Flere steder i Europa – også i Danmark – skyder nye datacentre op som svampe på en fugtig skovbund. Argumentationen fra Apple, Microsoft, Facebook og andre af de store aktører er blandt andet, at man ønsker at være tættere på kunderne og at kunne servicere dem bedre – ikke mindst fordi virksomhederne i stadig højere grad anvender cloudløsninger. Men der kan også være en anden og mere skjult årsag til de flittige byggeaktiviteter.
Efter den såkaldte Schrems II-dom fra EU-domstolen er det nemlig ikke længere så enkelt at overføre data fra EU til eksempelvis USA. Det lægger blandt andet hindringer i vejen for de udbydere af cloudløsninger, der ikke har datacentre i et EU-land.
Det er der faktisk flere af dem, der ikke har, og et eksempel på dette er Dropbox, som leverer løsninger til deling af information og dokumentation, der flittigt bruges af virksomheder.
Virksomhederne skal selv undersøge de lande, hvor der lagres data, siger advokat Tina Brøgger Sørensen, Kromann Reumert.
Uanset om man som virksomhed benytter en af de etablerede aktører på cloudmarkedet eller selv indgår aftale med en dataudbyder, er det en god ting at sikre sig, at ens serviceleverandør har formalia i orden. Det betyder ganske enkelt, at medmindre denne opbevarer data i et såkaldt sikkert tredjeland, er virksomheden forpligtet til at kontrollere hver enkelt leverandøraftale for en række helt specifikke krav.
Problematikken startede tilbage i 2003, da en person ved navn Max Schrems (i forlængelse af Edward Snowdens afsløringer af den masseovervågning, som National Security Agency (NSA) i USA stod bag) klagede til det irske datatilsyn over, at Facebook i Irland havde overført hans personlige data til Facebook Inc. Overførslen byggede på den såkaldte Safe Harbour-ordning, der havde været i brug i en årrække.
Safe Harbour-ordningen betød, at de amerikanske databehandlervirksomheder, der var omfattet af ordningen, blev anset for at være beliggende i et sikkert tredjeland. Men klageren, Max Schrems, mente ikke, at USA’s lovgivning om national sikkerhed var ensbetydende med, at data blev behandlet ud fra et tilstrækkeligt beskyttelsesniveau for persondata, som det kræves efter europæisk databeskyttelseslovgivning.
I forbindelse med sagens behandling ved en domstol i Irland blev akterne forelagt EU-domstolen, der i oktober 2015 erklærede Safe Harbour-ordningen ugyldig. Samtidig blev det fastslået, at niveauet for beskyttelse af personoplysninger i et såkaldt usikkert tredjeland i al væsentlighed skal matche niveauet for beskyttelse af personoplysninger i EU. Dermed fik Max Schrems altså ret i sin klage til den irske Data Protection Commisioner.
Safe Harbour-ordningen blev efterfølgende i 2016 erstattet af den såkaldte EU-US Privacy Shield-ordning, der efter EU-Kommissionens opfattelse rettede op på nogle af manglerne.