privacy8 min læsning

Dataoverførsler til USA i 2026 — Er Dine Data Stadig Sikre?

Status på EU-US dataoverførsler, Data Privacy Framework, og hvad danske virksomheder bør gøre for at beskytte sig

Dataoverførsler til USA i 2026 — Er Dine Data Stadig Sikre?

Historien om EU-US dataoverførsler

Overførsel af persondata fra EU til USA har været et af de mest turbulente områder inden for databeskyttelse i over to årtier. Tre gange har EU forsøgt at skabe en stabil ramme for transatlantiske dataoverførsler — og to gange er de blevet underkendt af EU-Domstolen.

Historien om EU-US dataoverførselsaftaler (2000–2023)

2000: Safe Harbor
2015: Schrems I
2016: Privacy Shield
2020: Schrems II
2023: Data Privacy Framework

Safe Harbor (2000–2015)

Den første aftale tillod amerikanske virksomheder at selvcertificere at de levede op til EU's databeskyttelseskrav. EU-Domstolen underkender aftalen i Schrems I-afgørelsen i 2015 og fastslår, at amerikanske overvågningslove giver utilstrækkelig beskyttelse af EU-borgeres data.

Privacy Shield (2016–2020)

EU og USA forsøger igen med en styrket aftale. Men EU-Domstolen underkender også denne i Schrems II-afgørelsen i juli 2020, med samme begrundelse: amerikanske overvågningslove (FISA 702, Executive Order 12333) giver EU-borgere utilstrækkelig beskyttelse og ingen effektive retsmidler.

Data Privacy Framework (2023–?)

I juli 2023 vedtager Europa-Kommissionen en ny tilstrækkelighedsafgørelse baseret på USA's Executive Order 14086, der indførte nye garantier og en klageinstans (Data Protection Review Court). Men rammen er allerede under pres — og spørgsmålet er, om historien gentager sig.

Hvad er Data Privacy Framework?

EU-US Data Privacy Framework (DPF) er den nuværende ordning for lovlig overførsel af persondata fra EU til USA[1]. Rammen er baseret på tre søjler:

1. Amerikanske virksomheders selvcertificering: Amerikanske virksomheder tilmelder sig DPF hos US Department of Commerce og forpligter sig til at overholde specifikke databeskyttelsesprincipper, herunder formålsbegrænsning, dataminimering og sikkerhedsforanstaltninger.

2. Begrænsninger for amerikansk efterretningstjeneste: Executive Order 14086 (underskrevet af Biden i oktober 2022) begrænser amerikanske efterretningstjenesters adgang til EU-borgeres data til det "nødvendige og proportionale" — et princip hentet fra EU-retten.

3. Klageinstans: En ny Data Protection Review Court (DPRC) giver EU-borgere mulighed for at klage, hvis de mener, at amerikanske myndigheder ulovligt har tilgået deres data.

💡 Tip: Tjek om jeres amerikanske serviceudbydere er DPF-certificerede på dataprivacyframework.gov. Kun certificerede virksomheder er omfattet af rammen.

Hvorfor er DPF i fare?

Siden januar 2025 har en række politiske ændringer i USA skabt alvorlig usikkerhed om DPF's fremtid[2]. De centrale bekymringer er:

PCLOB-afviklingen

Privacy and Civil Liberties Oversight Board (PCLOB) er et uafhængigt tilsynsorgan, der overvåger amerikanske efterretningstjenesters overholdelse af borgernes rettigheder. I januar 2025 blev flertallet af bestyrelsesmedlemmerne afskediget, hvilket reelt har lammet organets evne til at føre tilsyn. PCLOB spillede en central rolle i at overbevise Europa-Kommissionen om, at USA's garantier var troværdige.

FTC's uafhængighed

Federal Trade Commission (FTC) håndhæver DPF-reglerne over for amerikanske virksomheder. Forsøg på at begrænse FTC's uafhængighed rejser spørgsmål om, hvorvidt håndhævelsen af DPF-forpligtelserne reelt vil finde sted.

Executive Order 14086 er sårbar

Hele DPF hviler på en executive order fra Biden-administrationen. En executive order kan ændres eller tilbagekaldes af enhver efterfølgende præsident uden Kongressens godkendelse. Dette gør fundamentet for DPF strukturelt skrøbeligt.

Øget overvågningsaktivitet

Rapporter om udvidet overvågning af kommunikation og immigration rejser bekymringer om, hvorvidt princippet om "nødvendig og proportional" dataadgang reelt overholdes.

Danske virksomheders afhængighed af US-tjenester

Danske virksomheders brug af US cloud-tjenester (estimeret)

⚠️ Vigtigt: Over 90% af danske virksomheder bruger mindst én US-baseret cloud-tjeneste. Hvis DPF falder, påvirker det næsten alle.

Hvad sker der hvis DPF falder?

Hvis DPF bliver underkendt — et "Schrems III"-scenario — vil konsekvenserne for danske virksomheder være betydelige:

Umiddelbare konsekvenser:

  • Alle dataoverførsler baseret udelukkende på DPF bliver ulovlige
  • Virksomheder skal omgående finde alternative overførselsgrundlag
  • Datatilsynet kan pålægge forbud mod overførsler til USA
  • Potentielle GDPR-bøder for virksomheder der fortsætter ulovlige overførsler

Alternative overførselsgrundlag:

  • Standardkontraktbestemmelser (SCCs) — men kun med supplerende foranstaltninger
  • Bindende virksomhedsregler (BCRs) — for koncerner med intern dataoverførsel
  • Undtagelser efter GDPR artikel 49 — kun i specifikke, begrænsede situationer

Realistisk scenarie: EU og USA vil sandsynligvis forsøge at forhandle en ny aftale, men det kan tage måneder eller år. I mellemtiden skal virksomheder have en plan B klar.

Standardkontraktbestemmelser (SCCs) som backup

Standardkontraktbestemmelser er kontraktlige garantier godkendt af Europa-Kommissionen, der kan bruges som grundlag for dataoverførsler til tredjelande[3][4]. De er det mest udbredte alternativ til en tilstrækkelighedsafgørelse.

Hvad er SCCs?

  • Standardiserede kontrakt-klausuler mellem dataeksportør (EU) og dataimportør (USA)
  • Vedtaget af Europa-Kommissionen i juni 2021
  • Pålægger dataimportøren specifikke databeskyttelsesforpligtelser
  • Giver registrerede tredjepartsbegunstiget rettigheder

Vigtige krav til SCCs:

  • SCCs alene er ikke nødvendigvis tilstrækkelige for overførsler til USA
  • Schrems II-dommen kræver, at virksomheder gennemfører en Transfer Impact Assessment (TIA)
  • Supplerende foranstaltninger kan være nødvendige (kryptering, pseudonymisering, m.v.)
  • SCCs skal tilpasses til den specifikke overførsel og relationen mellem parterne

Modulær opbygning: De nye SCCs har en modulær struktur med fire moduler:

ModulRelationEksempel
Modul 1Controller → ControllerDansk virksomhed deler kundedata med US partner
Modul 2Controller → ProcessorDansk virksomhed bruger US cloud-tjeneste
Modul 3Processor → ProcessorDansk databehandler videregiver til US under-databehandler
Modul 4Processor → ControllerSjælden, men mulig konfiguration

💡 Tip: Modul 2 (Controller → Processor) er det mest relevante for de fleste danske virksomheder, da det dækker situationen hvor I bruger en US-baseret cloud-tjeneste eller SaaS-platform.

Transfer Impact Assessments (TIA) — praktisk guide

En TIA er en dokumenteret vurdering af, om det pågældende tredjeland giver tilstrækkelig beskyttelse af persondata[4]. Siden Schrems II er TIA'er de facto påkrævet for overførsler til USA baseret på SCCs.

Trin i en TIA:

1. Identificér overførslen:

  • Hvilke data overføres?
  • Til hvem og hvorfor?
  • Hvilket overførselsgrundlag bruges?

2. Vurdér lovgivningen i modtagerlandet:

  • Giver lovgivningen offentlige myndigheder adgang til data?
  • Er adgangen begrænset til det nødvendige og proportionale?
  • Findes der effektive retsmidler for registrerede?

3. Vurdér risikoen i praksis:

  • Er der konkret risiko for myndigheds-adgang til netop disse data?
  • Hvilken type data er der tale om?
  • Hvor sandsynligt er det, at myndighederne vil anmode om adgang?

4. Identificér supplerende foranstaltninger:

  • Tekniske: Kryptering, pseudonymisering, opsplitning af data
  • Organisatoriske: Interne politikker, transparensrapporter, audit-rettigheder
  • Kontraktuelle: Forpligtelse til at anfægte ulovlige anmodninger

5. Dokumentér og revurdér løbende:

  • Dokumentér analysen og konklusionen grundigt
  • Revurdér regelmæssigt — mindst årligt og ved væsentlige ændringer

⚠️ Vigtigt: En TIA er ikke en engangsøvelse. Med de aktuelle politiske ændringer i USA bør danske virksomheder revurdere deres TIA'er oftere end normalt — ideelt set kvartalsvis.

EU-baserede alternativer

Den mest sikre langsigtede løsning er at reducere afhængigheden af US-baserede tjenester. Her er EU-baserede alternativer til de mest udbredte amerikanske tjenester:

Danske virksomheders brug af US-tjenester efter kategori (%)

Cloud og infrastruktur:

  • Hetzner (DE), OVHcloud (FR), Scaleway (FR) i stedet for AWS/Azure/GCP
  • UpCloud (FI), Elastx (SE) for nordisk cloud

E-mail og samarbejde:

  • Proton Mail (CH), Tutanota (DE) i stedet for Gmail/Outlook
  • Nextcloud (DE) i stedet for Google Workspace/Microsoft 365

Analytics:

  • Matomo (EU), Plausible (EU) i stedet for Google Analytics
  • PostHog (EU-hosting tilgængelig) i stedet for Mixpanel

Kommunikation:

  • Element/Matrix (EU) i stedet for Slack
  • Jitsi (open source, EU-hosting) i stedet for Zoom

Se vores komplette EU Data Hosting Guide for en dybdegående gennemgang af EU-baserede hosting-alternativer.

5 skridt din virksomhed bør tage nu

Skridt 1: Kortlæg alle US-dataoverførsler

  • Lav en komplet liste over alle tjenester hvor persondata overføres til USA
  • Identificér overførselsgrundlaget for hver tjeneste (DPF, SCCs, undtagelser)
  • Prioritér efter risiko og datamængde

Skridt 2: Implementér SCCs som backup

  • Sørg for at have gyldige SCCs med alle US-baserede databehandlere
  • Vælg det rigtige modul baseret på jeres relation
  • Husk at SCCs alene ikke er tilstrækkeligt — I skal også gennemføre TIA

Skridt 3: Gennemfør Transfer Impact Assessments

  • Udfør TIA for hver US-overførsel baseret på SCCs
  • Identificér og implementér supplerende foranstaltninger
  • Dokumentér grundigt og opbevar dokumentationen

Skridt 4: Planlæg EU-alternativer

  • Identificér kritiske tjenester hvor EU-alternativer eksisterer
  • Udarbejd en migreringsplan med prioritering og tidsramme
  • Start med lavthængende frugter (analytics, hosting, backup)

Skridt 5: Overvåg udviklingen

  • Følg med i den politiske udvikling i USA
  • Abonnér på opdateringer fra Datatilsynet[3] og EDPB[4]
  • Vær klar til at aktivere jeres plan B, hvis DPF falder
  • Revurdér TIA'er regelmæssigt

Datatilsynets vejledning

Datatilsynet har udgivet detaljeret vejledning om internationale dataoverførsler[3]:

  • Virksomheder skal have et gyldigt overførselsgrundlag for enhver overførsel af persondata til tredjelande
  • DPF er aktuelt et gyldigt grundlag for overførsler til certificerede amerikanske virksomheder
  • SCCs kan bruges som alternativ, men kræver supplerende vurdering (TIA)
  • Virksomheder har en løbende forpligtelse til at overvåge, om overførselsgrundlaget forbliver gyldigt
  • Ved brud på overførselsreglerne kan Datatilsynet pålægge bøder og forbud

Datatilsynet anbefaler, at danske virksomheder ikke udelukkende stoler på DPF, men har en backup-strategi klar.

Sådan kan Infobits hjælpe

Infobits kan hjælpe dig med:

  • Kortlægning af jeres US-dataoverførsler og risikovurdering
  • Implementering af SCCs og gennemførelse af Transfer Impact Assessments
  • Migration til EU-baserede cloud-løsninger og hosting
  • GDPR-compliant infrastruktur uden afhængighed af US-tjenester
  • Løbende overvågning og rådgivning om internationale dataoverførsler

Usikkerheden om EU-US dataoverførsler er ikke ny, men den er mere akut end nogensinde. Danske virksomheder der forbereder sig nu, vil stå stærkest — uanset hvad der sker med DPF. Kontakt Infobits for en uforpligtende vurdering af jeres situation — send en email til [email protected].

Kilder og Referencer

  1. Europa-Kommissionen - EU-US Data Privacy Frameworkhttps://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-privacy-framework_en
  2. IAPP - EU-US Data Transfers Analysishttps://iapp.org/news/a/the-eu-u-s-data-privacy-framework-what-you-need-to-know/
  3. Datatilsynet - Overførsel til tredjelandehttps://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/overfoerelse-til-tredjelande
  4. EDPB Guidelines on International Transfershttps://www.edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en
Sidst opdateret: 12. februar 2026
Nøgleord: dataoverførsel, usa, data privacy framework, schrems, privacy shield, safe harbor, scc, standardkontraktbestemmelser, tia, cloud act, fisa, tredjeland, adequacy, dpf