by Decree
Datasuverænitet

CLOUD Act danske virksomheder: Komplet guide og handleplan (2026)

 · 12 min read

CLOUD Act danske virksomheder: Hvad loven betyder, hvem den rammer, hvilke leverandører er fri, og hvad du skal gøre nu. Komplet guide.

Indholdsfortegnelse

I 2018 vedtog den amerikanske kongres en lov, der kun få danske direktører lagde mærke til på det tidspunkt. Otte år senere er den blevet et af de mest omtalte juridiske spørgsmål i dansk B2B IT, og den vil med stor sandsynlighed forme jeres næste leverandørbeslutning. Loven hedder The Clarifying Lawful Overseas Use of Data Act, normalt forkortet til CLOUD Act, og den rammer alle danske virksomheder, der bruger amerikansk-ejede skytjenester.

CLOUD Act danske virksomheder er et tema, der nu står øverst på dagsordenen hos DPO’er, IT-chefer og bestyrelser. Denne guide gennemgår, hvad loven konkret indebærer, hvem den rammer, hvordan den interagerer med GDPR og Schrems II, og hvilken handleplan I bør følge.

Vi nævner konkrete leverandører, både dem der er underlagt loven, og dem der er fri af den, og vi giver et bud på, hvordan I bør strukturere jeres risikovurdering.

Skal I have styr på datasuverænitet og leverandørrisiko? Decree er dansk ejet, dansk hostet, og CLOUD Act-fri. Læs mere om vores sikkerhedstilgang eller se vores subprocessors.

Hvad er CLOUD Act?

CLOUD Act blev vedtaget af den amerikanske kongres i marts 2018 og signeret som lov samme måned. Loven har to hovedformål:

1. Pligt til udlevering af data uanset lokation. Loven præciserer, at amerikanske udbydere af elektronisk kommunikation er forpligtede til at udlevere data, der er i deres “besiddelse, varetægt eller kontrol”, uanset om data er lagret i USA eller i et andet land. Det er den del, der har fået størst opmærksomhed i Europa.

2. Mulighed for executive agreements med andre lande. Loven åbner for, at USA kan indgå særlige aftaler med andre lande om gensidig adgang til data hos hinandens udbydere. Storbritannien indgik en sådan aftale i 2019. EU har ikke indgået en tilsvarende aftale.

Den centrale konsekvens for europæiske virksomheder er den første del. Hvis en amerikansk myndighed, typisk FBI eller en føderal anklager, beder en amerikansk skytjeneste om at udlevere data, kan tjenesten ikke afvise med henvisning til, at data ligger i et europæisk datacenter. Loven gælder uanset hvor data fysisk er lagret.

Det betyder konkret: Microsoft, Google, Amazon, Apple, Meta og deres datterselskaber er underlagt CLOUD Act. Når en dansk virksomhed køber Microsoft 365 og data lagres i Microsofts datacenter i Frankfurt eller Dublin, er Microsoft Corporation USA fortsat forpligtet til at udlevere data ved en gyldig amerikansk retsanmodning.

Hvad sker der i praksis?

I de fleste tilfælde modtager den danske virksomhed ikke besked om en udlevering. CLOUD Act tillader gag orders, der forbyder tjenesten at oplyse kunden om, at data er udleveret. Det betyder, at I som dansk virksomhed kan have data udleveret uden nogensinde at vide det. Kun i særlige tilfælde, hvor leverandøren bestrider udleveringen i amerikansk domstol, kommer sagen offentligt frem.

Antallet af konkrete CLOUD Act-anmodninger mod europæiske virksomheders data er ikke offentligt kendt. Men det juridiske princip står ved magt: Eksponeringen er der, og den kan udnyttes når som helst.

Hvorfor rammer CLOUD Act danske virksomheder?

Det er værd at adressere det åbenlyse spørgsmål: Hvorfor er det danske virksomheders problem, hvad amerikanske myndigheder kan kræve af amerikanske selskaber? Svaret ligger i tre forhold.

1. GDPR-konflikten

GDPR pålægger danske virksomheder at sikre et passende beskyttelsesniveau, når persondata behandles. Hvis jeres leverandør kan tvinges til at udlevere data til et tredjeland uden de samme retsgarantier som i EU, kan det udgøre en overtrædelse af GDPR. Det er ikke et hypotetisk problem. EU-Domstolen har i Schrems II-dommen netop fastslået, at amerikansk overvågningslovgivning ikke giver europæiske borgere et tilstrækkeligt beskyttelsesniveau.

Konsekvensen er, at I som dansk dataansvarlig skal kunne dokumentere, hvorfor jeres brug af en amerikansk leverandør alligevel er forsvarlig. Det kræver en konkret risikovurdering, dokumenterede supplerende foranstaltninger og typisk juridisk rådgivning.

2. NIS2 og leverandørrisikostyring

NIS2-direktivet, som blev implementeret i dansk ret med tilsynsstart i 1. halvår 2026, kræver, at kritiske og væsentlige enheder gennemfører dokumenteret leverandørrisikostyring. CLOUD Act-eksponering er et indlysende risikomoment, som tilsynet vil forvente, at I har adresseret. Læs mere om vores tilgang til sikkerhed.

For sektorer som energi, transport, finans, sundhed og digital infrastruktur er kravene særligt skærpede. Manglende dokumentation kan resultere i bøder på op til 10 millioner euro eller 2 procent af global omsætning.

3. Konkurrence- og forretningshensyn

Ud over de juridiske aspekter er der også konkurrencemæssige forhold. Hvis en dansk virksomhed bliver underlagt en amerikansk udleveringsanmodning, kan følsomme forretningsdata, prisstrategier, kundeforhold, tekniske dokumenter, ende hos amerikanske myndigheder, der i praksis kan dele med amerikansk industri. Den risiko er ikke teoretisk. Snowden-afsløringerne dokumenterede netop denne type informationsudveksling.

For mange danske eksportvirksomheder er CLOUD Act-eksponering derfor ikke kun et compliance-spørgsmål, men også et spørgsmål om beskyttelse af kommerciel intelligens.

Schrems II og forholdet til GDPR

For at forstå hvorfor CLOUD Act er blevet et akut emne for danske virksomheder, er det værd at gennemgå sammenhængen med Schrems II-dommen og den efterfølgende juridiske udvikling.

Schrems II i kort form

I juli 2020 afgjorde EU-Domstolen, at den daværende Privacy Shield-aftale mellem EU og USA var ugyldig. Begrundelsen var, at amerikansk overvågningslovgivning, særligt FISA Section 702 og Executive Order 12333, ikke giver europæiske borgere et beskyttelsesniveau svarende til EU. Dommen pålagde alle dataeksportører at gennemføre en konkret risikovurdering for hver overførsel af persondata til USA.

Dommen tog ikke direkte stilling til CLOUD Act, men logikken er den samme: Når amerikansk lovgivning giver myndigheder adgang til data, er beskyttelsesniveauet utilstrækkeligt, medmindre supplerende foranstaltninger reelt eliminerer adgangen.

Data Privacy Framework

I 2023 blev Schrems II afløst af Data Privacy Framework (DPF), en ny aftale mellem EU og USA. DPF tillader igen overførsel af persondata til USA-virksomheder, der har certificeret sig under rammen. Mange danske virksomheder har taget DPF som et grønt lys for at fortsætte med Microsoft 365 og Google Workspace.

Det er en for optimistisk fortolkning. DPF løser ikke det grundlæggende problem, at amerikansk overvågningslovgivning fortsat giver myndighederne adgang til data hos amerikansk-ejede leverandører. Max Schrems og NOYB har allerede annonceret en ny retssag, og de fleste juridiske observatører forventer, at DPF vil falde i en kommende Schrems III-afgørelse, formentlig inden for 2-4 år.

For danske virksomheder betyder det, at I bygger på en juridisk grundsten, som kan være væk inden for et par år. Det er den vurdering, der får mange danske DPO’er til at anbefale, at I begynder migrationen nu, frem for at vente på at krisen rammer.

Datatilsynets praksis

Datatilsynet har i flere afgørelser forholdt sig til konkrete sager om amerikanske skytjenester. Tendensen er, at tilsynet kræver dokumenterede risikovurderinger, supplerende foranstaltninger og en klar argumentation for, at brugen er forsvarlig. I sager hvor disse krav ikke er opfyldt, har tilsynet udstedt påbud, der i praksis har tvunget virksomheder eller myndigheder til at skifte leverandør.

Helsingør Kommune og Chromebook-sagen

Den mest kendte danske sag om amerikanske skytjenester er Helsingør Kommunes brug af Google Chromebooks i folkeskolen. Sagen blev behandlet af Datatilsynet i 2022 og resulterede i et midlertidigt forbud mod kommunens brug af enhederne.

Kort fortalt havde Helsingør Kommune indkøbt Chromebooks til folkeskoleelever som del af en bredere digitaliseringsindsats. Datatilsynet vurderede, at den konkrete risikovurdering for overførsel af elevdata til Google i USA var utilstrækkelig, og at kommunen ikke havde dokumenteret de supplerende foranstaltninger, der var nødvendige for at sikre et passende beskyttelsesniveau.

Sagen er ofte brugt som referencepunkt af tre grunde:

1. Den viste, at Datatilsynet er villig til at udstede konkrete forbud. Tidligere var der en udbredt opfattelse af, at Schrems II var en teoretisk problemstilling, som tilsynet ikke ville håndhæve aktivt. Helsingør-sagen viste det modsatte.

2. Den ramte en offentlig myndighed. Det betyder, at andre kommuner, regioner og statslige institutioner er nødt til at tage stilling til samme problemstilling. Mange har siden gjort det, og en betydelig del er i gang med eller har gennemført udfasning af Google Workspace og Microsoft 365 til specifikke anvendelser.

3. Den åbnede for, at tilsvarende sager kan rejses i den private sektor. Selvom Helsingør var en offentlig sag, er den underliggende juridik den samme for private virksomheder. CLOUD Act gælder for alle, og GDPR-kravene gælder for alle dataansvarlige.

Sagen er ikke ensbetydende med, at brug af Chromebooks eller Microsoft 365 generelt er ulovligt. Den siger derimod, at brugen kræver en konkret, dokumenteret risikovurdering, og at en utilstrækkelig vurdering kan udløse tilsynsindgreb.

Hvilke leverandører er fri af CLOUD Act?

Det enkleste juridiske udgangspunkt er at vælge leverandører, der ikke er underlagt amerikansk jurisdiktion. Det vil sige leverandører, der er ejet og kontrolleret af enheder uden for USA, og som ikke har amerikanske datterselskaber, der kan tvinges til udlevering.

I praksis betyder det:

Leverandører underlagt CLOUD Act

  • Microsoft (Microsoft 365, Azure, GitHub)
  • Google (Workspace, Cloud Platform, YouTube)
  • Amazon (AWS, Workmail, Workdocs)
  • Apple (iCloud, Apple Business)
  • Meta (Workplace, WhatsApp Business)
  • Oracle, IBM, Salesforce, Adobe, Atlassian, Slack, Zoom, Dropbox, HubSpot

Listen er længere, men princippet er klart: Hvis moderselskabet er amerikansk, eller hvis leverandøren har amerikanske enheder med adgang til kundedata, er CLOUD Act i spil.

Leverandører fri af CLOUD Act

  • Decree (dansk ejet, dansk hostet)
  • KathArt, NielcoIT, Flex4B (danske Nextcloud-baserede)
  • Schmitto (tysk hostet)
  • Curanet, Hostnordic, Wannafind (danske hosting-leverandører)
  • OVHcloud (fransk)
  • Hetzner (tysk)
  • IONOS (tysk)
  • Scaleway (fransk)
  • Combell (belgisk)

Vigtigt forbehold: Selv en europæisk leverandør kan være eksponeret, hvis de bruger amerikanske underleverandører til kritiske funktioner. Tjek altid leverandørens subprocessor-liste. Hos Decree fører vi en åben subprocessor-liste, se vores subprocessors-side, hvor I kan verificere alle parter, der har adgang til data.

Mellemkategori: EU-baserede tjenester med amerikansk ejerskab

En særlig kategori er leverandører, der har bygget særlige EU-baserede tjenester for at adressere bekymringer om amerikansk myndighedsadgang. Microsoft EU Data Boundary og Google Sovereign Controls er eksempler. Disse tjenester reducerer eksponeringen, men ophæver den ikke. Moderselskabet er fortsat amerikansk og fortsat underlagt CLOUD Act. De fleste juridiske eksperter vurderer, at disse tilbud er en delvis afhjælpning, ikke en eliminering af risikoen.

For en virksomhed, der ønsker maksimal juridisk klarhed, er løsningen at vælge en leverandør med europæisk ejerskab fra bunden.

Konkret handleplan for danske virksomheder

Hvis I står med spørgsmålet om, hvad I skal gøre nu, er her en pragmatisk handleplan.

Fase 1: Kortlæg eksponeringen (uge 1-2)

Lav en oversigt over alle skytjenester I bruger, og kategoriser dem efter ejerskab og hostinglokation. Identificer hvilke tjenester der behandler personoplysninger eller forretningskritiske data.

For hver leverandør, noter:

  • Selskabets jurisdiktion (USA, EU, andet)
  • Hostinglokation (fysisk datacenter)
  • Subprocessor-listens jurisdiktion
  • Type data der behandles
  • Volumen og kritikalitet

Fase 2: Risikovurdering (uge 2-4)

Gennemfør en konkret risikovurdering for hver amerikansk leverandør. Brug Datatilsynets vejledning som ramme. Vurderingen skal som minimum adressere:

  • Sandsynligheden for amerikansk myndighedsadgang
  • Konsekvensen for den registrerede ved en eventuel udlevering
  • Effektiviteten af eksisterende supplerende foranstaltninger
  • Alternative leverandører og overgangsomkostninger

Dokumenter vurderingen skriftligt. Den er en del af jeres GDPR-dokumentationspligt og bliver afgørende ved en eventuel NIS2-revision.

Fase 3: Prioriter migration (uge 4-6)

Baseret på risikovurderingen, prioriter hvilke tjenester der bør migreres først. Typisk vil det være tjenester, der:

  • Behandler følsomme persondata (HR, sundhed, økonomi)
  • Behandler forretningskritiske data (kontrakter, IP)
  • Har høj substituérbarhed (mail, fildeling, dokumenter)

Mail er typisk den letteste at migrere og giver hurtig juridisk gevinst. Vores email-løsning er et eksempel på et drop-in alternativ til Exchange Online.

Fase 4: Gennemfør migration (måned 2-12)

Hvor stort projektet bliver afhænger af jeres størrelse og kompleksitet. Start med en pilotgruppe, kør parallel drift i 4-8 uger, og rul derefter ud i bølger. Hold den gamle leverandør i 30-90 dage efter sidste migration som fallback.

Fase 5: Dokumentation og løbende styring (løbende)

Når migrationen er gennemført, dokumenter:

  • Den nye leverandørs DPA
  • Den opdaterede subprocessor-liste
  • Den juridiske begrundelse for jeres valg
  • Den løbende kontrolproces

Dokumentationen er ikke kun for jeres egen compliance. Den er også argumentet, hvis Datatilsynet, en kunde eller en bestyrelse spørger, hvordan I har håndteret CLOUD Act-eksponeringen.

Risikovurdering: Skabelon og spørgsmål

For at hjælpe jer i gang med risikovurderingen, er her en simpel struktur baseret på Datatilsynets vejledning.

Sektion 1: Beskrivelse af overførslen

  • Hvilken leverandør?
  • Hvilke kategorier af registrerede er omfattet?
  • Hvilke kategorier af persondata er omfattet?
  • Hvad er formålet med behandlingen?

Sektion 2: Juridisk grundlag i tredjelandet

  • Hvilken lovgivning regulerer myndighedsadgang i leverandørens jurisdiktion?
  • Er der særlige overvågningsbeføjelser (FISA 702, EO 12333, CLOUD Act)?
  • Findes der retsmidler for europæiske borgere?

Sektion 3: Sandsynlighedsvurdering

  • Er der historik for myndighedsadgang i sektoren?
  • Er den registrerede særligt udsat (politisk, kommercielt)?
  • Er data af særlig interesse for udenlandske myndigheder?

Sektion 4: Supplerende foranstaltninger

  • Krypteres data med nøgler, leverandøren ikke har adgang til?
  • Er der pseudonymisering eller anonymisering?
  • Er der avtalemæssige begrænsninger på leverandørens samarbejde med myndigheder?

Sektion 5: Konklusion

  • Er beskyttelsesniveauet tilstrækkeligt?
  • Hvis ikke, hvilke alternativer er overvejet?
  • Hvis brugen fortsætter, hvad er den dokumenterede begrundelse?

Dokumentet skal opbevares så længe behandlingen pågår, plus den relevante forældelsesfrist.

Ofte stillede spørgsmål om CLOUD Act danske virksomheder

Er det ulovligt for danske virksomheder at bruge Microsoft 365?

Nej, ikke i sig selv. Men brugen kræver en dokumenteret risikovurdering, supplerende foranstaltninger og en juridisk argumentation for, at brugen er forsvarlig under GDPR. Mange danske virksomheder vurderer, at byrden ved denne dokumentation overstiger gevinsten ved at fortsætte med Microsoft 365.

Beskytter Data Privacy Framework mig mod CLOUD Act?

Kun delvist. DPF adresserer overførsel af persondata til USA, men ophæver ikke amerikanske myndigheders ret til at kræve data udleveret hos amerikansk-ejede leverandører. De fleste juridiske observatører forventer, at DPF vil blive udfordret i en kommende Schrems III-sag.

Hvad er forskellen på CLOUD Act og FISA?

FISA Section 702 giver amerikanske efterretningstjenester ret til at indsamle data om ikke-amerikanske personer i udlandet uden specifik retsanmodning. CLOUD Act handler om udlevering af data til amerikanske myndigheder fra amerikanske udbydere ved konkrete sager. Begge love bidrager til, at amerikansk-ejede leverandører ikke kan garantere europæisk databeskyttelse.

Min leverandør har et EU-datacenter. Er jeg så fri?

Nej. Datacentrets fysiske lokation er ikke afgørende for CLOUD Act. Det afgørende er, hvilken jurisdiktion leverandøren er underlagt. Hvis moderselskabet er amerikansk, er CLOUD Act i spil, uanset hvor data ligger.

Hvor finder jeg Datatilsynets seneste vejledning om Schrems II?

Den seneste vejledning ligger på Datatilsynets hjemmeside under temaet “Tredjelandsoverførsel”. Vejledningen opdateres løbende, og det er en god idé at abonnere på tilsynets nyhedsbrev for at følge praksisudviklingen.

Hvad skal jeg gøre, hvis ledelsen ikke prioriterer at skifte leverandør?

Dokumenter risikoen skriftligt og send den til ledelsen og bestyrelsen. GDPR-ansvaret ligger hos den dataansvarlige, og hvis tilsynet senere udsteder påbud eller bøder, skal det kunne dokumenteres, hvem der traf beslutningen om at fortsætte. En skriftlig risikovurdering, der er sendt til ledelsen, er typisk det stærkeste værktøj for en DPO.

Er det realistisk at migrere fra Microsoft 365 på et halvt år?

For de fleste SMV’er, ja. Tidsforbruget afhænger af antal medarbejdere, dybde af integration med andre systemer og jeres parathed til at gennemføre projektet. En typisk virksomhed med 50-200 medarbejdere kan gennemføre migrationen på 3-6 måneder med en velplanlagt indsats.

Læs også

Vil du samle din virksomheds digitale rygrad hos én dansk leverandør? Decree bygger og driver hele stakken (mail, signering, telefoni, CRM, dokumenter, eLearning) plus skræddersyede SaaS-platforme og mobilapps. Alt hostet i EU, CLOUD Act-fri, samlet i én DPA. Se platformen eller kontakt os for en samtale.

  • cloud act
  • gdpr
  • schrems ii
  • datatilsynet
  • eu-cloud
Share:
Back to News

Related articles

See all articles »

Why Decree

Built for Danish businesses that can't afford doubt about data sovereignty

The market is starting to ask the questions we already answered.

1
data center
0
US transfers
1
data processing agreement
1
vendor
01

One data center, zero international data transfers

All your data sits with Scaleway in Paris. No replication to the US, no subprocessor spaghetti, zero Schrems II exposure.

02

CLOUD Act-free infrastructure

Decree is Danish-owned and EU-hosted. We don't fall under US jurisdiction. Microsoft's sovereign cloud doesn't solve it — we do.

03

NIS2-ready vendor in your supply chain

NIS2 took effect in Denmark on 1 July 2025. We have the documentation ready when your auditor asks about your vendor risk assessment.

04

Battle-tested in critical infrastructure

Mit Beredskab runs alarms on schools. Foreningen Neptun sails offline-first on the other side of the world. We don't build to usually-work.

05

One vendor to call

When something goes wrong it's our job to find it, close it and explain it. You don't chase information between fifteen vendors.

06

Custom-built without enterprise bureaucracy

You talk to the people building the solution. Custom modules in days, not in a six-month discovery phase.

Solutions

All solutions

The whole digital backbone. Pick the modules you use, pay for the rest when you grow.

Custom SaaS

Custom SaaS

Web platforms built on Decree's infrastructure.

Read more →
Mobile apps

Mobile apps

Native and cross-platform apps.

Read more →
Email

Email

Your own mail server, run by Decree, EU-hosted.

Read more →
E-signature

E-signature

EU-hosted, legally binding, integrated with CRM.

Read more →
Telephony

Telephony

Danish telephony, integrated into the platform.

Read more →
eLearning

eLearning

Course flows, tests and certificates.

Read more →
Documents and files

Documents and files

EU-hosted document storage.

Read more →
CRM

CRM

Leads, customers and pipeline management.

Read more →
Password manager

Password manager

Shared credentials, EU-hosted.

Read more →
Web forms

Web forms

Form builder for lead capture and e-signature.

Read more →
Websites

Websites

Design, hosting and maintenance.

Read more →
Social media manager

Social media manager

Plan and publish across LinkedIn, Facebook, Instagram and X.

Read more →

Hosted in the EU. Built for Denmark.

Start a conversation