Schrems II är den dom EU-domstolen meddelade den 16 juli 2020 (mål C-311/18) i ett ärende som drevs av den österrikiske juristen Max Schrems. Domen ogiltigförklarade EU–US Privacy Shield-överenskommelsen och har sedan dess haft långtgående konsekvenser för all överföring av personuppgifter från EU/EES till tredje land – särskilt USA.
Domens kärna
EU-domstolen slog fast att amerikansk lagstiftning – framför allt FISA 702 och CLOUD Act – inte ger ett tillräckligt skydd för EU-medborgares personuppgifter eftersom amerikanska myndigheter kan kräva ut data utan att den registrerade har effektiva rättsmedel. Detta innebär att standardavtalsklausuler (SCC) fortfarande är giltiga som rättslig grund, men personuppgiftsansvariga måste göra en bedömning av om mottagarlandets lagstiftning är likvärdig och vidta tilläggsskyddsåtgärder vid behov.
Implikationer för svenska organisationer
Transferbedömning: Vid varje överföring till tredje land ska en Transfer Impact Assessment (TIA) göras.
Tilläggsskydd: Tekniska skydd som stark kryptering där bara kunden har nyckeln, pseudonymisering och splittring av data.
EU–US Data Privacy Framework (DPF): Ett nytt ramverk som trädde i kraft 2023 och som certifierade amerikanska företag kan ansluta sig till.
Datalokalisering: Många organisationer väljer EU-regioner och sovereign cloud-lösningar för känsliga arbetsbelastningar.
Schrems II har också ökat intresset för data sovereignty och driver utvecklingen mot europeiska molninitiativ som GAIA-X och Microsoft EU Data Boundary.