Microsoft får lov til at gå ind i en principiel retssag om dataoverførsler mellem EU og USA.
Sagen handler om EU-US Data Privacy Framework, der siden 2023 har gjort det muligt at overføre personoplysninger mellem EU og USA under et fælles regelsæt.
Aftalen bygger på EU-Kommissionens vurdering af, at USA giver en tilstrækkelig og tilsvarende beskyttelse af persondata.
Den vurdering bliver nu udfordret i en sag anlagt af den franske parlamentariker Philippe Latombe.
Han mener, at aftalen ikke giver tilstrækkelige garantier for beskyttelsen af europæeres data, og at den derfor strider mod kravene i GDPR.
Microsoft støtter Kommissionen
EU-Retten afviste i første omgang klagen fra den franske parlamentariker.
Det har dog ikke afholdt Philippe Latombe fra at anke sagen, og den skal nu behandles ved EU-Domstolen.
I den forbindelse har Microsoft fået tilladelse til at intervenere i sagen til støtte for EU-Kommissionen og forsvaret af EU-US Data Privacy Framework.
Det betyder, at Microsoft kan komme med argumenter og bidrage med kontekst i sagen.
Microsoft skriver selv i et blogindlæg, at selskabet har en direkte interesse i sagens udfald, fordi sagen kan afgøre, om Microsoft og selskabets erhvervskunder fortsat kan bruge EU-US Data Privacy Framework til at overføre data til deltagende amerikanske virksomheder.
Hvis EU-US Data Privacy Framework bliver underkendt, vil det derfor kunne skabe nye juridiske problemer for amerikanske selskaber, der opererer i både USA og Europa.
Et spørgsmål om amerikansk overvågning
Kernen i sagen handler om, hvorvidt USA reelt lever op til kravene om et tilstrækkeligt beskyttelsesniveau for persondata.
Ifølge GDPR skal et tredjeland blandt andet have uafhængige ordninger, der kan sikre databeskyttelse og give borgere mulighed for at klage.
Ifølge Philippe Latombe er de amerikanske klagemekanismer og domstolslignende ordninger ikke tilstrækkeligt uafhængige, hvorfor USA – ifølge ham – ikke lever op til kravene om et tilstrækkeligt beskyttelsesniveau.
EU har to gange tidligere forsøgt at etablere rammer for dataoverførsler mellem EU og USA.
Først med Safe Harbour og senere med Privacy Shield, der begge sidenhen er blevet underkendt af EU-Domstolen i de sager, der er kendt som Schrems I og Schrems II.
Og nu skal Microsoft altså forsøge at bidrage til forsvaret af det nuværende rammeværk, så EU-US Data Privacy Framework ikke bliver den tredje ordning for transatlantiske dataoverførsler, der falder ved EU-Domstolen.