Datalov forhindrer ikke ny aflytningsskandale

Da den amerikanske whistleblower Edward Snowden i sommeren 2013 afslørede den amerikanske efterretningstjeneste NSA’s aflytninger af europæiske borgere, satte det gang i en lavine. Pludselig var databeskyttelse på alles læber.

En ellers hensunken debat om EU’s nye forordning om databeskyttelse (se side 5) fik nyt liv, og EU-Parlamentet bestilte en særlig undersøgelsesrapport om den amerikanske efterretningstjenestes masseovervågning.

»Med udgangspunkt i Snowdens afsløringer og historierne i pressen sikrede vi en aldeles dybdegående undersøgelse. Washington, whistleblowers, institutioner og journalister blev hørt«, proklamerede den britiske socialdemokrat og medlem af Parlamentet Claude Moraes, som var ansvarlig for rapporten.

Parlamentet vedtog 12. marts 2014 undersøgelsesrapporten. Samme dag, og i samme ånd, vedtog Parlamentet en betænkning, det vil sige dets officielle holdning til den omtalte forordning. Betænkningen, som indebar flere skærpelser af Kommissionens oprindelige forslag, fik stor opbakning med 621 stemmer for og 10 imod, mens 22 undlod at stemme.

I samme ombæring ytrede Parlamentet ønske om at udforme lovgivningen som en forordning, som er direkte gældende i landene, og ikke et direktiv, som landene selv kan implementere. 

Gælder ikke efterretningstjenester

Hvad de færreste talte og taler om er, at EU ikke kan forhindre udveksling af persondata mellem landes efterretningstjenester. Derfor vil en forordning hverken gøre til eller fra, hvis der kommer en ny NSA-skandale.

Forklaringen findes i selve lovteksten. Der står, at forordningen ikke gælder databehandling foretaget af ”medlemsstater, der udfører aktiviteter, der falder under kapitel 2 af titel V i EU-traktaten.” Det refererer til det kapitel, der omhandler ”særlige bestemmelser om den fælles udenrigs- og sikkerhedspolitik,” herunder efterretningstjenesterne.

Sagt på dansk, så vil forordningen ganske som i dag tillade, at for eksempel PET og NSA udveksler oplysninger om borgerne. Det har EU ikke beføjelser til at blande sig i. 

Kan godt se problemet

Enhedslisten er et af de danske partier, der i sommeren 2013 var mest højrøstede i kritikken af NSA’s masseovervågning. Partiet er indholdsmæssigt for forordningen, omend retsordfører Pernille Skipper kunne have tænkt sig, at det blev udformet som et direktiv, så ”Danmark kunne gå endnu længere.”

Er det ikke et spil for galleriet at motivere forordningen med NSA-aflytningerne, hvis efterretningstjenesterne er undtaget?

»Det er helt rigtigt, at efterretningstjenesterne ikke er underlagt forordningsbestemmelserne. Der står eksplicit i persondataloven, at de er undtaget, og det vedbliver med at stå der, når loven bliver erstattet af forordningen. Der er nogle enkelte tilfælde, hvor de vil være underlagt, men det gælder ikke i forhold til for eksempel terrorbekæmpelse«, siger hun.

»I praksis betyder det, at uanset hvor god beskyttelse, man laver i en forordning, vil den ikke pille ved efterretningstjenesternes mulighed for at udveksle data. "Handel" med data mellem efterretningstjenester i EU og USA vil stadig kunne fortsætte. Og amerikanske virksomheder kan stadig trække informationer ud om borgere via amerikanske selskaber. Det kan vi ikke forhindre med forordningen.«

Hvorfor bliver det så ”solgt” på netop Snowden-sagen? 

»Jeg tror det hænger sammen med, at hele diskussionen om databeskyttelse er forholdsvis ny for mange. Mange blev først rigtig bevidste om det efter NSA-aflytningerne. Så bliver tingene hurtigt blandet lidt sammen.«


Enhedslistens Pernille Skipper er enig i, at den nye forordning om databeskyttelse ikke som sådan har noget at sige overefor NSA-aflytningerne. Men hun synes stadig, den rummer en masse vigtige elementer.

Allan Sørensen, der er digital chef hos brancheorganisationen Danske Medier, som følger processen om forordningen tæt, mener også, at Parlamentet blev grebet af stemningen efter afsløringerne af NSA’s aflytninger:

»I forbindelse med Snowden og News of the World (den britiske avis, der havde aflyttet kendte personer), hvor medierne ikke havde sine fineste dage, gik der en smule ”hype” i databeskyttelse i forhold til andre interesser. Der er gode intentioner bag Parlamentets stramninger, men vi er glade for, at der i Rådet er en dybere indsigt i konsekvenserne.« 

Anti-amerikansk klausul

EU-Parlamentet er dog ikke blinde for det dilemma, at efterretningstjenester formelt set er undtaget fra forordningen. I betænkningen fra marts sørgede man for at få tilføjet et krav om en klausul, der forhindrer ”tredjeparter” i at få adgang til persondata.

Klausulen kaldes anti-FISA, hvor FISA refererer til den amerikanske lov Foreign Intelligence Security Act, der sikrer NSA adgang til oplysninger via teleselskaber. Anti-FISA er således et forsøg på at holde efterretningstjenesten på afstand.

Kommissionen havde oprindeligt også planer om en anti-FISA klausul i forordningen, men kom efter amerikansk påtale på andre tanker.

Nu vil Parlamentet altså have klausulen med alligevel. Den skal i praksis betyde, at man dels vil kræve en forhåndsaftale med den i dette tilfælde amerikanske domstol eller myndighed, der ønsker udveksling af personoplysninger, og dels vil forlange, at hver enkelt udveksling af data skal godkendes af en tilsynsmyndighed.

Men hvordan skal regeringerne i Ministerrådet, der er medlovgiver på forordningen, kunne acceptere en sådan klausul, når EU ikke har kompetence på området – og når landenes efterretningstjenester i varierende grad samarbejder med NSA? 

”Vil ikke kunne lade sig gøre”

Advokat Christian Wiese Svanberg var som embedsmand i Justitsministeriet ansvarlig for forhandlingerne om forordningen under det danske EU-formandskab i 2012. Han kan godt se problemer i at efterkomme Parlamentets krav om en klausul, men nuancerer billedet:

»Jeg er enig i, at EU ikke har kompetence til at lovgive herom. Men man kan godt regulere, hvordan private virksomheder skal besvare henvendelser fra ”tredjeparter,” for så handler det om vilkårene for det indre marked.«

Men, påpeger han:

»Det er mindst lige så vigtigt, at Parlamentets krav vil omfatte alle former for udlevering af personoplysninger til domstole eller myndigheder uden for EU – om det gælder civile retssager, straffesager og så videre. Så taler vi tusindvis af henvendelser. Hvis man forestiller sig, at hver udlevering skal godkendes af datatilsynsmyndighederne, så vil det rent praktisk ikke kunne lade sig gøre.«

Vil Rådet så kunne acceptere Parlamentets krav?

»Man finder nok et pragmatisk kompromis, men det er jo et følsomt spørgsmål rent politisk, så det bliver næppe nemt.« 


Advokat Christian Wiese Svanberg ser flere problemer i Parlamentets seneste forsøg på at begrænse NSA-aflytningerne.

USA og TTIP

I undersøgelsesrapporten om Snowdens afsløringer truer Parlamentet med ikke at godkende den kommende frihandelsaftale mellem EU og USA (TTIP), hvis den indeholder kapitler om databeskyttelse.

Kommissionen har sagt, at hverken EU’s gældende eller foreslåede regler om databeskyttelse er til forhandling med USA. Det forhindrer ikke de amerikanske forhandlere i at have et andet perspektiv.

Shaun Donelly fra den amerikanske interesseorganisation Council for International Business, og tidligere diplomat, kommenterede spørgsmålet overfor    NOTAT i december 2013:

»EU har selvfølgelig ret til at vedtage sine egne love, men amerikanske virksomheder føler sig begrænsede af dem. Jeg forestiller mig, at EU’s databeskyttelsesregler er noget, den amerikanske regering vil interessere sig for.«

USA har siden 1995 haft en kritisk holdning til det gældende databeskyttelsesdirektiv i EU, som man mener er en unødig bureaukratisk byrde, og som man aldrig har agtet at kopiere for eget vedkommende.