Databehandler-aftalen var underskrevet: Men et datacenter i Frankfurt gør ikke dine data europæiske

Reel kontrol over din cloud-infrastruktur giver juridisk forudsigelighed, driftssikkerhed du selv kontrollerer, og indflydelse, når forudsætningerne ændrer sig. Men det kræver mere end at vælge et europæisk datacenter, og forskellen er vigtigere end de fleste tror

Artikel top billede

Dine data kan ligge i Frankfurt og stadig være underlagt amerikansk ret. Datacenterets adresse og jurisdiktionen over det, er to helt forskellige ting.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Jeg sad i et møde, hvor en it-chef lænede sig tilbage og sagde: "Vi ligger i Frankfurt, så vi er dækket."

Databehandleraftalen var underskrevet, en advokat havde kigget på den, og sagen var lukket.

Jeg stillede ét spørgsmål: Hvilken juridisk enhed driver egentlig den tjeneste, I ligger på? Der blev stille.

Det spørgsmål er hele forskellen mellem at have styr på sin cloud og at tro, man har det.

Reel cloud-suverænitet handler om én ting: Hvem kan juridisk og teknisk tilgå dine systemer, uanset hvad du selv har besluttet?

Det er en skarpere definition end den, som de fleste går rundt med, og skarpheden er nødvendig, fordi suverænitet hele tiden forveksles med noget andet, nemlig overholdelse af GDPR.

GDPR regulerer behandling og beskyttelse af personoplysninger. Suverænitet handler om adgangen til selve infrastrukturen samt under hvilken lovgivning og på hvilke betingelser.

Det er et skel med konsekvenser for den CISO, CIO eller CTO, der skal løfte emnet internt.

De tre gevinster

Tag gevinsten først, før du går ned i det juridiske.

Du får juridisk forudsigelighed. Du kan dokumentere, under hvilken lovgivning din infrastruktur opererer, og hvad der juridisk skal til, for at andre kan kræve adgang.

Det er grundlaget for at svare bestyrelse, kunder og tilsynsmyndigheder.

Du får driftssikkerhed, du selv kontrollerer. Din adgang til dine egne kritiske systemer afhænger ikke af en fremmed stats beslutninger. S

anktioner, eksportkontrol eller politisk pres, der tvinger en udbyder til at lukke ned for en bestemt kunde, er ikke et hypotetisk scenarie. Det er sket.

Er udbyderen underlagt europæisk ret, kan den slags ikke ramme dig udefra.

Du får indflydelse og retsmidler. De regler, du opererer under, fastsættes i en retsorden, som du selv er en del af, med domstole, du kan nå, og tilsyn, der står til ansvar over for dig.

Ændrer forudsætningerne sig, har du en stemme og en vej, ikke bare et nyt bilag.

Det er de tre gevinster. Amerikansk ret og politik sætter dem på spil på flere måder. To af dem ser vi nærmere på her: Cloud Act og Schrems II.

CLOUD Act gælder uanset hvor data ligger

I 2018 vedtog den amerikanske kongres Cloud Act (Clarifying Lawful Overseas Use of Data Act).

Loven giver amerikanske myndigheder ret til at kræve data udleveret fra amerikanske teknologivirksomheder, uanset hvor i verden dataene fysisk befinder sig.

Bruger din virksomhed AWS, Microsoft Azure eller Google Cloud, også via et datacenter i Frankfurt eller Amsterdam, kan amerikanske myndigheder under bestemte omstændigheder anmode om adgang til dine data. Ikke ved hacking, men fordi den virksomhed, der driver din infrastruktur, er underlagt amerikansk jurisdiktion.

Din overholdelse af GDPR ændrer ikke ved det. De to regelsæt eksisterer parallelt, og de kolliderer.

Schrems II, og hvorfor den nye aftale ikke lukker sagen

I juli 2020 fastslog EU-domstolen i Schrems II-dommen, at Privacy Shield-aftalen, om dataoverførsler mellem EU og USA, var ugyldig.

Årsagen var, at amerikansk overvågningslovgivning, herunder FISA Section 702 og Executive Order 12333, giver amerikanske efterretningstjenester adgang til data på en måde, der ikke er forenelig med europæiske grundrettigheder.

Privacy Shield er væk, og to ting trådte i stedet.

Standardkontraktbestemmelser (SCC'er) kan stadig bruges, men kræver en konkret vurdering af lovgivningen i modtagerlandet, og for USA falder den vurdering sjældent positivt ud. I 2023 vedtog EU-Kommissionen desuden en ny tilstrækkelighedsafgørelse, EU-US Data Privacy Framework, som i dag er det grundlag mange overførsler til USA hviler på.

Den nye rammeaftale bygger dog på et amerikansk præsidentielt dekret (Executive Order 14086), ikke på en traktat.

Et dekret kan en ny administration tilbagekalde, og der er rejst tvivl om uafhængigheden af de amerikanske tilsynsorganer, klagemekanismen forudsætter.

Den underliggende kritik fra Schrems II, at amerikansk overvågningslovgivning rækker for langt, er ikke forsvundet.

Aftalen er allerede indbragt for EU's domstole, og en ny underkendelse i stil med Schrems II kan ikke udelukkes.

Reaktionen i markedet har været den vante: Samme platforme, nye bilag, sagen betragtes som lukket.

Men grundlaget for dataoverførsel til USA er fortsat strukturelt svært at få til at holde, uanset hvad der står i bilaget.

Fire spørgsmål der afslører forskellen

At data fysisk befinder sig i Europa er ikke nok. Det afgørende er, hvem der kontrollerer adgangen juridisk, organisatorisk og teknisk. Stil din nuværende eller næste udbyder disse fire spørgsmål, og kræv skriftlige svar:

Hvilken juridisk enhed ejer og driver tjenesten? Ikke mærkenavnet, men den registrerede enhed, der er part i din databehandleraftale, og hvilken stats lovgivning den er underlagt.

Hvem kontrollerer krypteringsnøglerne? Kryptering beskytter kun din suverænitet, hvis det er jer og ikke udbyderen, der ejer nøglerne.

Hvilke adgangsveje til dine systemer findes uden for Europa? Via support, fjernadgang eller juridiske forpligtelser over for andre landes myndigheder.

Hvem er underleverandørerne, og under hvilke jurisdiktioner opererer de? Mange cloud-tjenester trækker på tredjeparter, der selv kan være underlagt ikke-europæiske jurisdiktioner.

Suveræn cloud flytter data, ikke jurisdiktion

AWS, Microsoft og Google er ikke uvidende om problemet.

De har alle lanceret suveræne cloud-produkter til europæiske virksomheder og den offentlige sektor.

Microsoft kalder det EU Data Boundary, Google tilbyder Sovereign Controls, AWS har dedikerede GovCloud-regioner.
Produkterne er et fremskridt på dataplaceringen, men de ændrer ikke det grundlæggende juridiske forhold: udbyderen er fortsat en amerikansk virksomhed underlagt amerikansk ret, og CLOUD Act gælder stadig.

EU Data Act fra 2025 pålægger ganske vist cloud-udbydere at afvise tredjelandsmyndigheders adgangskrav, medmindre der foreligger et traktatgrundlag, men om det er nok til at løse jurisdiktionskonflikten, er endnu uafklaret, og europæiske domstole har ikke prøvet rækkevidden.

For kritiske systemer er svaret derfor klart: europæisk ejerskab, ikke europæisk datacenter.

Det begynder med en kortlægning

Den typiske danske virksomhed ser sådan ud:

Data i Azure med et datacenter i Amsterdam, en underskrevet databehandleraftale, og et ledelseslag, der mener, sagen er lukket. Måske ligger der endda en juridisk vurdering i en skuffe.

Første skridt er at kortlægge, hvad du har: Hvilke systemer, hvilke udbydere, hvilke jurisdiktioner.

De færreste har det overblik på skrift, og uden det er enhver tale om at skifte udbyder hypotetisk.

Du tror, du kan handle, lige indtil du skal. Hvordan det overblik bliver til en infrastruktur, der faktisk kan flyttes og ikke bare beskrives, er emnet for næste artikel.

Så start dér. Ikke med et udbud, ikke med en migration. Med et spørgsmål, du kræver skriftligt svar på.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Event: Årets CISO 2026

Sikkerhed | København

Vi glæder os til at løfte sløret for flere detaljer til denne konference. I mellemtiden kan du tilmelde dig og dermed have tidspunktet reserveret i din kalender.

22 oktober 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

Immeo har pr. 1. maj 2026 ansat Sofie Amalie Buur som Consultant. Hun kommer fra en stilling som Frontend Engineer & UI/UX Designer hos Valyrion. Hun er uddannet Cand.it. Softwaredesign ved ITU. Nyt job
Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

Boris Sudar

Renewtech ApS

Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse
Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

Mikkel Bernt Buchvardt

Elbek & Vejrup A/S