Overførsel af personoplysninger til USA kan fortsætte

EU-Domstolen (General Court) har den 3. september 2025 afvist et søgsmål, der forsøgte at få underkendt EU-Kommissionens tilstrækkelighedsafgørelse om EU-U.S. Data Privacy Framework (DPF). Afgørelsen bekræfter, at DPF fortsat udgør et gyldigt og lovligt overførselsgrundlag for personoplysninger til USA, og at amerikanske virksomheder certificeret under DPF kan modtage data uden, at eksportører i EU skal iværksætte supplerende foranstaltninger. 

Afgørelsen skaber øget retssikkerhed for danske og europæiske virksomheder og myndigheder, som benytter amerikanske databehandlere fx cloudtjenester. 

Baggrunden for sagen

Sagen blev anlagt af det franske parlamentsmedlem Philippe Latombe, der også er kommissær i den franske databeskyttelsesmyndighed (CNIL) og en stærk fortaler for europæisk suverænitet. Han anlagde imidlertid sagen i sin egenskab af EU-borger og anfægtede gyldigheden af DPF med henvisning til, at:

• Den nye amerikanske klageinstans Data Protection Review Court (DPRC) ikke var uafhængig. 
• USA’s efterretningsaktiviteter fortsat ikke lever op til EU’s krav til proportionalitet og nødvendighed. 

EU-domstolen afviste dog kritikken og fandt, at: 

• DPRC er etableret som en uafhængig og bindende instans. 
• Der ikke var dokumentation for manglende uafhængighed på tidspunktet for tilstrækkelighedsafgørelsen. 
• De amerikanske regler (Executive Order 14086 m.fl.) giver tilstrækkelige garantier for EU-borgeres rettigheder. 

Hvad betyder afgørelsen i praksis? 

Den væsentligste konsekvens af afgørelsen er, at EU-Kommissionens tilstrækkelighedsafgørelse fra juli 2023 forbliver gældende. Det betyder, at: 

• Organisationer og myndigheder fortsat lovligt kan overføre personoplysninger til DPF-certificerede amerikanske virksomheder, uden at skulle anvende supplerende overførselsgarantier som fx standardkontrakter (SCC’er). 
• Virksomheder der har indrettet sig efter DPF siden juli 2023, kan fortsætte uændret. 

Vigtige forhold for danske virksomheder at være opmærksom på

• Det er et krav, at modtageren i USA er aktivt certificeret under DPF. Certificeringsstatus kan til enhver tid kontrolleres via U.S. Department of Commerce’s officielle liste. 
• Hvis modtageren i USA ikke er DPF-certificeret, skal der anvendes andre overførselsgrundlag (fx SCC’er), og det anbefales, at der fortsat gennemføres Transfer Impact Assessment (TIA). 
• EU-Kommissionen skal løbende overvåge, at beskyttelsesniveauet opretholdes. Hvis der sker ændringer i amerikansk lovgivning eller praksis, kan tilstrækkelighedsafgørelsen ændres eller suspenderes. Det er derfor vigtigt at følge udviklingen. 

Det er i den forbindelse værd at bemærke, at EU’s General Court vurderede sagen på baggrund af de faktiske og retlige oplysninger, der forelå i juli 2023, som er tidspunktet for vedtagelsen af tilstrækkelighedsafgørelsen. 

Præsident Donald Trump afsatte i 2025 tre og af i alt fire medlemmer af PCLOB (Privacy and Civil Liberties Oversight Board), der fungerer som et uafhængigt kontrolorgan, der vurderer lovligheden og proportionaliteten af amerikanske overvågningsprogrammer. 

Denne nedskæring kan fremover få betydning for opretholdelsen af DPF. Det er derfor også forventningen, at afgørelsen bliver anket til EU-Domstolen.

Anbefalinger

PwC anbefaler at virksomheder og myndigheder: 

• Identificerer og kortlægger alle tredjelandsoverførsler, herunder overførsler til USA.
• Overvejer at implementere supplerende foranstaltninger i overensstemmelse med EDPB’s anbefalinger fra juni 2021.
• Sikrer og dokumenterer, at alle amerikanske modtagere er certificeret under DPF.
• Etablerer øvrige overførselsgrundlag (fx SCC’er), hvis modtageren ikke er certificeret under DPF, og eventuelt gennemfører Transfer Impact Assessment (TSA). 
• Opdaterer interne overførselsprocedurer og databehandleraftaler, så de afspejler brugen af DPF som overførselsgrundlag. 
• Overvejer governance-tiltag, der sikrer løbende kontrol med overførsler og certifikater, samt en plan for exit, hvis DPF ophører, fx anvendelse af alternative europæiske cloududbydere.