Forside
Om os
Open source Mobilapps Ofte stillede spørgsmål Migrér fra Google Photos Om PixelUnion
Priser Blog
Hjælpecenter
Konto Immich Migrering Øvrigt Kontakt support
Get Started
Privacy

CLOUD Act forklaret: Hvad det betyder for dine fotos og privathed

PixelUnion Team
6 min read
#CLOUD Act #Digital Sovereignty #Europe #Big Tech #Privacy #Data Protection #GDPR
CLOUD Act forklaret: Hvad det betyder for dine fotos og privathed

Dine fotos er i “skyen”. Men hvis sky? Og hvilke love gælder?

Hvis du gemmer fotos på Google Fotos, iCloud, OneDrive eller Dropbox, antager du sandsynligvis, at dine data er beskyttet af privatlovene i det land, hvor disse servere befinder sig. Hvis dine fotos er gemt i Europa, tænker du måske, at europæiske privatlovgivningsregler - som GDPR - beskytter dig. Men der er en amerikansk lov, som du sandsynligvis aldrig har hørt om, som kan ophæve alt dette. Den hedder CLOUD Act, og den er vigtigere, end du tror.

Hvad er CLOUD Act?

CLOUD Act er en kort, kompleks amerikansk lov fra 2018. Navnet betyder “Clarifying Lawful Overseas Use of Data” - hvilket, for at være ærlig, lyder mere forvirrende end selve loven. Du kan læse den faktiske tekst her, men vi oversætter det til enkelt dansk.

Her er kerneideen: Hvis en amerikansk virksomhed gemmer dine data - selv hvis disse servere er fysisk placeret i Europa - kan amerikanske retshåndhævelsesmyndigheder kræve, at virksomheden udleverer dine data direkte til dem, uden først at bede europæiske myndigheder om tilladelse.

Tænk på det sådan: Du lejer en lejlighed i Paris. Ejeren er amerikaner. Under normale regler skulle politiet, hvis de ville gennemføre ransagning af din lejlighed, gennem franske domstole og få fransk godkendelse. Men hvad hvis der var en regel, der sagde, at amerikanske ejere skal åbne deres døre for amerikansk politi hver gang det bliver bedt derom? Det er i det væsentlige, hvad CLOUD Act gør - det lader amerikanske retshåndhævelsesmyndigheder omgå europæiske juridiske processer og gå direkte til virksomheden, der gemmer dine data.

CLOUD Act tillader amerikanske myndigheder at kræve data fra amerikanske teknologivirksomheder, selv når disse data er gemt på europæiske servere og tilhører europæiske borgere - hvilket potentielt kan ophæve europæisk privatlivsbeskyttelse.

Hvorfor det betyder noget (selv hvis dine data er i Europa)

Du tænker måske: “Mine fotos er gemt i et tysk datacenter, beskyttet af tysk lov.” Det virker sikkert. Men det er ikke loven, der beskytter bygningen, der betyder noget - det er loven, der beskytter den virksomhed, der driver bygningen.

Når du uploader fotos til Google Fotos, er Google (en amerikansk virksomhed) ansvarlig for dem. Googles hovedkontor er i Californien. Google skal overholde amerikanske love. Hvis amerikanske retshåndhævelsesmyndigheder dukker op med et juridisk krav, skal Google overholde amerikansk lov - selv hvis dine fotos er på servere i Frankfurt, Amsterdam eller Dublin.

CLOUD Act blev faktisk designet til at løse et andet problem: det var beregnet til at hjælpe amerikanske teknologivirksomheder med at undgå modsatrettede juridiske krav fra flere lande. Men bivirkingen var, at det skabte en juridisk vej for amerikanske myndigheder til at få adgang til data gemt hvor som helst i verden, så længe en amerikansk virksomhed holder det.

GDPR beskytter dig ikke mod CLOUD Act

Her er det vigtigt: GDPR (EUs generelle forordning om databeskyttelse) er fantastisk. Det giver dig rettigheder, det begrænser, hvad virksomheder kan gøre med dine data, og det tvinger transparens. Men GDPR handler om, hvad virksomheder selv kan gøre med dine data. Det er ikke et skjold mod regeringskrav.

CLOUD Act handler om regeringsadgang. GDPR kan ikke forhindre amerikanske retshåndhævelsesmyndigheder i at stille et juridisk krav under CLOUD Act-reglerne. De er to forskellige ting:

  • GDPR kontrollerer, hvad virksomheder gør med dine data i normalt, dagligt virke
  • CLOUD Act kontrollerer, hvad regeringer kan kræve fra disse virksomheder

Selv en virksomhed, der perfekt overholder GDPR, skal stadig overholde et CLOUD Act-krav fra amerikanske myndigheder. Det er som at have verdens strengeste lejeregler - men politiet kan stadig komme ind, hvis de har en kendelse.

Hvem påvirkes egentlig?

Grundlæggende: enhver, der bruger større cloud-lager eller foto-tjenester. Dette omfatter:

  • Google Fotos og Google Drive
  • Apple iCloud
  • Microsoft OneDrive og Outlook
  • Dropbox
  • Amazon Fotos
  • Facebook og Instagram (som også hoster dine fotos)
  • Enhver anden amerikansk cloud-virksomhed

Hvis en amerikansk virksomhed gemmer dine data, kan CLOUD Act gælde. Dette er ikke teoretisk - amerikanske retshåndhævelsesmyndigheder har allerede brugt CLOUD Act-beføjelser til at anmode om data fra teknologivirksomheder, og virksomheder overholder normalt dette.

Virkelige konsekvenser

Lad os gøre dette konkret. Forestil dig:

  • En journalist i Polen bruger Google Drive til at gemme forskning og dokumenter. Amerikanske myndigheder, der undersøger journalistens kilder, kunne kræve, at Google overdrager alt - selv om data er gemt i Europa, og journalisten er europæer.

  • En fotograf i Tyskland bruger Dropbox til at sikkerhedskopiere kundebilleder og kontrakter. Hvis han bliver undersøgt af en eller anden grund, kunne amerikanske myndigheder få adgang til disse filer uden at gå gennem tyske domstole.

  • En aktivist i Ungarn bruger Gmail og Google Fotos. Amerikanske myndigheder kunne få adgang til hans e-mails og fotos, hvis de havde juridisk grundlag for det.

Dette er ikke paranoia-scenarier. Sådan virker loven faktisk.

Hvordan CLOUD Act adskiller sig fra andre regler

Du har måske hørt om love som GDPR, SCHREMS II eller tilstrækkelighedsbeslutninger. Disse er vigtige, men virker forskelligt:

  • GDPR fortæller virksomheder, hvordan de skal håndtere dine data. Det stopper ikke regeringer.
  • Tilstrækkelighedsbeslutninger (såsom mellem EU og USA) forsøger at skabe tillid mellem regioner. Men de ophæver ikke CLOUD Act.
  • SCHREMS II gjorde det sværere at flytte data mellem kontinenter. Men det forhindrer ikke CLOUD Act-krav, når data er hos en amerikansk virksomhed.

CLOUD Act ligger over det meste af dette - det er en direkte juridisk vej for amerikanske myndigheder til at få adgang til data.

Hvad kan du faktisk gøre?

Du kan ikke opsige CLOUD Act. Men du har valg:

1. Brug europæiske alternativer. Tjenester som Nextcloud, Proton (baseret i Schweiz) eller mindre europæiske udbydere er ikke underlagt CLOUD Act, fordi de ikke er amerikanske virksomheder. Dette giver dig reel beskyttelse under europæisk lov.

2. Kryptér før upload. Hvis dine data er end-to-end krypteret (du har nøglerne, virksomheden ikke), kan virksomheder ikke levere læsbare data, selv hvis myndigheder kræver det. Søg efter tjenester med zero-knowledge arkitektur.

3. Forstå risikoen. For tilfældige familiefoto? Måske er risikoen acceptabel. For følsomme dokumenter, medicinske optegnelser eller alt, hvad du skal holde privat? Det er værd at overveje alternativer.

4. Støt privatlovgivning. Kamp for stærkere europæisk databeskyttelseslove og lovgivning, der begrænser, hvordan amerikanske myndigheder kan få adgang til data om EU-borgere.

Hvorfor PixelUnion eksisterer

Vi byggede PixelUnion netop på grund af bekymringer som disse. PixelUnion er en europæisk, privatlivsfokuseret administreret foto- og video-lagringstjeneste. Dine data forbliver i Europa under europæisk juridisk beskyttelse. Vi sælger ikke dine data, vi bygger ikke profiler om dig, og vi er ikke underlagt CLOUD Act, fordi vi ikke er en amerikansk virksomhed.

Vi mener, du skal kunne gemme dine fotos og minder uden at spekulere på, om en fremmed regering kan få adgang til dem uden dit vidende eller samtykke.

CLOUD Act er ikke et hemmeligt komplott. Det er en reel lov med rigtige konsekvenser. Du behøver ikke at gå i panik, men du skal forstå det - især hvis du holder af din privathed. Dine fotos fortæller din historie. Du fortjener at vide, hvilke love der beskytter denne historie.

Oplev privatlivsfokuseret fotolager uden CLOUD Act-bekymringer. Læs mere om PixelUnion.