US CLOUD Act är en omdiskuterad amerikansk lag som gör det möjligt för amerikanska myndigheter att begära ut data som lagras utanför USA:s territorium från tjänsteleverantörer som omfattas av USA:s jurisdiktion. Det är klarlagt att lagen gäller för amerikanska molntjänstleverantörer och deras utländska dotterbolag. En annan fråga är däremot om även europeiska molntjänstleverantörer omfattas av CLOUD Act och, i förlängningen, skyldigheten att lämna ut data till amerikanska myndigheter.
Svaret på frågan beror på om det europeiska företaget omfattas av USA:s jurisdiktion. Amerikanska domstolars behörighet över utländska enheter bestäms alltid utifrån omständigheterna i det enskilda fallet. Generellt beaktar domstolarna omfattningen och intensiteten av de kontakter som ett visst företag har med USA. Man skiljer mellan general och specific personal jurisdiction, där antagandet av general personal jurisdiction förutsätter intensivare kontakter med USA än specific personal jurisdiction. General personal jurisdiction ger domstolarna rätt att tillåta alla typer av stämningar mot ett företag.
Gällande frågan om även ett europeiskt företag som lagrar sina serverdata i EU omfattas av amerikanska domstolars jurisdiktion, avgörs detta utifrån typen och omfattningen av företagets affärsrelationer i USA. Enligt amerikansk rättspraxis är det inte tillräckligt att ett europeiskt företag driver ett dotterbolag i USA för att motivera antagandet om general personal jurisdiction. Ett förvaltningskontor för moderbolaget kan däremot vara tillräckligt.
Gällande specific personal jurisdiction kan det emellertid vara tillräckligt att driva en webbplats som riktar sig till amerikanska kunder eller som inte uttryckligen utesluter dessa från åtkomst till webbplatsen för att omfattas. För en molntjänstleverantör kan det således vara tillräckligt att erbjuda sina tjänster till amerikanska kunder för att omfattas av specific personal jurisdiction.
Detta innebär att det inte är uteslutet att en europeisk molntjänstleverantör kan komma att omfattas av amerikansk jurisdiktion och, i förlängingen, skyldigheterna i CLOUD Act och besläktad lagstiftning att lämna ut data till amerikanska myndigheter. Denna fråga behöver bland annat beaktas vid valet av molntjänstleverantörer, till exempel i samband med upphandling eller outsourcing, vid implementering av säkerhetsåtgärder och vid riskbedömningar kopplade till användningen av molntjänster.
TechLaw tillhandahåller ledande juridisk rådgivning inom dataskydd och integritet för privata företag och offentliga verksamheter. Vi bistår med tredjelandsöverföring, konsekvensbedömningar, riskbedömningar, åtgärder för regelefterlevnad och tillsynsärenden. Kontakta oss gärna för vidare rådgivning.