1.           Indledning: det ændrede forhold mellem EU og USA med hensyn til databehandling

Den Europæiske Union og De Forenede Stater er strategiske partnere. Partnerskabet er helt afgørende for at fremme fælles værdier, sikkerhed og fælles lederskab i globale anliggender.

Der er imidlertid rokket ved tilliden til partnerskabet, og tilliden skal derfor genopbygges. Både EU, medlemsstater og borgere i EU har udtrykt dyb bekymring i forbindelse med afsløringer af omfattende amerikanske programmer for indsamling af efterretninger, særlig med hensyn til beskyttelsen af personoplysninger[1]. Masseovervågning af private samtaler, uanset om det er borgeres, virksomheders eller politiske lederes, er uacceptabel.

Overførsler af personoplysninger udgør et vigtigt og nødvendigt element i det transatlantiske forhold. De er en uadskillelig del af samhandelen på tværs af Atlanten, herunder i de nye digitale vækstvirksomheder, f.eks. inden for sociale medier og cloud computing. Derfor overføres store datamængder fra EU til USA. De udgør også et vigtigt element i samarbejdet mellem EU og USA på retshåndhævelsesområdet og i samarbejdet mellem medlemsstaterne og USA om national sikkerhed. For at lette datastrømmene og samtidig sikre det høje databeskyttelsesniveau, som kræves i EU-retten, har USA og EU indgået en række aftaler og indført en række ordninger.

Samhandelen er omfattet af Kommissionens beslutning 2000/520/EF[2] (i det følgende benævnt "safe harbor-beslutningen"). Beslutningen er retsgrundlag for overførsler af personoplysninger fra EU til virksomheder i USA, som har tilsluttet sig safe harbor-principperne.

Udveksling af personoplysninger mellem EU og USA med henblik på retshåndhævelse, herunder forebyggelse og bekæmpelse af terrorisme og andre alvorlige former for grov kriminalitet, er omfattet af en række aftaler på EU-plan. Det drejer sig om: aftalen om gensidig retshjælp[3], aftalen om anvendelse og overførsel af passagerlisteoplysninger ("PNR")[4], aftalen om behandling og overførsel af oplysninger om finansielle transaktioner med henblik på bekæmpelse af terrorisme ("TFTP")[5] og aftalen mellem Europol og USA. Aftalerne tager sigte på at løse vigtige sikkerhedsproblemer og varetage EU's og USA's fælles sikkerhedsinteresser, samtidig med at de sikrer et højt beskyttelsesniveau for personoplysninger. Hertil kommer, at EU og USA i øjeblikket forhandler om en rammeaftale om databeskyttelse inden for politisamarbejdet og det retlige samarbejde ("paraplyaftalen")[6]. Målet er at sikre et højt databeskyttelsesniveau for borgere, hvis personoplysninger udveksles, og dermed yderligere styrke samarbejdet mellem EU og USA om bekæmpelse af kriminalitet og terrorisme på grundlag af fælles værdier og aftalte garantier.

Disse instrumenter anvendes i en situation, hvor overførsel af personoplysninger bliver stadig vigtigere.

På den ene side har den digitale økonomis udvikling medført eksponentiel vækst i databehandlingsaktiviteterne, både hvad angår kvantitet, kvalitet, diversitet og art. Borgernes anvender i stigende grad elektroniske kommunikationstjenester i deres dagligliv. Personoplysninger er blevet et særdeles værdifuldt aktiv. Det vurderes således, at EU-borgernes personoplysninger havde en værdi af 315 mia. EUR i 2011, og at den kan vokse til næsten 1 trillion om året i 2020.[7] Markedet for analyse af store datasæt vokser i øjeblikket med 40 % om året på verdensplan[8]. Tilsvarende sætter visse aspekter af den teknologiske udvikling, f.eks. i forbindelse med cloud computing, begrebet internationale datastrømme i perspektiv, idet udveksling af data på tværs af grænserne er ved at blive en daglig foreteelse[9].

Den øgede brug af elektronisk kommunikation og databehandlingstjenester, herunder cloud computing, har også udvidet omfanget og betydningen af de transatlantiske dataoverførsler. En række elementer er derfor blevet endnu mere relevante, f.eks. de amerikanske virksomheders centrale stilling i den digitale økonomi[10], det forhold, at en stor del af den elektroniske kommunikation dirigeres over Atlanten, og mængden af elektroniske datastrømme mellem EU og USA.

På den anden side rejser moderne metoder til behandling af personoplysninger nye og vigtige spørgsmål. Det gælder både for så vidt angår større virksomheders omfattende behandling af forbrugsdata til kommercielle formål, og for så vidt angår efterretningstjenesters øgede muligheder for omfattende overvågning af kommunikationsdata.

Omfattende amerikanske programmer for indsamling af efterretninger som PRISM har indvirkning på europæernes grundlæggende rettigheder, særlig retten til privatlivets fred og til beskyttelse af personoplysninger. Programmerne tyder også på, at der består en forbindelse mellem regeringsovervågning og den databehandling, som foretages af private virksomheder, særlig internetvirksomheder i USA. De kan derfor have økonomiske konsekvenser. Hvis borgerne er bekymrede for, at deres personoplysninger i stor stil underkastes behandling af private virksomheder, eller for at deres personoplysninger overvåges af efterretningstjenester, når de benytter internettjenester, kan det rokke ved deres tillid til den digitale økonomi, hvilket kan have negative konsekvenser for væksten.

Denne udvikling skaber nye problemer for datastrømmene mellem EU og USA. Denne meddelelse omhandler disse problemer. I meddelelsen undersøges det, hvordan vi kommer videre ud fra konklusionerne i rapporten fra EU's medformænd for EU's og USA's ad hoc-arbejdsgruppe og ud fra safe harbor-meddelelsen.

Det undersøges, hvordan vi reelt kommer videre med genopbygningen af tilliden og styrkelsen af samarbejdet mellem EU og USA på disse områder samt det transatlantiske forhold generelt.

Meddelelsen bygger på den forudsætning, at spørgsmålet om standarden for beskyttelsen af personoplysninger skal behandles i sin rette sammenhæng, og uden at det har indvirkning på andre aspekter af forholdet mellem EU og USA, herunder de igangværende forhandlinger om et transatlantisk handels- og investeringspartnerskab. Derfor vil forhandlingerne om databeskyttelsesstandarder ikke foregå inden for rammerne af det transatlantisk handels- og investeringspartnerskab, som fuldt ud overholder databeskyttelsesreglerne.

Det er vigtigt at bemærke, at skønt EU kan træffe foranstaltninger på områder, hvor EU har kompetence, særlig med henblik på at sikre anvendelsen af EU-retten[11], er national sikkerhed fortsat den enkelte medlemsstats eneansvar[12].

2.         Indvirkningen på instrumenter til dataoverførsel

For det første har safe harbor, for så vidt angår dataoverførsler til kommercielle formål, vist sig at være et vigtigt redskab til dataoverførsler mellem EU og USA. Dets kommercielle vigtighed er vokset, efterhånden som persondatastrømme har fået en mere fremtrædende plads i de transatlantiske handelsforbindelser. De seneste 13 år har safe harbor-ordningen udviklet sig til at omfatte mere end 3 000 virksomheder, hvoraf mere end halvdelen har tilmeldt sig ordningen inden for de seneste fem år. Alligevel er der stigende bekymring over beskyttelsesniveauet for EU-borgeres personoplysninger, der overføres til USA under safe harbor-ordningen. Ordningens frivillige og deklaratoriske karakter har i stigende grad rejst spørgsmålet om dens gennemsigtighed og håndhævelse. De fleste amerikanske virksomheder anvender dens principper, men visse selvcertificerede virksomheder gør ikke. Det forhold, at visse virksomheder ikke overholder safe harbor-principperne, giver de pågældende virksomheder en konkurrencemæssig fordel i forhold til europæiske virksomheder, der driver forretning på de samme markeder. 

Under safe harbor er det tilladt at begrænse databeskyttelsesreglerne af hensyn til national sikkerhed[13], men spørgsmålet er, om den omfattende indsamling og behandling af personoplysninger som led i de amerikanske overvågningsprogrammer er nødvendig og har et rimeligt omfang i forhold til hensynet til national sikkerhed. EU's og USA's ad hoc-arbejdsgruppe har konkluderet, at EU-borgerne ikke nyder samme rettigheder og retssikkerhedsgarantier som amerikanerne.

Rækkevidden af de nævnte overvågningsprogrammer rejser, i kombination med at EU-borgerne er ringere stillet, tvivl om, hvor højt beskyttelsesniveau safe harbor-ordningen egentlig skaber. De amerikanske myndigheder kan skaffe sig adgang til og behandle EU-borgeres personoplysninger, der overføres til USA under safe harbor, på en måde, som er uforenelig med det grundlag, på hvilket oplysningerne oprindeligt blev indsamlet i EU, og med det formål, til hvilket de blev overført til USA. Flertallet af de amerikanske internetvirksomheder, der synes at være direkte berørt af de pågældende programmer, er certificeret under safe harbor-ordningen.

For det andet, for så vidt angår udveksling af data med henblik på retshåndhævelse, har de gældende aftaler (PNR og TFTP) vist sig at være særdeles værdifulde redskaber til at imødegå almindelige trusler mod sikkerheden i forbindelse med alvorlig grænseoverskridende kriminalitet og terrorisme, samtidig med at de sikrer et højt databeskyttelsesniveau[14]. EU-borgerne er omfattet af garantierne, og aftalerne indeholder mekanismer med henblik på at kontrollere gennemførelsen af aftalerne og at løse problemer, der måtte opstå i den forbindelse. Ved TFTP-aftalen oprettedes også et tilsynssystem, hvor uafhængige EU-overvågere kontrollerer, hvilke søgninger USA foretager i data, der er omfattet af aftalen.

I lyset af den bekymring over de amerikanske overvågningsprogrammer, som der er givet udtryk for i EU, har Europa-Kommissionen anvendt mekanismerne til at kontrollere, hvordan aftalerne anvendes. For PNR-aftalens vedkommende er der foretaget en fælles gennemgang med deltagelse af databeskyttelseseksperter fra EU og USA. De undersøgte, hvordan aftalen er blevet gennemført[15]. Gennemgangen tyder ikke på, at de amerikanske overvågningsprogrammer omfatter eller har indvirkning på passageroplysninger omfattet af PNR-aftalen. Med hensyn til TFTP-aftalen har Kommissionen indledt formelle konsultationer, efter at der er blevet fremsat beskyldninger om, at amerikanske efterretningstjenester direkte har skaffet sig adgang til personoplysninger i EU i modstrid med aftalen. Konsultationerne har ikke afdækket noget, der godtgør, at der sket brud på TFTP-aftalen, og de har foranlediget USA til skriftligt at erklære, at der ikke har fundet nogen direkte dataindsamling sted i strid med aftalen.

Den omfattende indsamling og behandling af personoplysninger inden for rammerne af de amerikanske overvågningsprogrammer gør det nødvendigt fortsat at overvåge gennemførelsen af PNR- og TFTP-aftalerne tæt i fremtiden. Derfor er EU og USA nået til enighed om at fremrykke den næste fælles gennemgang af TFTP-aftalen. Den vil blive foretaget i foråret 2014. I forbindelse med gennemgangen og fremtidige gennemgange vil der blive sikret større gennemsigtighed om, hvordan tilsynssystemet fungerer, og hvordan det beskytter EU-borgernes data. Parallelt hermed vil der blive taget skridt til at sikre, at tilsynssystemet fortsat følger tæt, hvordan data, der overføres til USA under aftalen, behandles, med særligt fokus på hvordan de amerikanske myndigheder deler de pågældende data med hinanden.

For det tredje understreger den øgede mængde af personoplysninger, der behandles, vigtigheden af de gældende retssikkerhedsgarantier og administrative garantier. Et af formålene med EU's og USA's ad hoc-arbejdsgruppe var at finde frem til, hvilke garantier der gælder, med henblik på at minimere den indvirkning, som databehandling har på EU-borgernes grundlæggende rettigheder. Det er også nødvendigt med garantier, der beskytter virksomhederne. Visse amerikanske love, f.eks. Patriot Act, giver de amerikanske myndigheder mulighed for direkte at anmode virksomhederne om adgang til data, der opbevares i EU. Derfor kan europæiske virksomheder og amerikanske virksomheder, der driver forretning i EU, blive anmodet om at overføre data til USA i strid med EU-retten og retten i medlemsstaterne. Dermed kommer de i klemme mellem modstridende retlige forpligtelser. Den manglende retssikkerhed, som sådanne direkte anmodninger afføder, kan bremse udviklingen af nye digitale tjenester, f.eks. cloud computing, som ellers kunne tilbyde effektive og billigere løsninger til fysiske personer og erhvervsliv.

 3.         Sikkerhed for effektiv databeskyttelse

Videregivelse af personoplysninger mellem EU og USA udgør et afgørende element i de transatlantiske handelsforbindelser. Udvekslingen af oplysninger er også et vigtigt element i sikkerhedssamarbejdet mellem EU og USA, og den er af helt afgørende betydning for at nå det fælles mål om at forhindre og bekæmpe grov kriminalitet og terrorisme. Nylige afsløringer af amerikanske programmer for indsamling af efterretninger har imidlertid rokket ved den tillid, som dette samarbejde bygger på. Særlig har det rokket ved tilliden til den måde, personoplysninger behandles på. Derfor bør der tages nedenstående skridt med henblik på at genopbygge tilliden til dataoverførsler, til gavn for den digitale økonomi, sikkerheden både i EU og USA og det transatlantiske forhold generelt.

3.1.      EU's databeskyttelsesreform

Den databeskyttelsesreform, som Kommissionen i januar 2012 fremlagde forslag til[16], er en vigtig del af svaret på, hvordan personoplysninger skal beskyttes. Fem af databeskyttelsespakkens elementer er særligt vigtige.

For det første slås det i forslaget til forordning fast, at for så vidt angår territorialt anvendelsesområde, skal virksomheder, som ikke er hjemmehørende i EU, anvende EU's databeskyttelsesret, når de udbyder varer og tjenesteydelser til forbrugere i EU eller overvåger deres adfærd. Med andre ord vil den grundlæggende ret til databeskyttelse blive overholdt, uafhængigt af hvor en virksomhed eller dens databehandlingsfacilitet befinder sig[17].

For det andet, for så vidt angår de internationale overførsler, fastsættes det i forslaget til forordning, hvilke betingelser der skal være opfyldt, for at data kan overføres til lande uden for EU. Overførsler kan kun tillades, hvis betingelserne er opfyldt. De garanterer fysiske personers ret til et højt beskyttelsesniveau[18].

For det tredje, for så vidt angår retshåndhævelsen, vil de foreslåede regler omfatte sanktioner, som står i et rimeligt forhold til overtrædelsen og har afskrækkende karakter (op til 2 % af en virksomheds årlige omsætning på verdensplan), således at det sikres, at virksomhederne overholder EU-retten[19]. Troværdige sanktioner øger virksomhedens incitament til at overholde EU-retten.

For det fjerde indeholder forslaget til forordning klare regler om de forpligtelser og det ansvar, der påhviler registerførere, f.eks. cloud-udbydere, herunder vedrørende sikkerhed[20]. Som afsløringerne af de amerikanske programmer for indsamling af efterretninger har vist, er dette helt afgørende, fordi programmerne har indvirkning på data, der lagres ved cloud computing. Desuden vil virksomheder, der tilbyder oplagringsplads i clouden, og som af fremmede myndigheder anmodes om personoplysninger, ikke kunne unddrage sig deres ansvar med henvisning til, at de har status af registerførere snarere end registeransvarlige.

For det femte vil databeskyttelsespakken medføre et samlet regelsæt for beskyttelse af personoplysninger, der behandles på retshåndhævelsesområdet.

Det forventes, at der opnås enighed om databeskyttelsespakken i rette tid i 2014[21].

3.2.      En endnu sikrere safe harbor-ordning

Safe harbor-ordningen er et vigtigt element i handelsforbindelserne mellem EU og USA, og virksomheder på begge sider af Atlanten sætter deres lid til den.

I Kommissionens rapport om, hvordan safe harbor fungerer, peges der på en række svagheder ved ordningen. På grund af manglende gennemsigtighed og retshåndhævelse overholder visse virksomheder i realiteten ikke safe harbor-principperne. Det har negative konsekvenser for EU-borgerens grundlæggende rettigheder. Det stiller også europæiske virksomheder ringere i forhold til konkurrerende amerikanske virksomheder, der nok er tilsluttet ordningen, men i praksis ikke anvender dens principper. Denne svaghed går også ud over det flertal af amerikanske virksomheder, som anvender ordningen korrekt. Safe harbor kommer også til at virke som en kanal, hvorigennem virksomheder, der i henhold til de amerikanske programmer for indsamling af efterretninger skal udlevere data til amerikanske efterretningstjenester, overfører personoplysninger om EU-borgere fra EU til USA. Medmindre manglerne afhjælpes, udgør de derfor en konkurrencemæssig ulempe for erhvervslivet i EU og indvirker negativt på EU-borgernes grundlæggende ret til databeskyttelse.

Safe harbor-ordningens brister understreges af de europæiske databeskyttelsesmyndigheders svar på de nylige afsløringer af overvågning. I medfør af safe harbor-beslutningens artikel 3 kan databeskyttelsesmyndighederne på visse betingelser suspendere datastrømmene til certificerede virksomheder[22].Tyske databeskyttelsesmyndigheder har besluttet ikke at udstede nye tilladelser til dataoverførsler til lande uden for EU (f.eks. til at anvende visse cloud-tjenester). De vil også undersøge, om dataoverførsler på grundlag af safe harbor skal suspenderes[23]. Risikoen er, at sådanne foranstaltninger truffet i medlemsstaterne skaber forskelle i dækning, hvilket vil indebære, at safe harbor ikke længere vil være en nøglemekanisme for overførsel af personoplysninger mellem EU og USA.

Kommissionen har hjemmel i direktiv 95/46/EF til at suspendere eller ophæve safe harbor-beslutningen, hvis den ikke længere sikrer et tilstrækkeligt beskyttelsesniveau. I medfør af artikel 3 i safe harbor-beslutningen kan Kommissionen ophæve eller suspendere beslutningen eller begrænse dens anvendelsesområde. I henhold til artikel 4 kan beslutningen til enhver tid blive ændret på grundlag af erfaringerne i forbindelse med dens gennemførelse.

På den baggrund kan en række politiske valgmuligheder overvejes, bl.a.:

fastholdelse af status quo styrkelse af safe harbor-ordningen, hvor der foretages en grundig revision af, hvordan den fungerer suspension eller ophævelse af safe harbor-beslutningen.

I betragtning af de svagheder, der er blevet påpeget, er fastholdelse af den nuværende gennemførelse af safe harbor urealistisk. Hvis beslutningen blev ophævet, ville det imidlertid indvirke negativt på de virksomheder i EU og USA, der er tilmeldt ordningen. Kommissionen finder derfor, at safe harbor snarere bør styrkes.

Der bør sker forbedringer, både med hensyn til de strukturelle brister og med hensyn til gennemsigtighed og håndhævelse, de materielle safe harbor-principper og den måde, undtagelsesbestemmelsen vedrørende national sikkerhed fungerer på.

Konkret skal de amerikanske myndigheders overvågning af og tilsyn med de certificerede virksomheders overholdelse af safe harbor-principperne gøres mere effektiv og systematisk, hvis safe harbor skal komme til at fungere efter hensigten. De certificerede virksomheders retningslinjer for beskyttelse af privatlivets fred skal gøres mere gennemsigtige. EU-borgerne skal også sikres tilgængelige og prismæssigt overkommelige mekanismer til bilæggelse af tvister. 

Det har høj prioritet for Kommissionen hurtigt at rette henvendelse til de amerikanske myndigheder med henblik på at drøfte de brister, der har kunnet konstateres. Senest i sommeren 2014 bør det afklares, hvordan problemerne kan løses, og arbejdet hermed bør påbegyndes hurtigst muligt. På grundlag heraf vil Kommissionen gøre status over, hvordan safe harbor fungerer. Denne omfattende revision bør omfatte åbne høringer og drøftelser i Europa-Parlamentet og Rådet samt drøftelser med de amerikanske myndigheder. 

Det er også vigtigt, at safe harbor-beslutningens undtagelsesbestemmelse vedrørende national sikkerhed kun anvendes i strengt nødvendigt og forholdsmæssigt omfang.

3.3.      Styrkede garantier vedrørende databeskyttelse på retshåndhævelsesområdet

EU og USA forhandler i øjeblikket om en "paraplyaftale" vedrørende overførsler og behandling af personoplysninger inden for politisamarbejdet og det retlige samarbejde i kriminalsager. Indgåelse af en sådan aftale, hvorved der sikres et højt beskyttelsesniveau for personoplysninger, vil udgøre et stort bidrag til tillidsskabelsen på tværs af Atlanten. En styrkelse af EU-borgernes rettigheder på dataområdet vil bidrage til at styrke det transatlantiske samarbejde om at bekæmpe kriminalitet og terrorisme.

Det fremgår af afgørelsen om bemyndigelse af Kommissionen til at forhandle om paraplyaftalen, at målet med forhandlingerne bør være et sikre et højt beskyttelsesniveau i overensstemmelse med gældende EU-regler om databeskyttelse. Dette bør afspejles i de regler og garantier, der aftales, f.eks. begrænsninger i, betingelser for og varigheden af lagringen af data. I forbindelse med forhandlingerne bør Kommissionen også opnå tilsagn om rettigheder, der kan håndhæves, herunder adgang til at søge retlig oprejsning for EU-borgere, der ikke er bosiddende i USA[24]. Et nært samarbejde mellem EU og USA om at løse fælles sikkerhedsproblemer bør afspejles i bestræbelser på at sikre, at borgerne nyder samme rettigheder, når de samme data behandles til samme formål på begge sider af Atlanten. Det er også vigtigt, at undtagelser, der bygger på hensynet til national sikkerhed, defineres snævert. Derfor bør der opnås enighed om garantier og begrænsninger desangående.

Forhandlingerne giver mulighed for at præcisere, at personoplysninger som private virksomheder ligger inde med, og som befinder sig EU, ikke må tilgås direkte af eller overføres direkte til amerikanske retshåndhævende myndigheder uden om de sædvanlige samarbejdskanaler, f.eks.  aftaler om gensidig retlig bistand eller sektoraftaler mellem EU og USA, der tillader sådanne overførsler. Det bør ikke være muligt at skaffe sig adgang på anden vis, med mindre det sker i velafgrænsede undtagelsestilfælde, der kan gøres til genstand for retlig prøvelse. USA bør i den forbindelse påtage sig de nødvendige forpligtelser[25].

En "paraplyaftale" i overensstemmelse hermed bør skabe en generel ramme, der sikrer et højt beskyttelsesniveau for personoplysninger, der overføres til USA med henblik på at forebygge eller bekæmpe kriminalitet og terrorisme. I sektoraftalerne bør der, i de tilfælde hvor dataoverførslens karakter nødvendiggør det, fastsættes supplerende regler og garantier, som har PNR- og TFTP-aftalerne mellem EU og USA som forlæg, og de bør indeholde strenge betingelser for  overførsel af data samt garantier for EU-borgerne.  

3.4.      Løsning af de problemer i den amerikanske reformproces, der vækker bekymring i EU 

Den amerikanske præsident, Barack Obama, har tilkendegivet, at der skal foretages en revision af de amerikanske sikkerhedsmyndigheders aktiviteter, herunder af de gældende regler. Den igangværende proces giver en vigtig mulighed for at rejse spørgsmålet om de bekymringer, som de nylige afsløringer om de amerikanske programmer for indsamling af efterretninger har vakt. Den vigtigste ændring bør være, at de garantier, som amerikanske statsborgere og personer med bopæl i USA nyder, udstrækkes til EU-borgere, der ikke har bopæl i USA, at gennemsigtigheden i forbindelse med efterretningsvirksomhed øges, og at tilsynet styrkes yderligere. Sådanne ændringer vil genopbygge tilliden til dataudvekslingen mellem EU og USA og fremme europæernes anvendelse af internettjenester.

Med hensyn til at udstrække de garantier, som amerikanske statsborgere og personer med bopæl i USA nyder, til EU-borgere, bør der ske en revision af retsreglerne vedrørende de amerikanske overvågningsprogrammer, som i øjeblikket medfører, at amerikanske statsborgere og EU-borgere behandles forskelligt, herunder ud fra et nødvendigheds- og forholdsmæssighedsperspektiv, med det tætte transatlantiske sikkerhedsmæssige partnerskab på grundlag af fælles værdier, rettigheder og frihedsrettigheder in mente. Det vil betyde, at amerikanske programmer for indsamling af efterretninger i mindre grad vil have indvirkning på europæerne.

Der er behov for større gennemsigtighed om det retsgrundlag, som de amerikanske programmer for indsamling af efterretninger hviler på, om de amerikanske domstoles fortolkning af programmernes retsgrundlag og om det kvantitative aspekt ved de programmerne. Sådanne ændringer vil også være til gavn for EU-borgerne.

Tilsynet med de amerikanske programmer for indsamling af efterretninger vil blive forbedret, idet domstolen Foreign Intelligence Surveillance Court tildeles en stærkere rolle, og idet der indføres retsmidler, som fysiske personer kan gøre brug af. Disse mekanismer kan begrænse den behandling af europæeres personoplysninger, som ikke er relevant for den nationale sikkerhed.

3.5.        Fremme af standarder for beskyttelse af privatlivets fred

De spørgsmål, som moderne metoder til databeskyttelse rejser, begrænser sig ikke til dataoverførsel mellem EU og USA. Enhver fysisk person bør være garanteret beskyttelse af sine personoplysninger. EU-reglerne vedrørende indsamling, behandling og overførsel af data bør udbredes internationalt.

For nylig er der blevet foreslået en række initiativer til beskyttelse af privatlivets fred, særlig på internettet[26]. EU bør sikre, at de af initiativerne, der følges op på, fuldt ud tager hensyn til principperne om beskyttelse af de grundlæggende rettigheder, ytringsfrihed, personoplysninger og privatlivets fred, jf. EU-retten og EU's strategi for cybersikkerhed, og ikke undergraver friheden, åbenheden og sikkerheden i cyberspace. Det indbefatter en demokratisk og effektiv forvaltningsmodel med deltagelse af en lang række interessenter.

De igangværende reformer af databeskyttelsesretten på begge sider af Atlanten giver EU og USA en enestående mulighed for at lægge standarden internationalt. Dataudveksling på tværs af og hinsides Atlanten vil have stor gavn af en styrkelse af det amerikanske retsgrundlag, herunder vedtagelsen af loven "Consumer Privacy Bill of Rights", som præsident Obama bebudede i februar 2012 som led i en omfattende plan for bedre beskyttelse af forbrugernes privatliv. Et sæt af stærke databeskyttelsesregler, som kan håndhæves, og som er knæsat i både EU og USA, vil udgøre et solidt grundlag for datastrømmene på tværs af grænserne.

Med henblik på at fremme standarder for beskyttelse af privatlivets fred bør tiltrædelse af Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger ("konvention nr. 108") også nyde fremme. Konventionen er åben for tiltrædelse af lande, der ikke er medlemmer af Europarådet [27]. De garantier, der opnås enighed om i internationale fora, bør medføre et sikkerhedsniveau, som er højt og foreneligt med EU-rettens krav.

4.            Konklusioner og anbefalinger

De problemer, som denne meddelelse peger på, kræver handling både fra USA's, EU's og EU's medlemsstaters side.

Bekymringerne vedrørende transatlantisk dataudveksling bør først og fremmest tjene som en advarsel til EU og medlemsstaterne om, at der hurtigt skal skabes fremdrift hen imod en ambitiøs databeskyttelsesreform. De viser, at en stærk lovgivningsramme med klare regler, der kan håndhæves, herunder i de tilfælde hvor data overføres til lande uden for EU, aldrig har været mere påkrævet. Derfor bør EU's institutioner fortsat arbejde hen imod vedtagelsen af EU's databeskyttelsesreform i foråret 2014, således at personoplysninger kan nyde effektiv og omfattende beskyttelse.

I lyset af hvor vigtige de transatlantiske datastrømme er, er det afgørende, at de instrumenter, på hvilke en sådan dataudveksling bygger, på passende vis takler de udfordringer og udnytter de muligheder, som den digitale tidsalder og de teknologiske nybrud som cloud computing frembyder. De nuværende og fremtidige ordninger og aftaler bør indeholde garanti for et fortsat højt beskyttelsesniveau tværs over Atlanten.

En solid safe harbor-ordning er både i europæiske og amerikanske borgeres og virksomheders interesse. Den bør styrkes, på kort sigt gennem bedre overvågning og gennemførelse, og på grundlag heraf gennem en omfattende revision af, hvordan den fungerer. Det er nødvendigt med forbedringer, der sikrer, at safe harbor-beslutningens oprindelig mål, dvs. kontinuitet i databeskyttelsen, retssikkerhed og fri dataudveksling  mellem EU og USA, nås.

Forbedringerne bør fokusere på behovet for, at de amerikanske myndigheder fører bedre tilsyn med og overvåger, at selvcertificerede virksomheder overholder safe harbor-principperne til beskyttelse af privatlivets fred.

Det er også vigtigt, at anvendelsen af safe harbor-beslutningens undtagelse vedrørende national sikkerhed begrænses til det strengt nødvendige og forholdsmæssige.

På retshåndhævelsesområdet bør de igangværende forhandling om en "paraplyaftale" munde ud i et højt beskyttelsesniveau for borgerne på begge sider af Atlanten. En sådan aftale vil styrke europæernes tillid til dataudvekslingen mellem EU og USA og lægge grunden til en yderligere udbygning af sikkerhedssamarbejdet og partnerskabet mellem EU og USA. Under forhandlingerne bør der skaffes tilsagn om, at europæere, der ikke har bopæl i USA gives retssikkerhedsgarantier, herunder adgang til at søge retlig oprejsning.

Den amerikanske regering bør forpligte sig til, at personoplysninger, som private virksomheder ligger inde med i EU, ikke må tilgås direkte af eller overføres direkte til amerikanske retshåndhævende myndigheder uden om de formelle samarbejdskanaler, f.eks. aftaler om gensidig retlig bistand eller sektoraftaler mellem EU og USA, som PNR-aftalen og TFTP-aftalen, der tillader sådanne overførsler på strenge betingelser, undtagen i velafgrænsede undtagelsestilfælde, der kan gøres til genstand for retlig prøvelse.  

USA bør også udstrække de garantier, som amerikanske statsborgere og personer med bopæl i USA nyder, til EU-borgere, der ikke har bopæl i USA, samt sikre, at programmerne udelukkende har et nødvendigt og forholdsmæssigt omfang, og at der er større gennemsigtighed i og tilsyn retsgrundlaget for de amerikanske sikkerhedsmyndigheder.

De spørgsmål, der behandles i denne meddelelse, fordrer, at der fra begge sider af Atlanten samarbejdes konstruktivt. I fællesskab, som strategiske partnere, kan EU og USA overvinde de øjeblikkelige spændinger i det transatlantiske forhold og genopbygge tilliden til datastrømmene mellem EU og USA. Ved i fællesskab at forpligte sig til yderligere samarbejde på disse områder vil det transatlantiske forhold blive styrket generelt.

[1]               I denne meddelelse forstås ved EU-borgere også registrerede personer, der ikke er EU-borgere, men som er omfattet af Den Europæiske Unions forskrifter om databeskyttelse.

[2]               Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium, EFT L 215 af 25.8.2000, s. 7.

[3]               Rådets afgørelse 2009/820/FUSP af 23. oktober 2009 om indgåelse på Den Europæiske Unions vegne af aftalen mellem Den Europæiske Union og Amerikas Forenede Stater om udlevering og aftalen mellem Den Europæiske Union og Amerikas Forenede Stater om gensidig retshjælp, EUT L 291 af 7.11. 2009, s. 40.

[4]               Rådets afgørelse 2012/472/EU af 26. april 2012 om indgåelse af aftalen mellem Amerikas Forenede Stater og Den Europæiske Union om anvendelse og overførsel af passagerlisteoplysninger til United States Department of Homeland Security, EUT L 215 af 11.8.2012, s. 4.

[5]               Rådets afgørelse af 13. juli 2010 om indgåelse af aftalen mellem Den Europæiske Union og Amerikas Forenede Stater om behandling og overførsel af finansielle betalingsdata fra Den Europæiske Union til USA til brug for programmet til sporing af finansiering af terrorisme, EUT L 195 af 27.7.2010, s. 3.

[6]               Rådet vedtog en afgørelse om at bemyndige Kommissionen til at føre forhandlinger om aftalen den 3. december 2010. Se IP/10/1661 af 3. december 2010.

[7]               Se Boston Consulting Group: “The Value of our Digital Identity”, november 2012.

[8]               Se McKinsey: "Big data: The next frontier for innovation, competition, and productivity", 2011.

[9]               Meddelelsen "Udnyttelse af potentialet ved cloud computing i Europa", COM(2012) 529 final.

[10]             Eksempelvis det samlede antal besøg på Microsoft Hotmail, Google Gmail ogYahoo! Der blev således sendt over 227 mio. e-mails fra europæiske lande i juni 2012. Det er mere end fra alle andre udbydere tilsammen. Europæiske brugere besøgte i alt Facebook og Facebook Mobile 196,5 mio. gange i marts 2012. Dermed er Facebook det største sociale netværk i Europa. Google er den førende internetsøgemaskine (90 % af internetbrugerne på verdensplan). I juni 2013 anvendte 91 % af IPhone-brugerne i Tyskland den amerikanske beskedtjeneste til mobilt udstyr What's App.

[11]             Se Den Europæiske Unions Domstols dom i sag C-300/11, ZZ mod Secretary of State for the Home Department.

[12]             Artikel 4, stk. 2 i traktaten om Den Europæiske Union.

[13]             Se eksempelvis safe harbor-beslutningens bilag I.

[14]             Se den fælles rapport fra Kommissionen og det amerikanske finansministerium om værdien af de data, som tilvejebringes som følge af aftalen om behandling og overførsel af oplysninger om finansielle transaktioner med henblik på bekæmpelse af terrorisme (TFTP) i henhold til artikel 6, stk. 6, i aftalen mellem Den Europæiske Union og Amerikas Forenede Stater om behandling og overførsel af finansielle betalingsdata fra Den Europæiske Union til USA til brug for programmet til sporing af finansiering af terrorisme.

[15]             Se Kommissionens rapport om den fælles gennemgang: "Joint review of the implementation of the Agreement between the European Union and the United States of America on the processing and transfer of  passenger name records to the United States Department of Homeland Security".

[16]             COM(2012) 10 final: Forslag til Europa-Parlamentets og Rådets direktiv om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger, Bruxelles, den 25.1.2012, COM(2012) 11 final: Forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse).

[17]             Kommissionen har bemærket sig, at Europa-Parlamentet bekræftede og styrkede dette vigtige princip, der er fastsat i artikel 3 i forslaget til forordning, ved afstemningen den 21. oktober 2013 om MEP Jan-Philipp Albrecht og Dimitrios Droutsas betænkninger om databeskyttelsesreformen.

[18]             Kommissionen har bemærket sig, at Europa-Parlamentets Udvalg om Borgernes Rettigheder og Retlige og Indre Anliggender ved afstemningen den 21. oktober 2013 foreslog at indsætte en bestemmelse i den kommende forordning, der vil forpligte fremmede myndigheder, der anmoder om adgang til personoplysninger, der er indsamlet i EU, til at indhente forudgående tilladelse fra en national databeskyttelsesmyndighed, når en sådan anmodning fremsættes uden for rammerne af en aftale om gensidig retlig bistand eller en anden international aftale. 

[19]             Kommissionen har bemærket sig, at Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender ved afstemningen den 21. oktober 2013 foreslog at skærpe Kommissionens forslag ved at foreskrive bøder på op til 5 % af en virksomheds årlige omsætning på verdensplan.

[20]             Kommissionen bemærker sig, at  Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender ved afstemningen den 21. oktober 2013 gav sin tilslutning til en skærpelse af de forpligtelser og det ansvar, der påhviler registerførere, særlig i artikel 26 i forslaget til forordning.

[21]             I konklusionerne fra Det Europæiske Råds møde i oktober 2013 hedder det: "Det er vigtigt at fremme borgernes og virksomhedernes tillid til den digitale økonomi. Rettidig vedtagelse af nogle stærke, generelle EU-rammebestemmelser for databeskyttelse og af direktivet om cybersikkerhed er afgørende for gennemførelsen af det digitale indre marked senest i 2015."

[22]             Konkret kan sådanne suspensioner i henhold til artikel 3 i safe harbor-beslutningen ske i tilfælde, hvor der er stor sandsynlighed for, at principperne overtrædes, når der er tilstrækkelig grund til at antage, at det pågældende organ ikke træffer eller ikke agter at træffe passende og betimelige foranstaltninger for at løse den pågældende sag, når der ved fortsat overførsel af personoplysninger er stor risiko for på betydelig vis at skade de registrerede, eller når de kompetente myndigheder i medlemsstaterne forholdene taget i betragtning på passende vis har bestræbt sig på at underrette det pågældende foretagende og give det mulighed for at svare.

[23]             Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, pressemeddelelse af 24. juli 2013.

[24]             Se de relevante afsnit af den fælles pressemeddelelse i forbindelse med møderne på ministerplan (retlige og indre anliggender) mellem EU og USA den 18. november 2013 i Washington: "Vi er derfor fast besluttet på hurtigt at skabe hurtig fremdrift i forhandlingerne om en betydningsfuld og omfattende paraplyaftale om databeskyttelse på retshåndhævelsesområdet. Aftalen vil udgøre grundlaget for  smidigere overførsler af data inden for politisamarbejde og retligt samarbejde i kriminalsager ved at sikre amerikanske borgere og EU-borgere et højt beskyttelsesniveau for personoplysninger. Vi er fast besluttet på at løse alle udestående spørgsmål, som er blevet rejst af en af parterne, herunder adgang til at søge retlig oprejsning (et afgørende spørgsmål for EU). Det er vores mål at afslutte forhandlingerne om aftalen inden sommeren 2014."

[25]             Se de relevante afsnit af den fælles pressemeddelelse i forbindelse med møderne på ministerplan (retlige og indre anliggender) mellem EU og USA den 18. november 2013 i Washington: "Vi vil også gerne understrege, hvor vigtig  aftalen om gensidig retlig bistand er. Vi gentager, at vi er fast besluttede på at sikre, at aftalen anvendes bredt og effektivt med henblik på bevisførelse i straffesager. Vi drøftede også behovet for at præcisere, at retshåndhævende myndigheder ikke må skaffe sig adgang til personoplysninger, som private enheder ligger inde med i den anden parts område, uden om de lovlige kanaler. Vi er endvidere enige om at foretage en revision af, hvordan aftalen om gensidig retlig bistand fungerer, således som aftalen lægger op til, og at konsultere hinanden, når som helst det er påkrævet."

[26]          Se i den forbindelse det forslag til resolution om beskyttelse af privatlivets fred online og offline, som Tyskland og Brasilien har fremsat i FN's Generalforsamling.

[27]             USA er allerede part i en anden af Europarådets konventioner, nemlig konvention om IT-kriminalitet fra 2001 (også kaldet Budapestkonventionen).