AWS åtar sig att bestrida begäranden om utlämnande av kunddata som strider mot EU-rätt eller nationell lagstiftning

Den 17 februari publicerade Amazon Web Services (”AWS”) ett tillägg till sitt Data Processing Addendum (personuppgiftsbiträdesavtal). I tillägget förstärker AWS sedan tidigare existerande åtaganden men gör även, enligt vår bedömning, nya åtaganden vad avser hur AWS hanterar begäranden från myndigheter om utlämnande av kunddata. Utan att spekulera alltför mycket kan man nog anta att tillägget är en konsekvens av ett ökat intresse för frågan i ljuset av EU-domstolens dom i det s.k. Schrems II-målet och den amerikanska CLOUD Act-lagstiftningen – även om den senare gett upphov till många missuppfattningar.

Innehållet i tillägget kan sammanfattas enligt följande:

• AWS ska i första hand, genom alla rimliga ansträngningar (every reasonable efforts), försöka förmå den part som begärt utlämnandet att istället vända sig direkt till kunden.

• Om inte AWS lyckas styra om begäran till kunden ska AWS informera kunden om existensen av den och om AWS är förbjuden att informera ska AWS genom alla rimliga och lagliga ansträngningar försöka få lov att göra det.

• AWS ska bestrida varje begäran om utlämnande av kunddata som är alltför långtgående (overbroad) eller annars olämplig, innefattande om den skulle vara oförenlig med EU-lagstiftning (t.ex. GDPR) eller tillämplig lag i ett medlemsland.

• Om AWS trots ovan åtgärder är skyldig att lämna ut kunddata ska AWS lämna ut så lite kunddata som möjligt.

Några noteringar ang. begäranden från amerikanska myndigheter

Vad gäller USA kan det vara värt att notera ett uttalande från USAs justitiedepartementet om att brottsbekämpande myndigheter bör vända sig direkt till den som ”äger” datan och inte tjänsteleverantörer (såvida det inte skulle vara till men för utredningen).

För den som tänker på begäranden enligt CLOUD Act (eller Stored Communications Act, SCA) kan det även vara värt att notera att AWS har möjlighet att invända på basis av att en sådan begäran är oförenlig med EU-rätt (eller svensk lag). En vanlig missuppfattning är annars att detta inte skulle vara möjligt i avsaknad av s.k. CLOUD Act executive agreement mellan USA och EU (eller USA och Sverige) – något som i dagsläget inte existerar.