Transatlantisk databeskyttelse
EU–U.S. Data Privacy Framework (DPF) markerer et vigtigt skridt i forsøget på at genetablere en lovlig og sikker ramme for overførsel af personoplysninger fra EU til USA. Ordningen er udviklet som erstatning for det tidligere Privacy Shield, der blev underkendt af EU-Domstolen i den skelsættende Schrems II-dom (C-311/18).
Med DPF har USA forpligtet sig til at styrke beskyttelsen af europæiske borgeres data, i forhold til adgang fra amerikanske efterretningstjenester. Aftalen bygger på en række nye tiltag, herunder etableringen af en uafhængig klageinstans, som skal sikre, at EU-borgere har adgang til retsmidler, hvis deres data behandles i strid med rammeaftalens principper.
Hvad er Data Privacy Framework?
DPF bygger på en række administrative tilsagn fra den amerikanske regering om at begrænse overvågning og styrke registreredes rettigheder. Blandt andet er der oprettet en ny klageinstans i USA, som skal give EU-borgere mulighed for at få prøvet, om deres data er blevet behandlet i strid med principperne. Samtidig kan amerikanske virksomheder lade sig certificere under DPF og forpligte sig til at leve op til særlige databeskyttelseskrav.
På baggrund af DPF har EU-Kommissionen den 10. juli 2023 vedtaget en såkaldt tilstrækkelighedsafgørelse i medfør af artikel 45 i GDPR. En sådan afgørelse betyder, at hvis en EU-virksomhed ønsker at overføre persondata til en virksomhed i USA, kan det ske uden yderligere juridiske skridt – som for eksempel brug af standardkontrakter – så længe den amerikanske modtager er certificeret under DPF. Ordningen skal dermed fungere som en “bro” mellem EU’s og USA’s meget forskellige lovgivninger.
Politisk usikkerhed i USA: Et skrøbeligt fundament for DPF
Selvom EU–U.S. Data Privacy Framework (DPF) i øjeblikket udgør det primære overførselsgrundlag for personoplysninger fra EU til USA, hviler aftalen på et politisk fundament, der langt fra er stabilt. Derfor er pålideligheden af DPF meget påvirket af udviklingen i det amerikanske politiske landskab, som på det seneste har skabt betydelig usikkerhed for rammeaftalen.
Allerede i januar 2025 blev denne usikkerhed konkret, da præsident Trump afskedigede tre demokratiske medlemmer af Privacy and Civil Liberties Oversight Board (PCLOB) – et uafhængigt tilsynsorgan, der spiller en nøglerolle i DPF’s legitimitet. Afskedigelserne blev dog anfægtet, og den 21. maj 2025 fastslog en føderal dommer, at to af afskedigelserne var ulovlige. Domstolen understregede, at PCLOB’s uafhængighed er forankret i den amerikanske forfatning og udgør en begrænsning af præsidentens magt.
Selvom dommen førte til genindsættelse af de afskedigede medlemmer og genetablerede PCLOB’s beslutningsdygtighed, illustrerer forløbet, hvor sårbar DPF er over for politiske indgreb. Netop PCLOB er en af de mekanismer, som EU-Kommissionen har lagt til grund for sin tilstrækkelighedsafgørelse af 10. juli 2023. Enhver svækkelse af dette tilsynsorgans funktionalitet kan derfor potentielt underminere hele grundlaget for den nuværende dataoverførselsordning.
Hvorfor er det vigtigt?: Konsekvenser for virksomheder og konkurrencevilkår
Den politiske usikkerhed omkring DPF har ikke kun juridiske komplikationer – den har også praktiske og økonomiske konsekvenser for virksomheder på begge sider af Atlanten.
USA er hjemsted for mange af de teknologivirksomheder, som europæiske dataansvarlige og databehandlere dagligt samarbejder med. DPF muliggør en forenklet og legitim overførsel af personoplysninger til disse aktører uden nødvendigvis at anvende supplerende retsgrundlag som standardkontraktbestemmelser (SCC’er). En eventuel underkendelse af DPF vil derfor kræve, at virksomheder skal foretage drastiske omstillinger til alternative overførselsmekanismer for at forblive i overensstemmelse med GDPR.
Samtidig rejser DPF også spørgsmål om konkurrencevilkår. Amerikanske tjenesteudbydere får adgang til det europæiske marked via DPF, som potentielt er en falsk sikkerhed, med svækkede tilsynsorganer, mens europæiske virksomheder er underlagt mere komplekse og byrdefulde krav. Europæiske aktører kan derfor pege på, at dette skaber en skævvridning af konkurrencen, mellem europæiske og amerikanske udbydere på det europæiske marked.
Hvad hvis DPF bliver underkendt igen og medfører “Schrems III- scenarie”?
Selvom DPF i dag udgør et gyldigt overførselsgrundlag, er det langt fra garanteret, at ordningen vil bestå. Et fremtidigt “Schrems III”-scenarie er ikke urealistisk. Hvis EU-Domstolen på ny vurderer, at amerikansk overvågning ikke lever op til kravene i GDPR artikel 45 og EU’s Charter om Grundlæggende Rettigheder, kan DPF – ligesom Privacy Shield før det – blive erklæret ugyldigt.
En sådan afgørelse vil efterlade virksomheder i et juridisk tomrum og udløse et akut behov for at finde alternative overførselsgrundlag, der kan sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger. For mange organisationer vil det betyde en brat overgang til nye (europæiske) udbydere eller omstilling til et mere komplekse og ressourcekrævende overførelsesgrundlag.
I tilfælde af at DPF falder, vil mange virksomheder være nødt til at støtte sig til standardkontraktbestemmelser (SCC’er). Men som det Europæiske Databeskyttelsesråd (EDPB) har fastslået, er SCC’er i sig selv ikke nødvendigvis tilstrækkelige til at sikre et passende beskyttelsesniveau ved overførsler til tredjelande.
Derfor kræves en konkret vurdering i form af en Transfer Impact Assessment (TIA), hvor man analyserer risici forbundet med overførslen og – om nødvendigt – iværksætter supplerende tekniske og organisatoriske foranstaltninger. Dette fremgår af EDPB’s endelige anbefalinger fra den 18. juni 2021, som også understreger, at vurderingen skal være dokumenteret og opdateret løbende (Læs datatilsynets anbefalinger på området).
DPO-Danmarks anbefalinger til virksomheder
Usikkerheden giver anledning til at virksomheder, der overfører personoplysninger til USA, allerede nu, begynder at overveje sikkerhedsforanstaltninger, for at forhindre en ubehagelig og ressourcekrævende overraskelse senere, hvis DPF bliver underkendt.
For at imødegå denne usikkerhed kan man som virksomhedsejer allerede overveje, at tage disse fire skridt:
- Kortlæg dataoverførsler: Identificér hvilke data, der overføres til USA, og dokumentér retsgrundlaget – som krævet i GDPR artikel 30 og kapitel V.
- Etabler Standard Contractual Clasuses (SCCs): Brug standardkontraktbestemmelser som alternativt overførselsgrundlag i henhold til artikel 46, som medfører at der skal gennemføres en Transfer Impact Assessment (TIA) som fastsat af EDPB.
- Implementér supplerende foranstaltninger: Kryptering, pseudonymisering, dataminimering og adgangsbegrænsning kan være nødvendige for at sikre et passende beskyttelsesniveau. EDPB’s anbefalinger fra juni 2021 indeholder en detaljeret vejledning om sådanne foranstaltninger. (find linket ovenfor)
- Overvej EU-baserede alternativer: Hvor det er muligt, kan databehandling og opbevaring med fordel ske inden for EU for at minimere overførselsrisici. Det kan måske virke drastisk, da de fleste virksomheders grundlæggende it-infrastruktur er baseret i USA, men udviklingen peger på, at dette på længere sigt kan være den sikreste og mindst ressourcekrævende løsning.
Afsluttende perspektiv
EU–U.S. Data Privacy Framework (DPF) er i skrivende stund et gyldigt overførselsgrundlag i henhold til GDPR. Men som gennemgået i artiklen, er DPF ikke fri for usikkerhed og påvirkning fra den politiske udvikling.
Derfor bør virksomheder anvende DPF med omtanke og måske ikke som en langsigtet garanti. En robust databeskyttelsesstrategi bør inkludere beredskab for alternative overførselsmekanismer, såsom standardkontraktbestemmelser (SCC’er), understøttet af Transfer Impact Assessments (TIA) og relevante tekniske og organisatoriske foranstaltninger.
I en tid præget af geopolitisk ustabilitet og øget regulatorisk opmærksomhed bør virksomheder prioritere retlig holdbarhed og ansvarlig databehandling.
Hvis der hersker usikkerhed om lovgrundlaget for jeres internationale dataoverførsler – eller hvis I blot ønsker en second opinion – står DPO-Danmark klar som sparringspartner. Uanset om det drejer sig om strategiske overvejelser eller praktiske implementeringer, kan vi bistå med rådgivning, der matcher både jeres behov og GDPR’s krav.
