Marcus Bennick driver en lille virksomhed med en stor udfordring. Hans forretning er truet, men selv er han magtesløs. Han er nemlig én af mange danske virksomheder, som bruger it-leverandører fra USA og lige nu bruger store mængder tid og penge på juridisk arbejde, så han fortsat kan drive sin forretning lovligt.
“Det har været en lang, lang proces, hvor vi ikke har vidst, om vi var købt eller solgt,” siger Marcus Bennick, direktør i en af de virksomheder, der for alvor er ramt – webtjenesten LærIT.
Stort set alle danske virksomheder bruger it-leverandører fra USA – om det så er Microsoft, Google eller en mere ukendt amerikansk underleverandør. Direktøren i webtjenesten LærIT, som bl.a. står bag læringsportalen Skoletube og andre løsninger til folkeskoler, er ikke jurist. Det betyder dog ikke, at han ikke er fuldt opdateret på gdpr-lovgivning. Det er han nemlig nødt til.
“Vi er fem personer i vores virksomhed, og der går halvanden stilling til at håndtere gdpr,” siger Marcus Bennick.
“Det her er vores minksag. Forskellen er bare, at minksagen gik hurtigt.”
LærIT bruger ti underleverandører, der bruger cloud-servere placeret i USA. Lige nu står LærIT til at stoppe samarbejdet med dem midlertidigt eller permanent, indtil der kommer mere klarhed om overførslen af data fra EU til USA. Det ville betyde, at halvdelen af LærIT's forretning skulle skæres fra.
“Det vil være et kæmpe problem, da deres software udfylder hver deres vigtige roller og en kæmpe mangel for vores brugere, hvis de områder som de udfylder, forsvinder,” siger direktøren.
Det er noget Martin Vasehus, direktør i Complycloud, kender alt til. Han har gjort en forretning ud af den kringlede lovgivning med en software, som hjælper virksomhederne med overholdelse af reglerne og juridisk dokumentation for blandt andet brugen at IT-leverandørerne. Han er derfor i kontakt med mange af dem, som er hårdt ramt.
“Der er kommuner, styrelser og virksomheder, der sætter it-projekter på pause og truer leverandører med at påberåbe kontraktbrud,” siger Martin Vasehus.
amerikanske underleverandører står den lille it-virksomhed LærIT til at stoppe samarbejdet med
Hele humlen i den udfordring, som Marcus Bennick og LærIT står over for, bunder i en dom fra i sommer, som gjorde det endnu mere omstændeligt for virksomhederne at bruge amerikanske it-leverandører. Schrems ll-dommen.
Manden bag Schrems ll-dommen er den østrigske aktivist Max Schrems. Han klagede i 2013 til det irske datatilsyn over, at Facebook i Irland overførte hans persondata til Facebook i USA. Grunden til at overførslen – trods den eksisterende persondatalovgivning – kunne finde sted, var den såkaldte Safe Harbor-ordning, som anså USA som “et sikkert tredjeland”, således at virksomhederne kunne vide sig sikre på, at de data, der overførtes til serverne i USA, ikke ville komme videre.
Den irske domstol tog sagen til EU-Domstolen, og i 2015 blev Safe Harbor-ordningen erklæret ugyldig. Desuden blev USA ikke længere betragtet som “et sikkert tredjeland”. Lovgivning i USA gør nemlig, at amerikanske myndigheder kan kræve data fra de amerikanske servere.
Året efter – i 2016 – blev Safe Harbor-ordningen erstattet af Privacy Shield-ordningen. Her styrkede EU-Kommissionen bl.a. tilsynet med og håndhævelsen af ordningen. Men Max Schrems var ikke tilfreds. Han omformulerede den oprindelige klage, fordi Facebook fortsat lovligt kunne overføre persondata til USA. Til trods for de standardkontrakter, som EU nu havde skærpet.
Det mundede ud i Schrems ll-dommen, hvor forudsætningerne for brug af standardkontrakten endnu engang blev skærpet. Vil man derfor som virksomhed fortsat bruge it-leverandører fra bl.a. USA, er man nu forpligtet til at lave en vurdering af, hvor sandsynligt det er, at myndighederne i USA får adgang til de her data. Og det er særligt den vurdering, der kræver stort arbejde.
“Det er ikke en nem øvelse,” siger Søren Sandfeld Jakobsen, professor i it- og medieret ved CBS.
“De danske virksomheder kæmper med to ting. For det første at forstå, hvad dommen siger, og for det andet at opfylde det dommen siger. Begge dele er komplekst. Der skal man virkelig sidde og studere amerikansk ret og bruge timer på at finde ud af, hvad der er op og ned,” siger han.
“Vi er fem personer i vores virksomhed, og der går halvanden stilling til at håndtere gdpr
Marcus Bennick, direktør, LærIT
Han tilslutter sig, at det har gjort det vanskeligt for især små og mellemstore virksomheder.
“Det kan Novo Nordisk og sådan nogle nok godt finde ud af – de bruger jo store advokatfirmaer – men jeg vil gerne se de små virksomheder, som kan lave den vurdering uden at skulle bruge dyre rådgivere,” siger han.
Martin Vasehus mener ikke, at det er fair, at virksomhederne skal stå med den opgave, fordi det juridiske arbejde, som virksomhederne er tvunget til at udføre, kræver dyr advokathjælp.
“På en eller anden måde er det jo ikke fair, at vi har det selling point, fordi virksomhederne lige pludselig skal vurdere noget, de ikke har forudsætninger for at gøre selv,” siger Martin Vasehus.
“Man har i virkeligheden taget en masse virksomheder til fange i et politisk spil om europæisering af bigtech,” siger han.
Søren Sandfeld Jakobsen fortæller, at der et stort pres på både EU-Kommissionen og de amerikanske myndigheder for at lave en ny aftale, som kan erstatte den gamle.
“Det er jo milliarder af kroner, der er på spil.”
