Datatilsynet offentliggjorde tidligere i år deres tilsynsplan for 2021, hvor overførsel af persondata til tredjelande også er et fokuspunkt. Følgende er derfor vigtigt for dig som virksomhed, hvis du vil sikre dig bedst muligt imod, at Datatilsynet slår ned på overførsel af personoplysninger til tredjelande i din virksomhed:

  • Har I dannet jer et overblik over eventuelle overførsler af persondata til tredjelande, dvs. lande uden for EU/EØS?
  • Har I taget stilling til, om sådanne overførsler sker på et gyldigt overførselsgrundlag og i givet fald hvilket – f.eks. ved anvendelse af EU-Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande eller BCR (Binding Corporate Rules) ved koncerninterne overførsler?
  • Har I sikret, at der er truffet supplerende foranstaltninger til beskyttelse af personoplysninger, f.eks. i form af supplerende kontraktuelle garantier, hvis det er påkrævet – hvilket som udgangspunkt vil være tilfældet, hvis der er tale om overførsel af personoplysninger til USA?
  • Har I udarbejdet en risikovurdering, der også inddrager virksomhedens overførsel af personoplysninger til USA og andre tredjelande?

Lund Elmer Sandagers kommentar

Efter vores vurdering er afgørelsen i sagen yderst interessant for en lang række virksomheder, der overfører data til USA eller andre tredjelande, f.eks. via Mailchimp eller tilsvarende tjenester. Det er også vores vurdering, at det danske Datatilsyn med stor sandsynlighed ville være nået frem til samme resultat som det Bayerske Datatilsyn, og danske virksomheder bør derfor have dette in mente, når de foretager en vurdering og gennemgang af virksomhedernes dataoverførsler til tredjelande, herunder USA.

Har du spørgsmål til den tyske dom, eller ønsker du at vide mere omkring, hvad din virksomhed fremadrettet skal være opmærksom på, er du velkommen til at kontakte Lund Elmer Sandagers specialister inden for GDPR; partner og advokat Torsten Hylleberg eller advokat Anders Linde Reislev.