Databehandler-aftalen var underskrevet: Men et datacenter i Frankfurt gør ikke dine data europæiske

Reel kontrol over din cloud-infrastruktur giver juridisk forudsigelighed, driftssikkerhed du selv kontrollerer, og indflydelse, når forudsætningerne ændrer sig. Men det kræver mere end at vælge et europæisk datacenter, og forskellen er vigtigere end de fleste tror

Artikel top billede

Dine data kan ligge i Frankfurt og stadig være underlagt amerikansk ret. Datacenterets adresse og jurisdiktionen over det, er to helt forskellige ting.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Jeg sad i et møde, hvor en it-chef lænede sig tilbage og sagde: "Vi ligger i Frankfurt, så vi er dækket."

Databehandleraftalen var underskrevet, en advokat havde kigget på den, og sagen var lukket.

Jeg stillede ét spørgsmål: Hvilken juridisk enhed driver egentlig den tjeneste, I ligger på? Der blev stille.

Det spørgsmål er hele forskellen mellem at have styr på sin cloud og at tro, man har det.

Reel cloud-suverænitet handler om én ting: Hvem kan juridisk og teknisk tilgå dine systemer, uanset hvad du selv har besluttet?

Det er en skarpere definition end den, som de fleste går rundt med, og skarpheden er nødvendig, fordi suverænitet hele tiden forveksles med noget andet, nemlig overholdelse af GDPR.

GDPR regulerer behandling og beskyttelse af personoplysninger. Suverænitet handler om adgangen til selve infrastrukturen samt under hvilken lovgivning og på hvilke betingelser.

Det er et skel med konsekvenser for den CISO, CIO eller CTO, der skal løfte emnet internt.

De tre gevinster

Tag gevinsten først, før du går ned i det juridiske.

Du får juridisk forudsigelighed. Du kan dokumentere, under hvilken lovgivning din infrastruktur opererer, og hvad der juridisk skal til, for at andre kan kræve adgang.

Det er grundlaget for at svare bestyrelse, kunder og tilsynsmyndigheder.

Du får driftssikkerhed, du selv kontrollerer. Din adgang til dine egne kritiske systemer afhænger ikke af en fremmed stats beslutninger. S

anktioner, eksportkontrol eller politisk pres, der tvinger en udbyder til at lukke ned for en bestemt kunde, er ikke et hypotetisk scenarie. Det er sket.

Er udbyderen underlagt europæisk ret, kan den slags ikke ramme dig udefra.

Du får indflydelse og retsmidler. De regler, du opererer under, fastsættes i en retsorden, som du selv er en del af, med domstole, du kan nå, og tilsyn, der står til ansvar over for dig.

Ændrer forudsætningerne sig, har du en stemme og en vej, ikke bare et nyt bilag.

Det er de tre gevinster. Amerikansk ret og politik sætter dem på spil på flere måder. To af dem ser vi nærmere på her: Cloud Act og Schrems II.

CLOUD Act gælder uanset hvor data ligger

I 2018 vedtog den amerikanske kongres Cloud Act (Clarifying Lawful Overseas Use of Data Act).

Loven giver amerikanske myndigheder ret til at kræve data udleveret fra amerikanske teknologivirksomheder, uanset hvor i verden dataene fysisk befinder sig.

Bruger din virksomhed AWS, Microsoft Azure eller Google Cloud, også via et datacenter i Frankfurt eller Amsterdam, kan amerikanske myndigheder under bestemte omstændigheder anmode om adgang til dine data. Ikke ved hacking, men fordi den virksomhed, der driver din infrastruktur, er underlagt amerikansk jurisdiktion.

Din overholdelse af GDPR ændrer ikke ved det. De to regelsæt eksisterer parallelt, og de kolliderer.

Schrems II, og hvorfor den nye aftale ikke lukker sagen

I juli 2020 fastslog EU-domstolen i Schrems II-dommen, at Privacy Shield-aftalen, om dataoverførsler mellem EU og USA, var ugyldig.

Årsagen var, at amerikansk overvågningslovgivning, herunder FISA Section 702 og Executive Order 12333, giver amerikanske efterretningstjenester adgang til data på en måde, der ikke er forenelig med europæiske grundrettigheder.

Privacy Shield er væk, og to ting trådte i stedet.

Standardkontraktbestemmelser (SCC'er) kan stadig bruges, men kræver en konkret vurdering af lovgivningen i modtagerlandet, og for USA falder den vurdering sjældent positivt ud. I 2023 vedtog EU-Kommissionen desuden en ny tilstrækkelighedsafgørelse, EU-US Data Privacy Framework, som i dag er det grundlag mange overførsler til USA hviler på.

Den nye rammeaftale bygger dog på et amerikansk præsidentielt dekret (Executive Order 14086), ikke på en traktat.

Et dekret kan en ny administration tilbagekalde, og der er rejst tvivl om uafhængigheden af de amerikanske tilsynsorganer, klagemekanismen forudsætter.

Den underliggende kritik fra Schrems II, at amerikansk overvågningslovgivning rækker for langt, er ikke forsvundet.

Aftalen er allerede indbragt for EU's domstole, og en ny underkendelse i stil med Schrems II kan ikke udelukkes.

Reaktionen i markedet har været den vante: Samme platforme, nye bilag, sagen betragtes som lukket.

Men grundlaget for dataoverførsel til USA er fortsat strukturelt svært at få til at holde, uanset hvad der står i bilaget.

Fire spørgsmål der afslører forskellen

At data fysisk befinder sig i Europa er ikke nok. Det afgørende er, hvem der kontrollerer adgangen juridisk, organisatorisk og teknisk. Stil din nuværende eller næste udbyder disse fire spørgsmål, og kræv skriftlige svar:

Hvilken juridisk enhed ejer og driver tjenesten? Ikke mærkenavnet, men den registrerede enhed, der er part i din databehandleraftale, og hvilken stats lovgivning den er underlagt.

Hvem kontrollerer krypteringsnøglerne? Kryptering beskytter kun din suverænitet, hvis det er jer og ikke udbyderen, der ejer nøglerne.

Hvilke adgangsveje til dine systemer findes uden for Europa? Via support, fjernadgang eller juridiske forpligtelser over for andre landes myndigheder.

Hvem er underleverandørerne, og under hvilke jurisdiktioner opererer de? Mange cloud-tjenester trækker på tredjeparter, der selv kan være underlagt ikke-europæiske jurisdiktioner.

Suveræn cloud flytter data, ikke jurisdiktion

AWS, Microsoft og Google er ikke uvidende om problemet.

De har alle lanceret suveræne cloud-produkter til europæiske virksomheder og den offentlige sektor.

Microsoft kalder det EU Data Boundary, Google tilbyder Sovereign Controls, AWS har dedikerede GovCloud-regioner.
Produkterne er et fremskridt på dataplaceringen, men de ændrer ikke det grundlæggende juridiske forhold: udbyderen er fortsat en amerikansk virksomhed underlagt amerikansk ret, og CLOUD Act gælder stadig.

EU Data Act fra 2025 pålægger ganske vist cloud-udbydere at afvise tredjelandsmyndigheders adgangskrav, medmindre der foreligger et traktatgrundlag, men om det er nok til at løse jurisdiktionskonflikten, er endnu uafklaret, og europæiske domstole har ikke prøvet rækkevidden.

For kritiske systemer er svaret derfor klart: europæisk ejerskab, ikke europæisk datacenter.

Det begynder med en kortlægning

Den typiske danske virksomhed ser sådan ud:

Data i Azure med et datacenter i Amsterdam, en underskrevet databehandleraftale, og et ledelseslag, der mener, sagen er lukket. Måske ligger der endda en juridisk vurdering i en skuffe.

Første skridt er at kortlægge, hvad du har: Hvilke systemer, hvilke udbydere, hvilke jurisdiktioner.

De færreste har det overblik på skrift, og uden det er enhver tale om at skifte udbyder hypotetisk.

Du tror, du kan handle, lige indtil du skal. Hvordan det overblik bliver til en infrastruktur, der faktisk kan flyttes og ikke bare beskrives, er emnet for næste artikel.

Så start dér. Ikke med et udbud, ikke med en migration. Med et spørgsmål, du kræver skriftligt svar på.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Navnenyt fra it-Danmark

Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

Honey Arora

Immeo

Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

Alexander Hoffmann

GlobalConnect

Mohamed El Haddaoui, er pr. 7. april 2026 ansat hos Dafolo A/S som IT-systemudvikler. Han skal især beskæftige sig med udviklingsopgaver relateret til Brugerklubben SBSYS. Han er nyuddannet datamatiker og har erfaring med udvikling af REST API'er og integreret databaser. Nyt job

Mohamed El Haddaoui

Dafolo A/S

Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

Jakob Dirksen

GlobalConnect