Många EU-företag väljer amerikanska e-post- och SMS-leverantörer för att de är smidiga, välkända och tekniskt avancerade. Det är störst, därmed är de bäst. Dessutom är de så stora att de vanligtvis kan pressa ner volympriserna också, så det blir faktiskt lite billigare.

Men få ställer den juridiska följdfrågan:

Vad innebär det egentligen att lägga vår kunddata under amerikansk jurisdiktion?

Här är vad du bör känna till.

1️. Det är en tredjelandsöverföring – varje gång

När ni använder en amerikansk ESP överförs personuppgifter till ett tredjeland.

Det handlar inte bara om e-postadresser, utan även om:

  • Telefonnummer
  • IP-adresser
  • Öppnings- och klickdata
  • Segmentering och kundprofiler

Enligt artikel 44 GDPR måste tredjelandsöverföringar uppfylla särskilda krav¹. Skyddsnivån ska i praktiken vara likvärdig med den inom EU. Det är inte alltid så är fallet.

 Vad betyder det för er?
Ni ansvarar för att överföringen är laglig och korrekt dokumenterad. Det yttersta ansvaret ligger alltid hos er – inte leverantören.

2️. Amerikansk lag kan gå före det avtal ni har skrivit.

Amerikanska leverantörer omfattas av lagstiftning som kan ge myndigheter tillgång till data:

  • FISA 702²
  • CLOUD Act³

Detta kan gälla även om uppgifterna lagras inom EU. Det innebär alltså att amerikanska myndigheter kan kräva att få tillgång till er data.

Vad betyder det för er?
Även med starka avtal och tekniska skydd finns en juridisk risk som inte fullt ut kan avtalas bort.

3️. EU-domstolen har redan underkänt två USA-ramverk

  • Safe Harbor ogiltigförklarades i Schrems I
  • Privacy Shield ogiltigförklarades i Schrems II

Domstolen ansåg att amerikansk övervakningslagstiftning inte uppfyllde EU:s krav på proportionalitet och rättsmedel.

Standardavtalsklausuler (SCC) är fortfarande giltiga – men endast om skyddet faktiskt kan säkerställas. Kan det inte det befinner sig alltså era kunduppgifter i fara.

Vad betyder det för er?

Rättsläget kan förändras igen. Ett nytt domstolsbeslut kan snabbt påverka er leverantörsstruktur. Detta är någonting man inte behöver oroa sig för om man använder en EU baserad leverantör.

4. Det kräver mer juridiskt arbete

Enligt EDPB:s rekommendationer 01/2020 måste företag göra en bedömning av mottagarlandets lagstiftning⁶.

Det kan innebära:

  • Transfer Impact Assessment (TIA)
  • Kryptering med EU-baserad nyckelhantering
  • Extra dokumentation och interna rutiner

Vad betyder det för er?

Ökad administrativ och juridisk belastning jämfört med en EU-baserad lösning.

5. Sanktionsrisk och tillsyn

Enligt artikel 83 GDPR kan överträdelser av reglerna om tredjelandsöverföring leda till böter på upp till 20 miljoner euro eller 4 % av global omsättning⁷.

Flera europeiska tillsynsmyndigheter har efter Schrems II granskat överföringar till USA mer aktivt⁸.

Vad betyder det för er?

Utöver böter kan myndigheter besluta om att stoppa behandlingen – vilket kan påverka marknadsföring och kundkommunikation direkt. All kommunikation kan stoppas under utredningen.

En viktig nyansering

Det är viktigt att understryka att överföring av personuppgifter till USA inte är förbjuden i sig. EU-kommissionens beslut om EU–US Data Privacy Framework (DPF) innebär att överföringar till certifierade amerikanska företag idag kan ske med stöd av artikel 45 GDPR. Många amerikanska leverantörer erbjuder dessutom standardavtalsklausuler (SCC) och kompletterande tekniska skyddsåtgärder.

Samtidigt kvarstår det faktum att amerikansk lagstiftning, såsom FISA 702 och CLOUD Act, utgör en strukturell skillnad jämfört med EU:s rättsordning. För företag blir frågan därför inte enbart om överföringen är laglig i nuläget – utan hur robust och långsiktigt stabil den rättsliga grunden är.

Sammanfattningsvis

Att använda en amerikansk e-post- eller SMS-leverantör är inte förbjudet.

Men det innebär:

  • Tredjelandsöverföring enligt GDPR
  • Exponering mot amerikansk lagstiftning
  • Ökade krav på riskbedömning och dokumentation
  • Potentiell osäkerhet kring vem som kan ha åtkomst till din kund eller medlemsdata

Så för många EU-företag handlar det därför om riskhantering och långsiktig stabilitet – inte bara funktion och pris.

Källor

  1. GDPR, artikel 44.
  2. Foreign Intelligence Surveillance Act (FISA), 50 U.S.C. § 1881a.
  3. Clarifying Lawful Overseas Use of Data Act (CLOUD Act), 2018.
  4. EU-domstolen, C-362/14 (Schrems I), 2015.
  5. EU-domstolen, C-311/18 (Schrems II), 2020.
  6. EDPB, Recommendations 01/2020.
  7. GDPR, artikel 83(5).
  8. Exempelvis beslut från österrikiska Datenschutzbehörde 2022.