Da det i sommer blev annonceret, at EU og USA havde indgået aftale om overførsler af persondata mellem de to regioner kaldet Data Privacy Framework (DPF), blev det hurtigt meldt ud, at privacy-aktivisten Max Schrems og hans organisation NOYB ville lægge sag an inden for få måneder.
Schrems og hans organisation var trods alt dem, der væltede de to foregående dataoverførselsaftaler, som hed Safe Harbor og Privacy Shield. Så dette bliver tredje gang, de forsøger.
Én kom dog Schrems og co. i forkøbet.
Det franske parlamentsmedlem Philippe Latombe fra partiet Mouvement Démocrate (MoDem) lagde tidligere i september sag an ved EU-retten for at få Data Privacy Framework annulleret.
"Teksten, der er resultatet af disse forhandlinger, overtræder unionens charter om grundlæggende rettigheder på grund af utilstrækkelige garantier for respekt for privat- og familieliv med hensyn til masseindsamling af persondata og den generelle databeskyttelsesforordning (GDPR)," lyder det i erklæringen fra Latombe.
Nu har endnu en front meldt sig som kritikere – nemlig tyske parlamentarikere.
Maximilian Funke-Kaiser, der er medlem af tyske Bundestag, hvor han er digitaliseringsordførere partiet FDP (Freie Demokratische Partei), forholder sig ligeledes kritisk til aftalen.
"En juridisk gennemgang er ikke uventet for mig, da personlige data fra Europa ikke nyder samme niveau af beskyttelse i alle aspekter i USA som i EU, selv efter genudgivelsen af Privacy Shield," siger han til Euractiv.
Han uddyber, at den igangværende juridiske gennemgang "er lige så irriterende, som den er nødvendig i forbindelse med det presserende behov for klare spilleregler for virksomheder".
Og han er ikke den eneste, der er kritisk overfor aftalen.
"Databeskyttelsesniveauet i USA er stadig utilstrækkeligt. Så det er kun logisk, at den nuværende aftale også bliver udfordret i retten,” siger Petra Sitte, teknologipolitisk ordfører for det tyske venstreparti Die Linke, til Euractiv.
Franziska Hoppermann fra tyske CDU er ligeledes bekymret for databeskyttelse og mener, at retssagerne var forudsigelige, men fastslår dog ifølge mediet, at det er vigtigt at "skabe et kontraktmæssigt sikkert og rent grundlag for dataudveksling, især mellem de store aktører, USA og Europa."
Aftalen har fået kritik
DPF-aftalen går helt simpelt ud på, at de amerikanske virksomheder kan leve op til en række kriterier, og så så kan de komme på en godkendelsesliste, hvorefter det er tilladt at sende data fra Europa til disse virksomheder.
Dette er vigtigt, da de fleste tech-giganter og langt det mest af cloud-markedet er i USA.
Aftalen har dog mødt kritik, da den klageinstans EU-borgere skal henvende sig til i USA kaldet Data Protection Review Court anses for en for svag myndighed uden reel dømmende magt.
"Nu har vi nok et år til halvandet, hvor amerikanske cloud-udbydere på denne her aftale er lovlige, og så må vi se, hvad der sker derefter, og om de fortsætter med at være lovlige. Det afhænger rigtig meget af, om vi i EU accepterer den amerikanske domstol – Review Court – som en domstol."
Sådan sagde Morten Eeg Ejrnæs Nielsen, der er næstformand i Danmarks DPO Foreningen og security advisor hos Globeteam, til Computerworld tilbage i juli måned, da aftalen blev indgået.
Samme kritik har David Ulrik Kristiansen, der er bestyrelsesmedlem af Danmarks DPO-forening og chef for GRC hos Prueba Cybersecurity, givet til klageinstansen.
Derudover påpeger han, at den nye aftale kun – indtil videre – løser problemerne med tredjelandsoverførsler, men at der fortsat skal foretages risikovurdering, og at der fortsat skal være videregivelseshjemmel til at videregive personoplysninger.
"Jeg tror, der kommer et opgør i form af Schrems III, og jeg tror, at NOYB har en bedre sag end tidligere, fordi alle de rådgivende organerne rundt om politikkerne har rystet mere på hånden end tidligere," sagde han til Computerworld i juli måned.
Da Max Schrems og NOYB fældede de too seneste overførselsaftaler ved retten fik dommene navnene Schrems I og II.
Schrems III vil derfor være den tredje dom i rækken.