Varför den amerikanska CLOUD Act är ett problem och en risk för Europa och resten av världen: En lag med långtgående konsekvenser

Varför den amerikanska CLOUD Act är ett problem och en risk för Europa och resten av världen: En lag med långtgående konsekvenser

Denna artikel analyserar den amerikanska lagen Clarifying Lawful Overseas Use of Data (CLOUD) Act från 2018 och dess långtgående konsekvenser för globalt dataskydd, datasuveränitet och internationellt samarbete. CLOUD Act ger amerikanska myndigheter befogenhet att kräva att amerikanska kommunikations- och molntjänstleverantörer lämnar ut data som de besitter, förvarar eller kontrollerar, oavsett var informationen fysiskt lagras – inklusive utanför USA. Denna extraterritoriella räckvidd strider i grunden mot dataskyddssystem som Europeiska unionens allmänna dataskyddsförordning (GDPR), särskilt dess regler om internationella dataöverföringar (artikel 48 i GDPR).

Analysen visar att CLOUD Act skapar betydande rättslig osäkerhet för globalt verksamma företag som står inför motstridiga rättsliga krav. Den undergräver förtroendet för amerikanska teknikleverantörer och etablerade dataöverföringsmekanismer, ett problem som förvärrats av EU-domstolens Schrems II-dom. Utöver Europa medför lagen risker för statlig övervakning, industrispionage och konflikter med lokala rättssystem världen över.

Det globala beroendet av stora amerikanska molnleverantörer (AWS, Microsoft Azure, Google Cloud) är enormt, särskilt i Nordamerika och Europa. Samtidigt utvecklar länder som Kina och Ryssland slutna digitala ekosystem med starka lokala leverantörer och strikt reglering, vilket minskar deras beroende. Andra nationer och regioner, inklusive EU med initiativ som Gaia-X och Data Act, tillämpar olika strategier för riskreducering, allt från lagar om datalokalisering och främjande av lokala alternativ till att förhandla om bilaterala avtal med USA.

Trots det legitima behovet av att påskynda gränsöverskridande brottsbekämpning – ett centralt mål med CLOUD Act med tanke på hur långsamma traditionella förfaranden för ömsesidig rättslig hjälp är – menar många kritiker att lagen inte lyckas skapa en tillfredsställande balans mellan effektivt brottsförebyggande åtgärder och skyddet av grundläggande rättigheter och nationell suveränitet. Rapporten avslutas med rekommendationer för företag och beslutsfattare om hur man navigerar i detta komplexa landskap.

Relaterat till detta:

• Beroende av det amerikanska molnet? Tysklands kamp om molnet: Hur de planerar att konkurrera med AWS (Amazon) och Azure (Microsoft)

Den amerikanska CLOUD Act och dess inverkan på europeisk datasuveränitet

Den pågående digitaliseringen och den därmed sammanhängande förskjutningen av databehandling och lagring till globala leverantörers molninfrastrukturer har fundamentalt förändrat hur företag och offentliga förvaltningar verkar. I synnerhet har tjänsterna från de stora amerikanska hyperscalerarna – Amazon Web Services (AWS), Microsoft Azure och Google Cloud Platform (GCP) – blivit en integrerad del av den digitala infrastrukturen i många länder. Denna utveckling erbjuder enorm potential för effektivitet och innovation, men skapar samtidigt nya och komplexa utmaningar för dataskydd, datasäkerhet och skyddet av nationell suveränitet.

Detta problem förvärrades avsevärt av antagandet av den amerikanska lagen Clarifying Lawful Overseas Use of Data (CLOUD) Act i mars 2018. Denna amerikanska federala lag ger amerikanska brottsbekämpande och utredningsmyndigheter breda befogenheter att få tillgång till data som lagras och hanteras över hela världen av amerikanska företag eller företag under amerikansk jurisdiktion. Kärnproblemet ligger i lagens uttryckliga extraterritoriella tillämpningsområde: Amerikanska myndigheter kan kräva att data lämnas ut även om de finns på servrar utanför USA.

Denna lagbestämmelse leder till direkta och grundläggande konflikter med etablerade dataskyddssystem i andra länder, framför allt Europeiska unionens allmänna dataskyddsförordning (GDPR). Möjligheten att amerikanska myndigheter får tillgång genom att kringgå internationellt överenskomna förfaranden för ömsesidig rättslig hjälp och potentiellt utan att följa strikta europeiska dataskyddsstandarder väcker betydande oro gällande statlig övervakning, industrispionage och urholkning av digital suveränitet. CLOUD Act anses därför allmänt vara problematisk och en risk för företag och medborgare, inte bara i Europa utan över hela världen.

Denna artikel syftar till att ge en omfattande och välgrundad analys av den amerikanska CLOUD Act och dess globala inverkan. Den analyserar lagens centrala mekanismer och dess extraterritoriella dimension. Särskilt fokus läggs på en detaljerad granskning av potentiella konflikter med EU:s allmänna dataskyddsförordning (GDPR) och de resulterande konsekvenserna för europeisk datasuveränitet, även mot bakgrund av EU-domstolens (ECJ:s) rättspraxis, särskilt Schrems II-domen. Vidare belyses riskerna och de potentiella negativa konsekvenserna för länder utanför Europa. Rapporten kartlägger det globala landskapet av beroende av amerikanska molnleverantörer, identifierar regioner med högt respektive lågt beroende och jämför de strategier som olika länder använder för att hantera de utmaningar som CLOUD Act medför.

Strukturen i denna artikel följer detta mål: Efter denna introduktion förklarar det andra kapitlet i detalj de centrala bestämmelserna och det extraterritoriella tillämpningsområdet för CLOUD Act. Det tredje kapitlet tar upp konflikten mellan CLOUD Act, GDPR och europeisk datasuveränitet. Kapitel fyra undersöker de globala riskerna och konsekvenserna utanför Europa. Det femte kapitlet kartlägger det globala beroendet av amerikanska molnleverantörer, medan det sjätte kapitlet jämför nationella strategier och svar på CLOUD Act. En syntes av resultaten och en slutsats bildar det sjunde kapitlet, följt av rekommendationer för åtgärder i det åttonde kapitlet.

US CLOUD Act: Kärnbestämmelser och extraterritoriell räckvidd

Lagen om klargörande av laglig användning av data utomlands (CLOUD) utgör betydande lagstiftning gällande amerikanska myndigheters gränsöverskridande dataåtkomst. För att fullt ut förstå dess konsekvenser är en noggrann granskning av dess rättsliga grund, dess funktion och särskilt dess extraterritoriella anspråk avgörande.

Rättslig grund och funktionalitet

CLOUD Act antogs den 23 mars 2018 som en del av en omfattande budgetproposition (Consolidated Appropriations Act, 2018, Public Law 115-141, Division V) och trädde i kraft omedelbart. Den skapar inte en helt ny rättslig ram utan ändrar främst befintliga lagar, särskilt Stored Communications Act (SCA) från 1986, som är en del av Electronic Communications Privacy Act (ECPA). SCA reglerar de villkor under vilka amerikanska myndigheter får åtkomst till lagrade elektroniska kommunikationsdata som innehas av tjänsteleverantörer.

Kärnan i CLOUD Act, kodifierad i bland annat 18 U.S.C. §§ 2713 och 2523, ålägger leverantörer av elektroniska kommunikationstjänster (ECS) och fjärrdatortjänster (RCS) som omfattas av amerikansk jurisdiktion att följa order om att säkra, säkerhetskopiera eller lämna ut innehållet i elektronisk kommunikation, såväl som metadata eller annan information om kunder eller abonnenter. Denna skyldighet gäller data som leverantören besitter, förvarar eller kontrollerar. Amerikansk jurisdiktion kan också omfatta leverantörer vars huvudsakliga verksamhetsort inte är i USA, men som har en tillräcklig koppling till USA, till exempel genom affärsrelationer, en amerikansk filial eller avtal med amerikanska kunder.

Det avgörande förtydligandet som CLOUD Act ger är att denna skyldighet att lämna ut data gäller oavsett om uppgifterna i fråga finns inom eller utanför USA (”oavsett om sådan kommunikation, registrering eller annan information finns inom eller utanför USA”).

Katalysatorn för denna lagstiftning var främst den rättsliga tvisten United States v. Microsoft Corp. (ofta kallad "Microsoft Ireland-fallet"). I det här fallet vägrade Microsoft att överlämna en kunds e-postmeddelanden som lagrats på en server i Irland till FBI och hävdade att amerikanska häktningsorder inte hade någon extraterritoriell effekt och att Security Compliance Agreement (SCA) inte gällde för data utanför USA. Fallet nådde Högsta domstolen, men togs upp genom antagandet av CLOUD Act, som avgjorde den rättsliga frågan till regeringens fördel.

Det är viktigt att betona att CLOUD Act, enligt den amerikanska regeringen och stödjande organisationer, inte utgör en licens för massövervakning eller godtycklig dataåtkomst. Åtkomstorder (vanligtvis baserade på "sannolika skäl" eller stämningar) måste fortfarande uppfylla rättsstatskraven i amerikansk lag, vara specifika och vara föremål för rättslig prövning. De är begränsade till data som kan vara relevanta i samband med specifika brottsutredningar ("allvarligt brott, inklusive terrorism"). Dessutom skapar CLOUD Act uttryckligen ingen skyldighet för leverantörer att dekryptera data om de endast innehar dem i krypterad form och inte kontrollerar nycklarna.

Extraterritoriell tillämpning och jurisdiktionsanspråk

Den centrala och mest kontroversiella innovationen i CLOUD Act är den rättsliga förankringen av den extraterritoriella räckvidden för amerikanska åtkomstbeslut. Lagen förtydligar att skyldigheten att lämna ut data finns för leverantörer under amerikansk jurisdiktion, oavsett den fysiska platsen där uppgifterna lagras.

Denna ståndpunkt bygger på den etablerade rättsprincipen att en stat kan tvinga företag under dess jurisdiktion att lämna ut information som den kontrollerar, även om informationen lagras utomlands. CLOUD Act kodifierar denna princip specifikt för elektronisk kommunikationsdata i samband med SCA.

Detta mycket ensidiga anspråk på extraterritoriell åtkomst är den främsta källan till internationell oro och rättsliga konflikter, särskilt i förhållande till Europeiska unionen och dess allmänna dataskyddsförordning (GDPR). Det uppfattas som ett intrång i andra staters suveränitet och som ett potentiellt kringgående av etablerade internationella förfaranden för rättslig hjälp.

Avtal om exekutiva tjänster som alternativ till avtal om ömsesidig rättshjälp

Förutom att klargöra den extraterritoriella räckvidden av amerikanska order introducerar CLOUD Act en andra viktig mekanism: Den ger den amerikanska verkställande makten (presidenten eller regeringen) befogenhet att ingå bilaterala avtal, så kallade "Executive Agreements", med "kvalificerade" utländska regeringar.

Det uttalade syftet med dessa avtal är att påskynda och effektivisera gränsöverskridande dataåtkomst i syfte att åtala allvarliga brott (inklusive terrorism). De är avsedda att tillhandahålla ett alternativ eller komplement till traditionella avtal om ömsesidig rättslig hjälp (MLAT), vars förfaranden ofta kritiseras för att vara för långsamma och byråkratiska för att hålla jämna steg med den digitala brottslighetens hastighet.

Kärnmekanismen i dessa exekutiva avtal är att eliminera rättsliga hinder ("lagkonflikter" eller "rättsliga begränsningar") som kan hindra leverantörer från att följa lagliga order från partnerlandet. Mer specifikt skulle ett sådant avtal tillåta, till exempel, en amerikansk leverantör att direkt följa en order från Storbritannien utan att bryta mot amerikansk lag (t.ex. SCA:s begränsningar av utlämnande), och vice versa. Myndigheterna i varje land skulle således kunna använda sina egna nationella förfaranden för att begära uppgifter från leverantören i det andra landet.

USA kan bara ingå sådana avtal med stater som anses vara "kvalificerade". Detta kräver intyg från den amerikanska justitieministern och kongressens utrikesminister att partnerlandet i fråga har robusta materiella och processuella skyddsåtgärder för integritet och medborgerliga friheter och tillämpar dem i praktiken. Partnerlandet måste respektera rättsstatsprincipen, icke-diskriminering och dataskydd.

Hittills har USA ingått sådana exekutiva avtal med Storbritannien (undertecknade 2019, i kraft sedan oktober 2022) och Australien (undertecknade i december 2021). Förhandlingar med Europeiska unionen tillkännagavs 2019 och pågår, men visar sig vara svåra på grund av den komplexa rättsliga situationen (GDPR, Schrems II) och inblandningen av 27 medlemsstater.

Viktiga skyddsåtgärder för dessa avtal finns i själva CLOUD Act: Order som utfärdas enligt ett sådant avtal får inte riktas mot amerikanska personer (medborgare eller permanenta invånare) eller personer som är bosatta i USA. De måste vara specifika (t.ex. rikta sig mot en viss person eller ett visst konto) och vara föremål för oberoende granskning eller tillsyn (t.ex. av en domstol).

Rättsliga vägar för leverantörer

CLOUD Act föreskriver uttryckligen en mekanism genom vilken leverantörer lagligt kan bestrida amerikanska åtkomstbeslut under vissa villkor (s.k. "motion to quash or modify"). Denna rätt föreligger om leverantören "rimligen tror" att två kumulativa villkor är uppfyllda:

• Kunden eller prenumeranten i fråga är inte en amerikansk person och är inte bosatt i USA.
• Det obligatoriska upplysningskravet skulle skapa en "väsentlig risk" att leverantören skulle bryta mot lagarna för en "kvalificerad utländsk regering". En "kvalificerad utländsk regering" är en som USA har ett exekutivavtal med enligt CLOUD Act.

Om leverantören överklagar kan den behöriga amerikanska domstolen ändra eller upphäva beslutet. Detta sker dock endast om domstolen fastställer att (a) ett utlämnande faktiskt skulle bryta mot lagen i den kvalificerade utländska staten, (b) att bifalla överklagandet tjänar rättvisans intresse, och (c) rättvisans intresse kräver det, med beaktande av samtliga omständigheter.

För att bedöma vad "rättvisans intressen" kräver listar lagen specifika faktorer som domstolen måste väga ("medkänslaanalys"). Dessa inkluderar bland annat: USA:s och den utländska regeringens intressen, sannolikheten för och arten av påföljder som leverantören skulle drabbas av utomlands, individens och leverantörens kopplingar till USA och utlandet, informationens betydelse för utredningen och tillgången till alternativa sätt att erhålla informationen.

Denna lagbestämmelse väcker emellertid frågor om dess praktiska effektivitet. Att fokusera den uttryckliga grunden för överklagande på rättsliga konflikter med kvalificerade utländska regeringar (dvs. de med ett exekutivt avtal) skulle kunna försvaga ställningen för leverantörer som försöker åberopa lagarna i länder utan ett sådant avtal, såsom EU:s GDPR i sin nuvarande form utan ett avtal mellan EU och USA. Även om möjligheten kvarstår att åberopa allmänna principer om internationell artighet och comity enligt common law, är den specifika rättsliga mekanismen snävare. Detta skulle kunna fresta amerikanska domstolar att ge mindre vikt åt konflikter med lagarna i stater som inte ingår avtal eller att se överklagandeprocessen som mindre tydligt definierad.

Dessutom är den praktiska relevansen av överklagandemöjligheten i allmänhet begränsad. Bevisbördan ligger hos leverantören, som måste visa att de "rimligen tror" att villkoren är uppfyllda. Även om en lagkonflikt bevisas kan domstolen upphäva beslutet, men är inte skyldig att göra det. Beslutet baseras på en avvägning av vaga juridiska begrepp som "rättviseintresse" och "hela omständigheterna", vilket ger domstolen ett brett utrymme för skönsmässig bedömning. Det finns en risk att amerikanska intressen, särskilt i brottsbekämpande eller säkerhetsfrågor, systematiskt kommer att ges större vikt än utländska dataskyddsintressen, särskilt om det inte finns något bilateralt avtal som formellt erkänner dessa intressen. Europeiska dataskyddsstyrelsen (EDPB) ser därför med skepsis på denna mekanism och betonar att den bara ger en möjlighet att överklaga, inte en skyldighet, och därmed inte erbjuder tillräckligt skydd för EU-medborgarnas rättigheter.

Relaterat till detta:

• Europas digitala beroende av USA: Molndominans, snedvridna handelsbalanser och inlåsningseffekter

Konfliktzon: CLOUD Act kontra EU:s GDPR och datasuveränitet

Den extraterritoriella tillämpningen av den amerikanska CLOUD Act och de tillhörande åtkomstbefogenheterna för amerikanska myndigheter leder till betydande spänningar och direkta rättsliga konflikter med Europeiska unionens dataskyddsordning, särskilt den allmänna dataskyddsförordningen (GDPR). Dessa konflikter påverkar centrala principer i EU:s dataskyddslagstiftning och väcker grundläggande frågor om datasuveränitet.

Direkt konflikt med GDPR (artikel 6, artikel 48)

Den grundläggande konflikten uppstår i det faktum att CLOUD Act tillåter amerikanska myndigheter att beordra överföring av data – inklusive personuppgifter om EU-medborgare – från EU till USA, utan att denna befallning nödvändigtvis grundar sig på någon av de rättsliga grunderna för databehandling eller internationell dataöverföring som anges i GDPR.

Konflikten med artikel 48 i GDPR (”Överfrågningar eller utlämnanden som inte är tillåtna enligt unionsrätten”) är särskilt relevant. Denna artikel föreskriver att beslut av domstolar eller administrativa myndigheter i ett tredjeland som kräver att en registeransvarig eller personuppgiftsbiträde överför eller lämnar ut personuppgifter endast erkänns eller kan verkställas om de grundar sig på ett internationellt avtal – såsom ett avtal om ömsesidig rättslig hjälp (MLAT) – som är i kraft mellan det begärande tredjelandet (här USA) och unionen eller en medlemsstat. Ett beslut som enbart grundar sig på CLOUD Act, utan att vara legitimerat av ett sådant internationellt avtal, uppfyller inte detta villkor. Ur GDPR:s perspektiv utgör det inte en giltig rättslig grund för överföringen.

Dessutom saknar en sådan överföring en giltig rättslig grund enligt artikel 6 i GDPR, som anger villkoren för lagligheten av behandling (inklusive överföring) av personuppgifter. Europeiska dataskyddsstyrelsen (EDPB) och Europeiska dataskyddstillsynsmannen (EDPS) har i sin gemensamma bedömning förtydligat att de vanliga rättsliga grunderna inte är tillämpliga här

• Artikel 6(1)(c) GDPR (efterlevnad av en rättslig skyldighet): Denna rättsliga grund är inte tillämplig eftersom den ”rättsliga skyldigheten” härrör från CLOUD Act, dvs. från ett tredjelands lag, och inte från unionsrätten eller en medlemsstats lag, vilket krävs enligt artikel 6(3) i GDPR. Ett undantag skulle endast föreligga om den amerikanska ordern införlivades i EU-rätten genom en multilateral administrativ förordning om dataskydd (MLAT).
• Artikel 6(1)(e) i GDPR (utförande av en uppgift i allmänintresset): Denna rättsliga grund är också utesluten, eftersom uppgiften (här efterlevnad av den amerikanska ordern) inte definieras i unionsrätten eller i en medlemsstats rätt.
• Artikel 6(1)(f) i GDPR (berättigade intressen): Även om en leverantör kan ha ett berättigat intresse av att följa en CLOUD Act-order för att undvika sanktioner enligt amerikansk lag, anser EDPB/EDPS att detta intresse ofta väger tyngre än de registrerades intressen eller grundläggande rättigheter och friheter (skydd av deras uppgifter). Myndigheterna menar att de registrerade annars skulle kunna berövas sitt skydd enligt EU:s stadga om de grundläggande rättigheterna (i synnerhet rätten till ett effektivt rättsmedel, artikel 47).
• Artikel 6(1)(d) GDPR (skydd av vitala intressen): Denna rättsliga grund skulle teoretiskt sett kunna vara tillämplig i mycket snävt definierade undantagsfall, till exempel om uppgifterna behövs för att avvärja en omedelbar fara för en persons liv eller hälsa. Den ger dock inte grund för rutinmässigt utlämnande av uppgifter i samband med brottsbekämpande åtgärder.

Denna konflikt mellan rättsnormer skapar en olöslig konflikt för leverantörer som omfattas av både amerikansk jurisdiktion (och därmed CLOUD Act) och EU-lagstiftning (GDPR). Om de följer en CLOUD Act-order utan MLAT-grund bryter de mot GDPR och riskerar betydande böter (upp till 4 % av sin globala årsomsättning) samt civilrättsliga stämningar. Om de vägrar att lämna ut data med hänvisning till GDPR riskerar de sanktioner enligt amerikansk lag.

Bedömning av EDSA/EDPS och rättslig osäkerhet

De europeiska dataskyddsmyndigheterna, samordnade inom EDPB, och datatillsynsmannen har tagit en tydlig ställning i denna konflikt. I sin gemensamma rättsliga bedömning från juli 2019 drog de slutsatsen att CLOUD Act som sådan inte utgör en tillräcklig rättslig grund enligt GDPR för överföring av personuppgifter till USA.

De betonar eftertryckligt att leverantörer som omfattas av EU-lagstiftningen inte får överföra personuppgifter till amerikanska myndigheter enbart på grundval av en direkt order enligt CLOUD Act. En sådan överföring är endast tillåten om den grundar sig på ett erkänt internationellt avtal, vanligtvis EU-US MLAT eller ett bilateralt MLAT mellan en medlemsstat och USA. MLAT-processen säkerställer nödvändiga rättsstatsgarantier och medverkan av de rättsliga myndigheterna i den anmodade staten.

Den möjlighet som CLOUD Act ger leverantörer att bestrida ett beslut (”motion to quash”) anser EDPB och EDPB vara ett otillräckligt skydd. De påpekar att detta endast är ett alternativ för leverantören, inte en skyldighet, och att resultatet av ett sådant förfarande inför en amerikansk domstol är osäkert och inte erbjuder någon garanti för skyddet av EU-medborgarnas rättigheter enligt EU-standarder.

Denna tydliga hållning från relevanta europeiska dataskyddsmyndigheter förvärrar den rättsliga osäkerheten för företag som använder eller erbjuder amerikanska molntjänster. De måste vara medvetna om att användningen av sådana tjänster potentiellt strider mot GDPR om leverantören inte kan garantera att den inte kommer att lämna ut data i strid med GDPR baserat på en CLOUD Act-order.

Konsekvenserna av Schrems II och amerikanska övervakningslagar

Problemen med CLOUD Act måste ses i samband med den bredare debatten om dataöverföringar till USA och övervakningslagarna där, som har nått en ny dimension genom EU-domstolens Schrems II-dom av den 16 juli 2020.

I detta domslut ogiltigförklarade EU-domstolen (ECJ) avtalet om skydd av privatlivet mellan EU och USA. Den främsta anledningen till detta var de långtgående befogenheterna för amerikanska underrättelsetjänster (särskilt enligt avsnitt 702 i lagen om övervakning av utländska underrättelsetjänster – FISA – och Executive Order 12333) att få tillgång till personuppgifter för EU-medborgare som överförts till USA. EU-domstolen fann att dessa åtkomsträttigheter inte uppfyllde kraven på nödvändighet och proportionalitet enligt EU:s stadga om de grundläggande rättigheterna och att EU-medborgare saknade ett effektivt rättsligt skydd mot sådan åtkomst i USA.

Även om CLOUD Act formellt är ett instrument för brottsbekämpning och inte underrättelseövervakning, förstärker den de farhågor som väcktes av Schrems II. Den inrättar ytterligare en rättslig mekanism för extraterritoriell åtkomst till data för amerikanska myndigheter. Ur ett europeiskt perspektiv saknar även denna mekanism den nödvändiga rättsstatsprincipen i EU-rätten (artikel 48 i GDPR), såvida den inte är baserad på ett multilateralt avtal om dataskydd (MLAT) eller ett framtida avtal som anses tillräckligt. Kombinationen av åtkomsträttigheter från övervakningslagar (FISA 702, EO 12333) och CLOUD Act (brottsbekämpning) skapar en övergripande bild av långtgående amerikanska myndigheters åtkomst till data som lagras globalt av amerikanska leverantörer.

Detta har direkta konsekvenser för användningen av andra överföringsmekanismer, såsom standardavtalsklausuler (SCC). Schrems II-domen ålägger dataexportörer, när de använder standardavtalsklausuler för överföringar till tredjeländer, såsom USA, att från fall till fall bedöma om destinationslandets lagar och praxis garanterar en skyddsnivå som är "väsentligen likvärdig" med den som garanteras i EU. Om inte, måste kompletterande åtgärder vidtas för att täppa till eventuella luckor i skyddet. Förekomsten av lagar som FISA avsnitt 702 och CLOUD Act gör det extremt svårt för företag att visa att amerikansk lag erbjuder en sådan likvärdig skyddsnivå. Detta komplicerar avsevärt den rättsligt förenliga användningen av amerikanska molntjänster för behandling av personuppgifter från EU. CLOUD Act fungerar som en förstärkare av Schrems II-problemet, eftersom det utökar utbudet av lagliga åtkomstalternativ i USA och ytterligare undergräver argumentet för en "väsentlig likvärdighet" av skyddsnivån.

Erosion av europeisk datasuveränitet och förlust av förtroende

Utöver de rent juridiska konflikterna uppfattas CLOUD Act allmänt som ett hot mot Europas digitala suveränitet. Datasuveränitet avser rätten och möjligheten för stater, organisationer eller individer att utöva kontroll över sina data, särskilt när det gäller var de lagras, hur de behandlas och vem som har åtkomst till dem. CLOUD Act undergräver denna princip genom att ge en utländsk makt (USA) potentiellt ensidig åtkomst till data som lagras på europeiskt territorium eller härrör från europeiska medborgare och företag, förutsatt att dessa data hanteras av en leverantör under amerikansk jurisdiktion.

Möjligheten till sådan åtkomst, som potentiellt kan ske utan att europeiska förfaranden (såsom MLAT) följs och utan att berörda individer eller företag känner till eller anmäler detta, leder till en betydande förlust av förtroendet för amerikanska teknikleverantörer. Denna misstro gäller inte bara skyddet av personuppgifter enligt definitionen i GDPR, utan sträcker sig även till säkerheten för känsliga företagsuppgifter, såsom affärshemligheter, forsknings- och utvecklingsdata, finansiell information och immateriella rättigheter. Rädslan för industrispionage eller oavsiktligt läckage av konkurrenskritisk information genom statlig åtkomst är en nyckelfaktor som får företag att söka alternativ till amerikanska leverantörer eller att införa ytterligare skyddsåtgärder.

EU:s svar: Datalagen och Gaia-X (status och utmaningar)

Som svar på utmaningarna med digitaliseringen och dominansen av icke-europeiska teknikleverantörer har Europeiska unionen lanserat olika initiativ för att stärka den digitala suveräniteten och definiera sin egen europeiska strategi för datahantering. Två viktiga komponenter är datalagen och Gaia-X-initiativet.

EU:s datalag, som publicerades i EU:s officiella tidning i december 2023 och trädde i kraft den 12 september 2025, syftar till att öka rättvisan i dataekonomin och förbättra tillgången till och användningen av data, särskilt industriella data. Den är avsedd att främja innovation och öka datatillgängligheten. Datalagen ger specifikt användare av uppkopplade produkter (t.ex. IoT-enheter, smarta maskiner) mer kontroll över de data som genereras av dessa enheter och underlättar byte mellan olika molnleverantörer genom att till exempel undanröja hinder för att byta leverantör och förbjuda oskäliga avtalsklausuler. I samband med CLOUD-lagen är även de bestämmelser som ger skydd mot olagliga begäranden om dataöverföring från myndigheter i tredjeländer relevanta. Detta stärker EU:s datasuveränitet.

Gaia-X-initiativet, som lanserades 2019, strävar efter det ambitiösa målet att skapa en federerad, säker och suverän europeisk datainfrastruktur. Gaia-X syftar till att etablera ett ekosystem där data kan delas och bearbetas i enlighet med europeiska värderingar och standarder – transparens, öppenhet, säkerhet, interoperabilitet och datasuveränitet. Det är avsett att erbjuda ett alternativ till de dominerande hyperskalartjänsterna och minska beroendet av icke-europeiska leverantörer.

Gaia-X befinner sig dock fortfarande i en tidig implementeringsfas ("upprampningsfas") och står inför betydande utmaningar. Även om det finns inledande pilotprojekt och användningsfall, såsom Catena-X för bilindustrin och testmiljöer i partnerländer som Japan, är en omfattande marknadspenetration fortfarande under uppsjö. Bland hindren finns den tekniska komplexiteten hos den federerade metoden, säkerställandet av verklig interoperabilitet mellan olika leverantörer, styrningsfrågor inom Gaia-X Association (implementeringsorganisationen) och långsam implementering, särskilt inom hårt reglerade sektorer som sjukvård. Dessutom har kritik framförts om att den ursprungliga visionen om ett rent europeiskt moln har utspätts genom att stora amerikanska hyperskalare inkluderats i Gaia-X Association, och att projektet lider av överdriven byråkrati. Det verkar för närvarande osannolikt att Gaia-X direkt kan konkurrera med AWS, Azure och GCP. Dess betydelse kan snarare ligga i att fungera som ett ramverk för standarder och förtroende inom specifika europeiska dataområden.

Dessa europeiska initiativ avslöjar emellertid också en strategisk inkonsekvens. Å ena sidan syftar Gaia-X och datalagen till att minska beroendet av amerikanska leverantörer och stärka kontrollen över data i Europa. Å andra sidan förhandlar Europeiska kommissionen samtidigt om ett verkställande avtal med USA enligt CLOUD Act. Ett sådant avtal, om det nås, skulle legalisera och potentiellt förenkla direkt dataåtkomst för amerikanska myndigheter under vissa villkor – och institutionalisera just den mekanism som ursprungligen utlöste suveränitetsproblem. Detta återspeglar EU:s dilemma: att samtidigt sträva efter digital autonomi och etablera det nödvändiga pragmatiska samarbetet med USA inom brottsbekämpning på en effektiv grund, utan att kompromissa med sina egna höga dataskyddsprinciper (i synnerhet kraven i Schrems II-domen och artikel 48 i GDPR). Att lösa denna spänning är en central utmaning för den framtida transatlantiska datapolitiken.

Integrering av en oberoende och dataöverskridande AI-plattform för alla affärsbehov - Bild: Xpert.Digital

AI-spelförändrare: Den mest flexibla AI-plattformen - Skräddarsydda lösningar som minskar kostnader, förbättrar dina beslut och ökar effektiviteten

Oberoende AI-plattform: Integrerar alla relevanta företagsdatakällor

• Denna AI-plattform interagerar med alla specifika datakällor
  • Från SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox och många andra datahanteringssystem
• Snabb AI-integration: Skräddarsydda AI-lösningar för företag på timmar eller dagar, istället för månader
• Flexibel infrastruktur: Molnbaserat eller hosting i eget datacenter (Tyskland, Europa, fritt val av plats)

• Maximal datasäkerhet: dess användning i advokatbyråer är ett obestridligt bevis
• Implementering över en mängd olika företagsdatakällor
• Val av egna eller olika AI-modeller (Tyskland, EU, USA, Kanada)

Utmaningar som vår AI-plattform löser

• Bristande passform hos konventionella AI-lösningar
• Dataskydd och säker hantering av känsliga uppgifter
• Höga kostnader och komplexitet för individuell AI-utveckling
• Brist på kvalificerade AI-specialister
• Integrering av AI i befintliga IT-system

Mer information här:

• AI-integration av en oberoende och dataövergripande AI-plattform för alla affärsbehov

Globala risker och konsekvenser utanför Europa

Problemen som CLOUD Act ger upphov till är inte begränsade till förhållandet mellan USA och Europa. Lagen har potentiellt långtgående konsekvenser för länder och regioner världen över, särskilt när det gäller statlig övervakning, ekonomisk spionage, konflikter med lokala lagar och allmänt förtroende för global digital infrastruktur.

Statlig övervakning och medborgerliga friheter

CLOUD Act har från början kritiserats av medborgerliga rättigheter-organisationer som Electronic Frontier Foundation (EFF) och American Civil Liberties Union (ACLU). En viktig kritik är att lagen potentiellt undergräver skyddet mot olämpliga statliga husrannsakningar och beslag (som finns förankrade i det fjärde tillägget till den amerikanska konstitutionen för amerikanska medborgare). I synnerhet anses möjligheten att upprätta bilaterala arrangemang genom exekutiva avtal, vilket skulle ge utländska myndigheter direkt tillgång till data som finns i USA och potentiellt kringgå den vanliga rättsliga prövningen av amerikanska domstolar, vara problematisk. Dessutom, enligt CLOUD Act, behöver individer som är föremål för dataförfrågningar inte nödvändigtvis meddelas om åtkomsten, vilket begränsar deras möjlighet till rättsliga åtgärder.

För individer utanför USA är det skydd som den amerikanska konstitutionen ger redan mindre omfattande. CLOUD Act gör det enklare för amerikanska myndigheter att få tillgång till sina uppgifter som lagras hos amerikanska leverantörer, oavsett plats. Detta ger näring åt global rädsla för en utökning av den amerikanska regeringens övervakning. Det finns oro för att CLOUD Acts mekanism, särskilt de så kallade Executive Agreements, skulle kunna tjäna som en modell för andra länder, inklusive de med lägre rättsstatsstandarder och ett mindre robust skydd av medborgerliga friheter. En parallell har redan dragits till Kinas nationella underrättelselag, som också ger kinesiska myndigheter långtgående tillgång till företagsdata. Detta skulle kunna påskynda globala trender mot ökad statlig övervakning och kontroll av digital kommunikation.

Ekonomisk spionage och skydd av immateriella rättigheter

De åtkomsträttigheter som beviljas enligt CLOUD Act är inte begränsade till kommunikationsinnehåll eller metadata för privatpersoner. De kan potentiellt även omfatta mycket känsliga företagsdata som lagras hos amerikanska molnleverantörer. Detta inkluderar affärshemligheter, finansiella data, kunddatabaser, prototyper, forsknings- och utvecklingsdata och annan immateriell egendom (IP).

Även om det uttalade syftet med CLOUD Act är att bekämpa allvarlig brottslighet, finns det oro för att dess långtgående åtkomsträttigheter kan missbrukas, till exempel för ekonomisk spionage för amerikanska företags räkning eller för att vinna strategiska ekonomiska fördelar. Blotta möjligheten till sådan åtkomst av en utländsk regering undergräver företags förtroende världen över för säkerheten och sekretessen för deras kritiska data när den lagras hos amerikanska leverantörer. Denna risk utgör en betydande nackdel för många företag, särskilt inom teknikintensiva eller säkerhetskritiska branscher, när de använder amerikanska molntjänster.

Konflikter med lokala rättssystem

I likhet med EU:s GDPR kan CLOUD Acts extraterritoriella tillämpningsområde också stå i konflikt med dataskyddslagar, sekretessskyldigheter eller andra rättsliga bestämmelser i många andra länder. Globalt verksamma molnleverantörer, särskilt de som har sitt huvudkontor eller en stark närvaro i USA, är därför potentiellt exponerade för ett nätverk av motstridiga rättsliga skyldigheter.

Det finns många exempel på länder med egna dataskyddssystem som potentiellt står i konflikt med CLOUD Act:

• Schweiz: Den reviderade federala dataskyddslagen (revFADP) är starkt baserad på GDPR och innehåller även regler för internationella dataöverföringar som kräver adekvat skydd i destinationslandet.
• Brasilien: Lei Geral de Proteção de Dados Pessoais (LGPD) har också extraterritoriell effekt och utsätter behandlingen av brasilianska medborgares uppgifter till strikta regler, inklusive för internationella överföringar.
• Indien: Lagen om skydd av digitala personuppgifter (DPDP-lagen, ofta fortfarande kallad PDPB) innehåller också bestämmelser om dataöverföringar och kan införa lokaliseringskrav för vissa ”kritiska” uppgifter.
• Kina: Cybersäkerhetslagen (CSL) och lagen om skydd av personuppgifter (PIPL) föreskriver strikta regler för datasäkerhet och gränsöverskridande överföringar och inkluderar krav på datalokalisering.
• Ryssland: Federal lag nr 152 ”Om personuppgifter” föreskriver lagring av ryska medborgares personuppgifter på servrar i Ryssland (datalokalisering).

Dessa exempel illustrerar att CLOUD Act inte bara är ett bilateralt problem mellan USA och EU, utan en global utmaning för sammanhållningen i internationella rättssystem i det digitala rummet.

Påverkan på internationella dataöverföringar och förtroende för amerikanska teknikleverantörer

Förekomsten av CLOUD Act och de därmed sammanhängande osäkerheterna och rättsliga tvisterna har betydande konsekvenser för internationella dataöverföringsmekanismer och det allmänna förtroendet för amerikanska teknikleverantörer.

Lagen bidrar till att urholka förtroendet för etablerade instrument för transatlantiska dataöverföringar, såsom den tidigare EU-US Privacy Shield eller de för närvarande allmänt använda standardavtalsklausulerna (SCC). Som beskrivs i samband med Schrems II gör CLOUD Act det svårare att anta att USA tillhandahåller en skyddsnivå för personuppgifter som "i huvudsak är likvärdig" med EU-lagstiftningen.

Detta tvingar företag världen över att noggrannare ompröva riskerna med att använda amerikanska molntjänster. De måste undersöka om och hur de kan säkerställa att de följer sina lokala dataskyddslagar när de överför data till eller låter dem behandlas av amerikanska leverantörer. Detta leder i allt högre grad till att man utforskar alternativa lösningar, såsom att använda lokala eller regionala molnleverantörer som inte omfattas av amerikansk jurisdiktion, eller att implementera ytterligare tekniska och organisatoriska skyddsåtgärder (såsom end-to-end-kryptering med proprietär nyckelhantering, datapseudonymisering eller strikt datalokalisering för vissa datatyper).

Den rättsliga osäkerhet som skapats av CLOUD Act och liknande lagar i andra länder, och de resulterande skyddsåtgärderna, skulle också kunna förstärka en trend mot en "balkanisering" av internet. Detta hänvisar till den ökande fragmenteringen av det globala digitala rummet längs nationella eller regionala gränser, vilket kännetecknas av strängare krav på datalokalisering, olika tekniska standarder och svårare gränsöverskridande dataflöden. CLOUD Act fungerar som en viktig drivkraft för denna globala trend mot större digital suveränitet. Genom att ensidigt förankra extraterritoriell tillgång till data och därmed potentiellt åsidosätta andra staters rättssystem, provocerar USA fram motåtgärder. Dessa manifesterar sig i form av datalokaliseringslagar, statligt stöd för lokala molnekosystem och skärpning av nationella regler för internationella dataöverföringar. CLOUD Act accelererar därför, kanske oavsiktligt, en utveckling bort från ett öppet, globalt nätverkat datautrymme mot mer nationellt eller regionalt kontrollerade digitala territorier.

Relaterat till detta:

• Oberoende AI-plattformar som ett strategiskt alternativ för europeiska företag

Kartläggning av globalt beroende av amerikanska molnleverantörer

För att bedöma CLOUD Acts omfattning är det avgörande att förstå de globala marknadsandelarna och de resulterande beroendena av de stora amerikanska molnleverantörerna – Amazon Web Services (AWS), Microsoft Azure och Google Cloud Platform (GCP). Marknadsdominansen hos dessa aktörer avgör i hög grad hur många företag och organisationer världen över som potentiellt kan påverkas av CLOUD Act-förfrågningar.

Marknadsandelar för amerikanska hyperskalare (AWS, Azure, GCP)

Ett flertal marknadsanalyser bekräftar den överväldigande dominansen hos de tre stora amerikanska hyperscalerarna på den globala marknaden för molninfrastrukturtjänster (Infrastructure-as-a-Service, IaaS och Platform-as-a-Service, PaaS). Tillsammans kontrollerade AWS, Microsoft Azure och GCP cirka 66 % till 70 % av de globala intäkterna inom detta segment i slutet av 2023 respektive början av 2025 (beroende på källa och den exakta marknadsdefinitionen).

De ungefärliga marknadsandelarna för fjärde kvartalet 2024 kan sammanfattas enligt följande (baserat på data från olika källor; exakta siffror kan variera något, men trenden är konsekvent):

• Amazon Web Services (AWS): cirka 30–33 %. AWS är fortfarande den tydliga marknadsledaren, och dess banbrytande roll inom molntjänster har gett dem en fortsatt ledning. De senaste åren har det dock funnits en liten tendens till stagnation eller till och med en liten minskning av marknadsandelar, medan konkurrensen håller på att komma ikapp.
• Microsoft Azure: cirka 21–24 %. Azure har etablerat sig som en stark tvåa och upplever kontinuerlig tillväxt, ofta drivet av integration med andra Microsoft-produkter och en stark position inom företagssektorn.
• Google Cloud Platform (GCP): cirka 11–12 %. GCP är nummer tre och visar också betydande tillväxt, om än från en mindre bas. Google investerar kraftigt i områden som AI och dataanalys för att vinna marknadsandelar.

Förutom dessa tre jättar finns det andra relevanta aktörer vars marknadsandelar är betydligt mindre. Dessa inkluderar Alibaba Cloud, som med cirka 4 % global marknadsandel spelar en mindre roll men dominerar molnmarknaden i Kina. Andra leverantörer med globala eller regionala fokus inkluderar IBM, Salesforce, Oracle, Tencent Cloud och Huawei Cloud (båda starka i Kina), samt specialiserade leverantörer.

Följande tabell sammanfattar de uppskattade globala marknadsandelarna för de ledande molninfrastrukturleverantörerna (IaaS/PaaS) för slutet av 2024 / början av 2025 och illustrerar dominansen hos de amerikanska hyperscalerarna:

Uppskattade globala molnmarknadsandelar (IaaS/PaaS) fjärde kvartalet 2024/början av 2025

Uppskattade globala marknadsandelar för molntjänster (IaaS/PaaS) fjärde kvartalet 2024/början av 2025 – Bild: Xpert.Digital

Aktuell data om den globala IaaS/PaaS-molnmarknaden under fjärde kvartalet 2024 och början av 2025 visar en tydlig dominans av amerikanska hyperscalers. AWS har den största marknadsandelen på 30 till 33 procent, med en stabil till svagt fallande trend. Microsoft Azure följer med 21 till 24 procent och upplever ytterligare tillväxt. Google Cloud Platform (GCP) säkrar 11 till 12 procent av marknaden med en positiv trend. Den kinesiska leverantören Alibaba Cloud upprätthåller en stabil global marknadsandel på cirka 4 procent. De återstående leverantörerna, inklusive IBM, Oracle, Tencent och Huawei, delar tillsammans 27 till 34 procent av marknaden med varierande tillväxttrender. Den övergripande positionen för de amerikanska hyperscalers är anmärkningsvärd, eftersom de tillsammans kontrollerar cirka 62 till 69 procent av den globala molnmarknaden och upplever en liten tillväxt.

Dessa siffror understryker det betydande globala beroendet av de tre stora amerikanska leverantörerna. En stor del av världens molninfrastruktur omfattas därför potentiellt av CLOUD Act.

Regioner/länder med högt beroende

Beroendet av amerikanska molnleverantörer varierar geografiskt, men är mycket högt i många viktiga ekonomiska regioner:

• Nordamerika (särskilt USA och Kanada): Som hemvist för hyperskalare och med den högsta molnpenetrationen är beroendet naturligtvis störst här. AWS har en särskilt stark marknadsposition i USA. Kanada visar också höga investeringar i moln och AI, ofta via amerikanska plattformar.
• Europa: Trots oro kring GDPR och CLOUD Act är beroendet av AWS, Azure och GCP i Europa fortfarande extremt högt. Deras sammanlagda marknadsandel på kontinenten uppskattas till över 70 %. Intressant nog verkar Azure, enligt en analys, till och med ligga före AWS i vissa europeiska länder, såsom Nederländerna (enligt uppgift 67 % marknadsandel), Polen (49 %) och Japan (49 %). Stora europeiska ekonomier som Tyskland, Storbritannien och Frankrike investerar kraftigt i molnteknik och artificiell intelligens, där amerikanska plattformar spelar en central roll. Denna skillnad mellan högt marknadsberoende och den politiska strävan efter digital suveränitet representerar ett centralt spänningsområde.
• Indien: Den indiska molnmarknaden uppvisar stark tillväxt och ett stort beroende av amerikanska leverantörer, med en marknadsstruktur som liknar den i USA: AWS leder (cirka 52 %), följt av Azure (cirka 35 %) och GCP (cirka 13 %). Samtidigt finns det en stark politisk vilja för digitalisering i Indien och en ökande strävan efter datalokalisering, särskilt för känsliga data såsom finansiella data. Detta skulle kunna främja tillväxten av lokala leverantörer på lång sikt.
• Latinamerika: Molnanvändningen ökar i länder som Brasilien, men den domineras fortfarande starkt av globala amerikanska aktörer. AWS expanderar aktivt i regionen, till exempel med en ny region i Mexiko. Lokala dataskyddslagar som den brasilianska LGPD och specifika krav på datalokalisering, såsom inom finanssektorn, kan påverka marknadsdynamiken, men har hittills gjort lite för att förändra det grundläggande beroendet.
• Australien: Som ett tekniskt avancerat land med nära politiska och ekonomiska band till USA uppvisar Australien en hög grad av molnanvändning. Förekomsten av ett CLOUD Act Executive Agreement mellan USA och Australien tyder på en acceptans av amerikanska åtkomstmekanismer och indikerar en hög grad av beroende av amerikanska leverantörer.
• Andra regioner (t.ex. Afrika, delar av Sydostasien): Molnmarknader är fortfarande under utveckling i många tillväxt- och utvecklingsländer. Globala amerikanska leverantörer dominerar ofta även här, på grund av deras stordriftsfördelar och tekniska försprång. Samtidigt ökar strävan efter digital suveränitet och datalokalisering i dessa regioner, vilket exempel från Vietnam och Indonesien visar.

Länder med lägre beroende och alternativa ekosystem (Kina, Ryssland)

I motsats till det utbredda beroendet av amerikanska hyperskalare har i stort sett oberoende digitala ekosystem utvecklats, särskilt i Kina och Ryssland, vilka domineras av lokala leverantörer.

• Kina: Den kinesiska molnmarknaden är den näst största i världen, men den är starkt reglerad och svåråtkomlig för utländska leverantörer. Inhemska teknikföretag dominerar tydligt: ​​Alibaba Cloud har en marknadsandel på cirka 36 %, följt av Huawei Cloud med cirka 19 % och Tencent Cloud med cirka 15–16 % (från och med andra/tredje kvartalet 2024). Amerikanska leverantörer som AWS eller Azure spelar endast en mindre roll på den kinesiska fastlandsmarknaden. Denna utveckling drivs av strikt statlig reglering, särskilt cybersäkerhetslagen (CSL) och lagen om skydd av personuppgifter (PIPL), som bland annat föreskriver krav på datalokalisering och strikt kontrollerar gränsöverskridande dataflöden. Kina bedriver också sin egen ambitiösa strategi för artificiell intelligens, som bygger på kapaciteten hos sina inhemska molnleverantörer.
• Ryssland: I likhet med Kina, men av andra skäl (särskilt västerländska sanktioner och en aktiv regeringspolitik för att främja digital suveränitet), har Ryssland sett en växande frikoppling från västerländska teknikleverantörer. Den ryska molnmarknaden domineras av lokala leverantörer, framför allt Yandex Cloud, men även leverantörer som SberCloud (nu möjligen verksamt under ett annat namn, t.ex. Cloud.ru), VK Cloud och det statskontrollerade telekommunikationsföretaget Rostelecom spelar en betydande roll. Rysk dataskyddslag (federal lag nr 152) föreskriver strikt datalokalisering för ryska medborgares personuppgifter, vilket gör det svårare att använda utländska molntjänster och gynnar lokala leverantörer. Yandex Cloud annonserar uttryckligen att den följer dessa lokala lagar för att locka internationella företag som vill verka på den ryska marknaden. Statliga program som "Ryska federationens digitala ekonomi" och plattformen "GosTech" främjar ytterligare användningen av inhemska molnlösningar av myndigheter och företag.
• Europeiska unionen (Potential kontra Verklighet): EU befinner sig i en unik situation. Å ena sidan finns det tydliga politiska ansträngningar för att minska beroendet av amerikanska leverantörer och att etablera sin egen digitala suveränitet. Initiativ som Gaia-X och lagstiftningsakter som datalagen syftar i denna riktning. Det finns också ett antal europeiska molnleverantörer (t.ex. OVHcloud, Deutsche Telekom/T-Systems, IONOS). Å andra sidan, som visas ovan, är den faktiska marknadspenetrationen för amerikanska hyperskalare i Europa extremt hög. Europeiska alternativ har hittills misslyckats med att uppnå jämförbara marknadsandelar, vilket ofta tillskrivs stordriftsfördelar och den tekniska mognaden hos amerikanska erbjudanden. EU förblir således en region med stort beroende i kombination med en stark politisk vilja till förändring.

Dessa exempel visar att mindre beroende av amerikanska hyperskalare är möjligt, men detta är vanligtvis baserat på en kombination av stark statlig reglering, riktat stöd för inhemska industrier och, i vissa fall, politiskt motiverad marknadsprotektionism.

Dra nytta av Xpert.Digitals omfattande, femfaldiga expertis i ett heltäckande tjänstepaket | FoU, XR, PR och optimering av digital synlighet - Bild: Xpert.Digital

Xpert.Digital besitter djupgående kunskap inom olika branscher. Detta gör det möjligt för oss att utveckla skräddarsydda strategier som är exakt anpassade till kraven och utmaningarna inom just ditt marknadssegment. Genom att kontinuerligt analysera marknadstrender och övervaka branschutvecklingen kan vi agera proaktivt och erbjuda innovativa lösningar. Kombinationen av erfarenhet och expertis genererar mervärde och ger våra kunder en avgörande konkurrensfördel.

Mer information här:

• Dra nytta av Xpert.Digitals 5 expertområden i ett paket – från endast 500 €/månad

Nationella strategier och svar på CLOUD Act

Med tanke på de utmaningar som den amerikanska CLOUD Act innebär för dataskydd, suveränitet och rättssäkerhet har stater världen över utvecklat olika strategier för att hantera de därmed sammanhängande riskerna och skydda sina intressen. Dessa strategier sträcker sig från regleringsåtgärder och tekniska tillvägagångssätt till internationella förhandlingar.

Jämförelse av nationella metoder

Flera grundläggande tillvägagångssätt kan observeras, vilka ofta kombineras:

• Datalokalisering: En av de mest direkta reaktionerna är införandet av lagar som föreskriver att vissa typer av data – ofta personuppgifter eller information som klassificeras som kritisk – måste lagras och behandlas fysiskt inom nationella gränser. Framträdande exempel inkluderar Ryssland med federal lag nr 152, Kina med krav enligt sin cybersäkerhetslag och PIPL, och i viss mån Indien (särskilt för betalningsdata). Länder som Vietnam och Indonesien använder sig också av liknande tillvägagångssätt. Motiven är många: stärka nationell suveränitet och kontroll över data, förbättra nationell säkerhet genom att begränsa åtkomst för utländska makter, och även ekonomisk protektionism för att främja den inhemska IT-industrin. Ur ett tekniskt och ekonomiskt perspektiv är dock strikt datalokalisering ofta ineffektiv, eftersom den undergräver fördelarna med globalt distribuerade molnarkitekturer (såsom skalbarhet, redundans och kostnadseffektivitet) och leder till högre kostnader för företag. Antalet länder med sådana restriktioner har ökat avsevärt de senaste åren.
• Stärka nationell reglering och internationella standarder: Många länder fokuserar på att stärka sin egen dataskyddslagstiftning för att etablera höga skyddsstandarder och tydligt reglera villkoren för internationella dataöverföringar. EU är med sin GDPR en pionjär på detta område. Andra länder har följt efter eller moderniserat sina lagar, ofta baserade på GDPR, såsom Schweiz (revFADP), Brasilien (LGPD), Storbritannien (UK GDPR) och Kanada (PIPEDA). Målet är ofta att bli erkänd av EU som ett land med en "tillräcklig dataskyddsnivå" för att underlätta dataflöden med Europa. Samtidigt tjänar dessa lagar till att skydda de egna medborgarnas rättigheter och skapa en rättslig ram som potentiellt kan åberopas vid konflikt med lagar som CLOUD Act.
• Främjande av lokala/regionala leverantörer och ekosystem: En annan strategi är aktiv industripolitisk främjande av inhemska eller regionala molnleverantörer och digitala ekosystem för att skapa alternativ till de dominerande amerikanska hyperskaleringsföretagen och minska det tekniska beroendet. EU:s Gaia-X-initiativ är ett exempel på detta, även om dess framgång hittills har varit begränsad. I Kina och Ryssland har denna strategi, i kombination med stark reglering, varit mer framgångsrik och har lett till marknader som domineras av lokala leverantörer. Utmaningen är att lokala leverantörer ofta inte kan uppnå samma stordriftsfördelar, samma investeringsvolym eller samma globala räckvidd som de amerikanska jättarna.
• Användning av internationella avtal (verkställighetsavtal kontra MLAT): Stater kan försöka reglera dataåtkomst inom brottsbekämpning genom internationella avtal. CLOUD Act tillhandahåller i sig mekanismen för verkställighetsavtal för detta ändamål. Länder som Storbritannien och Australien har valt denna väg och ingått bilaterala avtal med USA, som är avsedda att möjliggöra snabbare, direkt dataåtkomst under vissa villkor. Dessa avtal lovar effektivitetsvinster jämfört med de ofta långsamma traditionella förfarandena för ömsesidig rättslig hjälp (MLAT). Andra länder eller regioner, såsom EU, är dock tveksamma till att ingå ett sådant avtal, delvis på grund av oro för kompatibiliteten med deras egna höga dataskyddsstandarder (GDPR, Schrems II). De fortsätter att främst förlita sig på den etablerade MLAT-processen, som innebär större deltagande av de rättsliga myndigheterna i den anmodade staten, även om den anses ineffektiv. Valet mellan dessa tillvägagångssätt representerar en balansgång mellan effektivitet inom brottsbekämpning och skyddet av grundläggande rättigheter och suveränitet.
• Tekniska och organisatoriska åtgärder (TOM) från företag: Oavsett statliga strategier vidtar företagen själva åtgärder för att minska riskerna med CLOUD Act. Dessa inkluderar användning av starka krypteringsmetoder, helst där kunden har ensam kontroll över kryptografiska nycklar (Bring Your Own Key – BYOK, Hold Your Own Key – HYOK), noggrant val av lagringsplats (t.ex. datacenter inom EU), implementering av strikta åtkomstkontroller, användning av pseudonymiserings- eller anonymiseringstekniker, samarbete med lokala partners eller systemintegratörer som hanterar data för kundens räkning, eller implementering av hybridmolnarkitekturer där särskilt känsliga data förvaras i företagets eget datacenter (on-premise).

Fallstudier: EU, Schweiz, Brasilien, Kina, Ryssland

Tillämpningen av dessa strategier kan illustreras med hjälp av specifika länderexempel:

• EU tillämpar en mångfacetterad strategi. Stark reglering (GDPR, datalagen) utgör grunden. Initiativ som Gaia-X syftar till att stärka suveräniteten men står inför utmaningar. Samtidigt pågår förhandlingar med USA om ett CLOUD Act-avtal, vilket belyser ambivalensen mellan anspråket på suveränitet och behovet av samarbete. Det stora beroendet av amerikanska leverantörer kvarstår.
• Schweiz: Dess dataskyddslag (revFADP) är nära anpassad till GDPR och använder liknande mekanismer för internationella dataöverföringar (tillräcklighetsbeslut, SCC). Som svar på Schrems II implementerade Schweiz ett eget avtal med USA (Swiss-US Data Privacy Framework). Trots detta kvarstår den grundläggande risken som CLOUD Act utgör, eftersom schweiziska företag som använder amerikanska tjänster potentiellt påverkas.
• Brasilien: Med LGPD har man skapat en omfattande dataskyddslag med extraterritoriell verkan och inrättat en oberoende dataskyddsmyndighet (ANPD). Det finns specifika regler för internationella dataöverföringar och användning av molntjänster, särskilt inom den reglerade finanssektorn. Den exakta tolkningen och tillämpningen, även med avseende på konflikter med lagar som CLOUD Act, är dock fortfarande under utveckling.
• Kina: Landet förlitar sig konsekvent på statlig kontroll, strikt datalokalisering och främjandet av en sluten inhemsk marknad som domineras av nationella ledare. Dataskydd (i den mening som används i PIPL) tjänar också statlig kontroll och nationell säkerhet.
• Ryssland: Bedriver en liknande strategi för digital suveränitet genom strikt datalokalisering, främjande av inhemska leverantörer och ökad teknologisk frikoppling från väst, förstärkt av geopolitiska faktorer.

Tekniska och organisatoriska åtgärder hos företag

För företag som använder amerikanska molntjänster eller verkar globalt är det avgörande att implementera robusta tekniska och organisatoriska åtgärder för att minimera risken. Dessa inkluderar:

• Transparens och riskbedömning: Proaktiv kommunikation med kunder om jurisdiktionsrisker och genomförande av grundliga riskanalyser (Data Transfer Impact Assessments – TIA) för att bedöma uppgifternas känslighet och den potentiella effekten av åtkomst.
• Noggrant leverantörsval: Undersökning av alternativ till amerikanska leverantörer, särskilt europeiska eller lokala leverantörer som inte lyder under amerikansk jurisdiktion. Utvärdering av leverantörernas efterlevnadsåtaganden och säkerhetsarkitekturer.
• Kryptering och nyckelhantering: Stark kryptering används för data både i vila och under överföring. Kontroll över kryptografiska nycklar är avgörande. Endast om kunden hanterar nycklarna exklusivt (HYOK) kan de effektivt förhindra åtkomst för leverantören (och därmed potentiellt för amerikanska myndigheter). Lösningar där leverantören hanterar nycklarna (Bring Your Own Key – BYOK kan vara vilseledande här) erbjuder inte fullständigt skydd. Det bör dock noteras att data för aktiv bearbetning i molnet ofta behöver lagras dekrypterade i minnet, vilket representerar ett potentiellt åtkomstfönster.
• Åtkomstkontroller och styrning: Implementering av strikta policyer för identitets- och åtkomsthantering (IAM) för att begränsa dataåtkomst till ett absolut minimum. Undersökning av om åtkomst för personal från vissa jurisdiktioner (t.ex. USA) till data i andra regioner (t.ex. EU) kan förhindras genom tekniska och organisatoriska åtgärder.
• Hybrid- och multimolnstrategier: Migrering av särskilt känsliga data och arbetsbelastningar till ett privat moln eller lokal infrastruktur, medan mindre kritiska applikationer finns kvar i det publika molnet. Detta möjliggör differentierad riskhantering.
• Juridisk strukturering: I vissa fall kan etablering av juridiskt separata dotterbolag i olika jurisdiktioner anses bryta det amerikanska moderbolagets "kontroll" över data i andra regioner. Detta är dock komplext och kräver noggrann juridisk strukturering.
• Svara på förfrågningar: Utveckla tydliga interna processer för att hantera förfrågningar från myndigheter. Detta inkluderar att kontrollera förfrågningens laglighet och vara beredd att bestrida beslut om de strider mot lokala lagar (t.ex. GDPR).

Det måste dock noteras att tekniska och organisatoriska åtgärder har sina begränsningar. Så länge ett företag som lyder under amerikansk jurisdiktion i slutändan har besittning, förvaring eller kontroll över de data eller nycklar som krävs för dekryptering, kvarstår den grundläggande rättsliga risken att tvingas överlämna dem enligt CLOUD Act. Även stark kryptering kan kringgås om leverantören kan tvingas överlämna nycklarna eller har tillgång till ledningsnivån. En rent teknisk lösning kan inte helt eliminera det rättsliga problemet med suveränitetsanspråk.

Följande tabell ger en jämförande översikt över de olika nationella strategierna:

Jämförelse av nationella strategier för att minska risker med CLOUD Act

Jämförelse av nationella strategier för att minska risker med CLOUD Act – Bild: Xpert.Digital

Olika länder och regioner världen över har utvecklat olika strategiska tillvägagångssätt för att hantera de risker som den amerikanska CLOUD Act utgör. Datalokaliseringsstrategin, som den tillämpas i Kina, Ryssland och delar av Indien och Vietnam, kräver strikt nationell lagring av data. Även om detta ökar nationell kontroll och suveränitet och främjar lokal industri, visar det sig ofta vara ineffektivt, kostsamt och hämmande för innovation, och det begränsar tillgången till globala tjänster.

EU med GDPR, Schweiz med FADP, Brasilien med LGPD och Storbritannien med GDPR fokuserar å andra sidan på att stärka sina egna regleringar med höga dataskyddsstandarder, tydliga regler för internationella dataöverföringar och starka tillsynsmyndigheter. Denna strategi skyddar medborgarnas rättigheter och skapar en rättslig ram för tvister, men den löser inte direkt den grundläggande jurisdiktionskonflikten och lägger en tung börda av efterlevnadskrav på företagen.

Vissa regioner främjar aktivt lokala leverantörer och digitala ekosystem, såsom EU med Gaia-X-projektet eller Kina och Ryssland med sin industripolitik. Dessa åtgärder minskar beroendet av utländska leverantörer och stärker den tekniska suveräniteten, men är ofta förknippade med begränsad konkurrenskraft gentemot stora internationella leverantörer och visar sig vara långdragna och kostsamma.

Storbritannien och Australien har ingått exekutiva avtal med USA enligt CLOUD Act, medan EU fortfarande förhandlar. Dessa bilaterala avtal möjliggör snabbare dataåtkomst för brottsbekämpande myndigheter och ger rättssäkerhet för leverantörer, men kan kringgå nationella dataskyddsstandarder och legitimera USA:s tillgång till data.

Många länder följer implicit den traditionella MLAT-processen (Mutual Legal Assistance Treaty), som erbjuder etablerade rättshjälpsförfaranden med starkare rättsstatsgarantier, men som anses vara långsam, byråkratisk och ineffektiv för digitala bevis.

Företag världen över implementerar också tekniska och organisatoriska åtgärder som kryptering där man behåller sin egen nyckel, strikta åtkomstkontroller, hybridmolnlösningar och omfattande riskanalyser. Även om dessa åtgärder kan minska risker och visa efterlevnad, misslyckas de ofta med att ta itu med det grundläggande jurisdiktionella problemet och är komplexa och potentiellt kostsamma att implementera.

Relaterat till detta:

• AI-integration av en oberoende och dataövergripande AI-plattform för alla affärsbehov

En problematisk lag med långtgående konsekvenser

Analysen av den amerikanska CLOUD Act och dess globala inverkan avslöjar en komplex väv av juridiska konflikter, teknologiska beroenden, geopolitiska spänningar och strategiska åtgärder. Även om lagen utformades med det förståeliga målet att effektivisera brottsbekämpning i den digitala tidsåldern, visar sig den i sin nuvarande form vara mycket problematisk och utgör betydande risker för individer, företag och stater världen över.

Sammanfattning av CLOUD-lagens kärnproblem

De viktigaste kritikerna och problemområdena kan sammanfattas enligt följande:

• Konflikt med nationell suveränitet och rättssystem: Det uttryckliga extraterritoriella anspråket i CLOUD Act, som ger amerikanska myndigheter tillgång till data oavsett lagringsplats, krockar i grunden med den uppfattning om suveränitet som innehas av andra stater och deras rättssystem. Detta blir särskilt tydligt i konflikten med EU:s GDPR, särskilt artikel 48, som kopplar erkännandet av utländska regeringsorder till internationella avtal.
• Rättslig osäkerhet och lagkonflikter: För globalt verksamma företag, särskilt molnleverantörer, skapar lagen betydande rättslig osäkerhet. De står inför potentiellt motstridiga rättsliga skyldigheter – å ena sidan den amerikanska ordern att lämna ut data, och å andra sidan dataskydds- eller sekretesslagarna i det land där uppgifterna lagras eller vars medborgare berörs. Detta leder till ett dilemma med potentiella sanktioner på båda sidor.
• Förtroendeurholkning: CLOUD Act undergräver avsevärt förtroendet för amerikanska teknikleverantörer. Möjligheten för amerikanska myndigheter att få tillgång till data genom att kringgå lokala förfaranden eller utan de berörda personernas vetskap underblåser misstro mot datasäkerhet och sekretess. Detta gäller både personuppgifter och känslig företagsinformation och förvärras av parallella farhågor kring amerikanska övervakningslagar (Schrems II-frågan).
• Risker utöver brottsbekämpning: Även om det uttalade syftet är att bekämpa allvarlig brottslighet, finns det oro för missbruk av åtkomsträttigheter för statlig övervakning eller ekonomisk spionage. Dessa risker är svåra att kontrollera och bidrar till förlust av förtroende.
• Främja global fragmentering: CLOUD Acts unilaterala tillvägagångssätt fungerar som en katalysator för globala fragmenteringstrender i det digitala rummet. Det provocerar fram motreaktioner i form av datalokaliseringslagar och främjandet av nationella digitala ekosystem, vilket uppmuntrar en "balkanisering" av internet och hindrar det fria globala dataflödet.

Översikt över det globala beroendelandskapet

Marknadsandelsanalyser visar ett massivt globalt beroende av de tre stora amerikanska molnhyperskalningsföretagen: AWS, Microsoft Azure och GCP. Särskilt i Nordamerika och Europa kontrollerar de över två tredjedelar av marknaden för molninfrastrukturtjänster. Denna höga koncentration skapar en bred potentiell attackyta för CLOUD Act.

Däremot har länder som Kina och Ryssland etablerat i stort sett oberoende digitala ekosystem genom stark statlig reglering, främjande av inhemska leverantörer och marknadsprotektionism. De visar att mindre beroende är möjligt, om än ofta på bekostnad av begränsad global uppkoppling och potentiellt mindre valfrihet.

Europeiska unionen befinner sig i en ambivalent position: Å ena sidan är den starkt beroende av amerikanska leverantörer, medan det å andra sidan finns en stark politisk vilja och konkreta initiativ (Gaia-X, Data Act) för att stärka den digitala suveräniteten och främja alternativ. Framgången för dessa ansträngningar är dock fortfarande osäker.

Utsikter för framtida utveckling

De trender som utlöstes av CLOUD Act och liknande utvecklingar kommer sannolikt att fortsätta:

• Förekomsten av lagar om datalokalisering kommer sannolikt att öka i takt med att fler och fler länder försöker behålla kontrollen över data inom sitt territorium.
• Ansträngningarna att bygga regionala eller nationella molnalternativ kommer att fortsätta, även om det fortfarande är svårt att lyckas i konkurrensen med etablerade hyperskalare. Initiativ som Gaia-X skulle kunna utvecklas till standardiseringsramverk för datautrymmen.
• USA förväntas söka ytterligare verkställande avtal med strategiska partners för att underlätta dataåtkomst. Förhandlingarna med EU är dock fortfarande komplicerade.
• Rättstvister kring internationella dataöverföringar, särskilt i samband med Schrems II och dess efterföljande förordningar (såsom EU:s och USA:s ramverk för dataskydd), kommer att fortsätta. Frågan om en "tillräcklig skyddsnivå" i USA är fortfarande en angelägen fråga.
• För företag blir utveckling och implementering av robusta efterlevnadsstrategier och tekniska lösningar för riskreducering (kryptering, hybridmodeller etc.) allt viktigare för att kunna verka i denna komplexa miljö.

Sammanfattningsvis måste det erkännas att CLOUD Act tar itu med ett verkligt problem: behovet av att brottsbekämpande myndigheter i den digitala tidsåldern snabbt och effektivt får tillgång till bevis som lagras över gränserna. Traditionella MLAT-förfaranden är ofta för långsamma och ineffektiva. En hållbar lösning måste dock hitta ett sätt att förena detta legitima behov av brottsbekämpning med grundläggande rättigheter till dataskydd och integritet, samt staters suveränitet. CLOUD Act, i sin nuvarande form, misslyckas med att hitta denna balans, enligt många internationella observatörer och intressenter. Den representerar en USA-centrerad lösning som inte i tillräcklig utsträckning beaktar andra länders problem och rättssystem, vilket skapar fler problem än den löser. En internationellt samordnad lösning baserad på ömsesidig respekt för rättssystem och starka garantier för grundläggande rättigheter är fortfarande ett angeläget behov.

Rekommendationer för åtgärder

Analysen av CLOUD Act och dess globala inverkan ger konkreta rekommendationer för åtgärder för europeiska företag och organisationer såväl som för politiska beslutsfattare.

För europeiska företag och organisationer:

• Genomföra omfattande riskanalyser: Företag bör systematiskt bedöma sitt beroende av amerikanska molnleverantörer. Detta inkluderar att klassificera de bearbetade uppgifterna efter känslighet och analysera de potentiella riskerna i händelse av dataåtkomst från amerikanska myndigheter. Att genomföra konsekvensbedömningar för dataöverföring (TIA), i enlighet med Schrems II, är avgörande.
• Noggrant val av molnleverantörer: Det är lämpligt att aktivt överväga europeiska eller andra icke-amerikanska molnleverantörer som alternativ som inte omfattas av amerikansk jurisdiktion eller som omfattas av mindre stränga regler. Leverantörer bör utvärderas baserat på deras avtalsenliga åtaganden gällande CLOUD Act-förfrågningar, deras tekniska skyddsåtgärder och deras efterlevnadscertifieringar.
• Robust avtalsdesign: Avtal med molnleverantörer bör innehålla tydliga bestämmelser om databehandling, lagringsplatser, säkerhetsåtgärder och hantering av officiella förfrågningar, i enlighet med artikel 28 i GDPR.
• Implementering av starka tekniska åtgärder: Användningen av end-to-end-kryptering, där de kryptografiska nycklarna förblir uteslutande under kundens kontroll (Hold Your Own Key – HYOK), är en viktig säkerhetsåtgärd. Strikta åtkomstkontroller (Identity and Access Management) och, där så är lämpligt, pseudonymiserings- eller anonymiseringstekniker bör implementeras.
• Användning av hybrid- eller multimolnstrategier: För särskilt känsliga data kan det vara fördelaktigt att använda privata moln eller lokala infrastrukturer, medan mindre kritiska arbetsbelastningar kan finnas kvar i det publika molnet. Detta möjliggör differentierad riskhantering.
• Inhämtning av specifik juridisk rådgivning: Med tanke på den komplexa och ständigt föränderliga rättssituationen är det avgörande att inhämta specialiserad juridisk rådgivning för att bedöma specifika risker och utveckla en hållbar compliance-strategi.

För politiska beslutsfattare (särskilt inom EU):

• Stärka europeisk digital suveränitet: Att konsekvent främja initiativ som Gaia-X och stödja utvecklingen av konkurrenskraftiga europeiska molnleverantörer är nödvändigt för att skapa genuina tekniska alternativ och minska beroendet. Datalagen bör användas för att säkerställa rättvisa marknadsvillkor och kontroll över data.
• En tydlig hållning i internationella förhandlingar: Förhandlingar om ett potentiellt CLOUD Act-avtal mellan EU och USA måste säkerställa att de höga europeiska dataskyddsstandarderna (GDPR, EU:s stadga om de grundläggande rättigheterna, Schrems II-bestämmelserna) upprätthålls fullt ut. Detta inkluderar robusta garantier för rättsstatsprincipen, proportionalitet, transparens och ett effektivt rättsligt skydd för registrerade. Prioriteringen av etablerade förfaranden för ömsesidig rättslig hjälp (MLAT) eller motsvarande skyddsåtgärder bör förankras.
• Främja globala standarder: EU bör på internationell nivå förespråka utvecklingen av harmoniserade regler och standarder för gränsöverskridande dataåtkomst för offentliga myndigheter, baserade på rättsstatsprincipen, respekt för grundläggande rättigheter och ömsesidig respekt mellan nationella rättssystem.
• Utbildning och stöd för företag: Beslutsfattare och tillsynsmyndigheter bör ge tydlig vägledning och praktiskt stöd till företag för att hjälpa dem att bedöma risker och implementera efterlevnadsåtgärder i hanteringen av CLOUD Act och internationella dataöverföringar.

☑️ Stöd till små och medelstora företag inom strategi, konsultation, planering och implementering

☑️ Skapande eller omstrukturering av AI-strategin

☑️ Pionjär inom affärsutveckling

Konrad Wolfenstein

Jag skulle gärna fungera som din personliga rådgivare.

Du kan kontakta mig genom att fylla i kontaktformuläret nedan eller helt enkelt ringa mig på +49 89 89 674 804 (München) .

Jag ser fram emot vårt gemensamma projekt.

Xpert.Digital är ett nav för industrin med fokus på digitalisering, maskinteknik, logistik/intralogistik och solceller.

Med vår 360° affärsutvecklingslösning stödjer vi välrenommerade företag från nya affärer till eftermarknadsförsäljning.

Marknadsinformation, smarketing, marknadsautomation, innehållsutveckling, PR, utskick, personliga sociala medier och lead nurturing är en del av våra digitala verktyg.

Du hittar mer information på: www.xpert.digital - www.xpert.solar - www.xpert.plus