by Decree
Datasuverænitet

Schrems II konsekvenser for danske SaaS-køb: hvad det betyder i praksis

 · 7 min læsetid

Schrems II konsekvenser for danske virksomheder: hvad ændrede DPF, hvad skal du dokumentere, og hvilke leverandørrisikoer skal vurderes.

Indholdsfortegnelse

I juli 2020 erklærede EU-Domstolen Privacy Shield-aftalen mellem EU og USA ugyldig. Seks år senere er Schrems II konsekvenser stadig den juridiske ramme, der definerer hvilke SaaS-leverandører en dansk virksomhed reelt kan bruge uden at bygge et tungt dokumentationsapparat ovenpå. DPF-aftalen fra 2023 har dæmpet larmen, men ikke løst grundproblemet.

For en DPO eller IT-chef i en SMV er det ikke en akademisk debat. Det er det spørgsmål, der står øverst når et nyt CRM, en ny e-signeringstjeneste eller en ny dokumentplatform skal vælges. Denne artikel gennemgår, hvad Schrems II konkret betyder for SaaS-køb i 2026, hvad DPF har ændret, og hvilken dokumentation I skal kunne fremvise når Datatilsynet eller en NIS2-revisor banker på.

Skal I have styr på datasuverænitet og leverandørrisiko? Decree er dansk ejet, dansk hostet, og CLOUD Act-fri. Læs mere om vores sikkerhedstilgang eller se vores subprocessors.

Hvorfor Schrems II stadig former danske SaaS-køb

Schrems II-dommen (C-311/18) handlede teknisk set om Facebooks dataoverførsler, men dens konsekvens er universel. Domstolen fastslog, at amerikansk overvågningslovgivning, særligt FISA Section 702 og Executive Order 12333, ikke giver europæiske borgere et beskyttelsesniveau svarende til EU.

Konsekvensen for jer som dataansvarlig: hver gang persondata overføres til en US-ejet leverandør, skal I gennemføre en konkret risikovurdering, og I skal dokumentere supplerende foranstaltninger, hvis vurderingen viser, at beskyttelsesniveauet ikke er tilstrækkeligt.

Det gælder uanset hvor det fysiske datacenter står. En Microsoft 365-kunde, der kører på Azure i Frankfurt, er fortsat omfattet, fordi Microsoft Corporation USA har juridisk adgang via CLOUD Act. EU-datacentret reducerer eksponeringen, men ophæver den ikke.

Hvorfor problemet er blevet skarpere, ikke mildere

Tre forhold har skærpet billedet siden 2020:

  • Datatilsynet håndhæver aktivt. Helsingør Kommune fik forbud mod Chromebooks i 2022. Tilsvarende sager er rejst mod private virksomheder, hvor manglende dokumentation har udløst påbud.
  • NIS2-tilsynet starter i 1. halvår 2026. For omfattede virksomheder er leverandørrisikostyring et eksplicit krav, og CLOUD Act-eksponering er et naturligt fokuspunkt for revisor.
  • DPF er juridisk usikker. Max Schrems og NOYB har allerede indgivet klage. De fleste juridiske observatører forventer en Schrems III-afgørelse inden for 2-4 år.

Resultatet er, at indkøbsafdelinger i stigende grad bliver bedt om at dokumentere leverandørrisiko før kontraktunderskrivelse, ikke efter.

Hvad ændrede Data Privacy Framework reelt?

I juli 2023 vedtog EU-Kommissionen en ny adequacy-afgørelse for USA baseret på Data Privacy Framework. Mange danske virksomheder tog det som et grønt lys for at fortsætte med Microsoft 365 og Google Workspace uden videre dokumentation.

Det er en for optimistisk fortolkning. DPF har ændret tre ting og ikke ændret tre andre.

Hvad DPF har ændret

  • Lovligt overførselsgrundlag. I behøver ikke længere SCC plus supplerende foranstaltninger som primært grundlag, hvis leverandøren er DPF-certificeret. Adequacy-afgørelsen er tilstrækkelig som overførselsgrundlag i sig selv.
  • Klagemekanisme for europæiske borgere. DPF etablerede en Data Protection Review Court i USA, hvor europæere kan klage over efterretningstjenesters dataindsamling. Mekanismen er ny og uprøvet.
  • Begrænsning af proportionalitet. Executive Order 14086 pålægger amerikanske efterretningstjenester at indsamle data “nødvendigt og proportionalt”, en tekstuel forbedring i forhold til den tidligere praksis.

Hvad DPF ikke har ændret

  • CLOUD Act består. Loven blev ikke ophævet eller ændret. Amerikanske myndigheder kan fortsat kræve data udleveret hos US-ejede udbydere, uanset hvor data fysisk ligger.
  • FISA 702 består. Loven blev fornyet i 2024 frem til 2026 og forventes fornyet igen.
  • Executive orders kan tilbagekaldes. EO 14086 er underskrevet af præsidenten og kan tilbagekaldes af en kommende administration uden Kongressens godkendelse.

For en dansk DPO betyder det, at DPF letter dokumentationsbyrden marginalt, men ikke fjerner risikoen for, at adequacy-afgørelsen falder, eller at leverandørens DPF-certificering bortfalder. Datatilsynet har tidligere tilkendegivet, at en konkret risikovurdering fortsat anbefales for kritiske behandlinger.

Hvad I konkret skal dokumentere

Datatilsynet kræver ikke en bestemt skabelon, men en konsistent struktur gør jeres argumentation lettere at forsvare. For hver leverandør, der behandler persondata uden for EU eller hos en US-ejet enhed, skal I kunne fremvise:

  • Beskrivelse af overførslen: hvilke data, hvilke kategorier af registrerede, hvilke formål, hvilken volumen.
  • Juridisk grundlag: SCC, BCR, adequacy (DPF), eller en undtagelse efter GDPR artikel 49. Hvis DPF, så certificeringsstatus med dato.
  • Risikoanalyse af tredjelandets retssystem: hvilke overvågningsbeføjelser er relevante (FISA 702, EO 12333, CLOUD Act), og hvordan vurderer I sandsynligheden for, at de bringes i anvendelse mod jeres data.
  • Supplerende foranstaltninger: kryptering hvor leverandøren ikke har nøglerne, pseudonymisering, kontraktuelle begrænsninger, transparency reports.
  • Konklusion og periodisk genbesøg: vurderingen skal genbesøges mindst årligt eller ved væsentlige ændringer.

Dokumentationen behøver ikke være lang. En grundig vurdering for en typisk SMV-leverandør fylder 4-8 sider. Den vigtigste egenskab er, at konklusionen kan forsvares: hvorfor er beskyttelsesniveauet tilstrækkeligt, eller hvorfor accepteres risikoen.

Fire risiko-domæner i en typisk dansk SaaS-stak

I praksis koncentrerer Schrems II-eksponeringen sig om fire områder, hvor dansk SMV-stak typisk har leverandørafhængighed.

1. Mail og kalender

Microsoft 365 og Google Workspace dækker langt størstedelen af det danske SMV-marked. Begge er underlagt CLOUD Act, og mailindhold er typisk persondata med høj sensitivitet. Det er det område, hvor migration giver hurtigst juridisk gevinst, og hvor dansk mail hosting er et reelt drop-in alternativ.

2. Dokumenthåndtering og fildeling

SharePoint, OneDrive og Google Drive ligger i samme kategori. Tilføj at dokumenter ofte indeholder kontrakter, HR-data og forretningskritisk IP, og eksponeringen er højere end ved mail alene.

3. CRM og salg

Salesforce, HubSpot, Pipedrive er alle US-ejede. CRM-data er persondata om kunder, leads og partnere. For mange virksomheder er det den tungeste post i risikoanalysen, fordi data om kunder er kommercielt følsomt og direkte koblet til konkurrencefordel.

4. Samarbejde og kommunikation

Slack, Teams, Zoom, Microsoft Loop. Dette er det mest oversete område, fordi data ofte ses som “uformel kommunikation”. Realiteten er, at sensitiv beslutningstagning og strategi diskuteres i disse værktøjer dagligt.

For hvert domæne er spørgsmålet det samme: kan eksponeringen elimineres ved leverandørskift, eller skal den dokumenteres og accepteres? Et leverandørskift fjerner risikoen og dokumentationsbyrden samtidig.

Mini-case: dokumentation der bestod en revision

En anonymiseret case fra en dansk konsulentvirksomhed med 80 ansatte illustrerer, hvad en velgennemført dokumentationsproces ser ud som.

Virksomheden brugte i 2024 Microsoft 365 til mail, dokumenter og Teams. De gennemførte en risikovurdering med følgende konklusion: mail og dokumenter med klientdata blev migreret til en EU-leverandør, mens Teams blev bibeholdt for intern kommunikation, fordi indholdet vurderedes som lavrisiko.

Dokumentationen indeholdt:

  • En behandlingsfortegnelse med klar opdeling mellem klientdata (migreret) og intern kommunikation (bibeholdt).
  • En risikovurdering for Teams med konkret vurdering af, hvilke datakategorier der reelt blev behandlet, og hvorfor risikoen ansås for acceptabel.
  • En supplerende foranstaltning: forbud mod at dele klientdokumenter via Teams-chat, håndhævet via Microsoft Purview DLP-regler.
  • En beslutningslog underskrevet af direktion og DPO.

Da en kunde i 2025 stillede spørgsmål om Schrems II-compliance som del af en leverandørrevision, kunne virksomheden fremvise dokumentationen direkte. Revisionen blev bestået uden bemærkninger.

Pointen er ikke, at I skal blive på Microsoft 365. Pointen er, at hvor I beslutter at acceptere en risiko, skal beslutningen være dokumenteret, begrundet og besluttet på rette niveau.

Ofte stillede spørgsmål om Schrems II konsekvenser

Er Microsoft 365 lovligt for danske virksomheder efter DPF?

Brugen er ikke ulovlig i sig selv, men kræver fortsat en konkret risikovurdering for behandlinger med persondata. DPF reducerer dokumentationsbyrden marginalt, men eliminerer ikke risikoen for, at en kommende Schrems III-afgørelse ophæver adequacy-grundlaget.

Hvad er forskellen på SCC og DPF?

Standard Contractual Clauses (SCC) er en kontraktuel mekanisme, der altid skal suppleres med en risikovurdering for det modtagende lands retssystem. DPF er en adequacy-afgørelse, der i sig selv anerkender USA som “tilstrækkeligt” for certificerede leverandører. SCC kan altid bruges som backup, hvis DPF falder.

Skal jeg lave en risikovurdering for hver leverandør?

For hver behandling, der involverer overførsel af persondata til et tredjeland eller til en US-ejet enhed, ja. I praksis kan I gruppere leverandører med samme risikoprofil i én vurdering, så længe konklusionen er begrundet for hver enkelt.

Hvor finder jeg Datatilsynets vejledning om Schrems II?

Datatilsynets vejledning under temaet “Tredjelandsoverførsel” er det primære udgangspunkt. Vejledningen opdateres løbende, og det anbefales at abonnere på tilsynets nyhedsbrev.

Hvad sker der hvis DPF falder i en Schrems III-sag?

Adequacy-afgørelsen ophæves, og overførsler til USA kræver igen SCC plus supplerende foranstaltninger plus risikovurdering. Virksomheder, der har bygget hele compliance-strategien på DPF, vil skulle dokumentere fra bunden under tidspres.

Læs også

Vil du samle din virksomheds digitale rygrad hos én dansk leverandør? Decree bygger og driver hele stakken (mail, signering, telefoni, CRM, dokumenter, eLearning) plus skræddersyede SaaS-platforme og mobilapps. Alt hostet i EU, CLOUD Act-fri, samlet i én DPA. Se platformen eller kontakt os for en samtale.

  • schrems ii
  • gdpr
  • cloud act
  • eu-cloud
  • sammenligning
  • leverandørrisiko
Del:
Tilbage til Nyheder

Relaterede artikler

Se alle artikler »

Hvorfor Decree

Bygget til danske virksomheder der ikke har råd til tvivl om datasuverænitet

Markedet er begyndt at stille de spørgsmål, vi allerede har svaret på.

1
datacenter
0
USA-overførsler
1
databehandleraftale
1
leverandør
01

Ét datacenter, nul internationale dataoverførsler

Alt jeres data ligger hos Scaleway i Paris. Ingen replikering til USA, ingen subprocessor-spaghetti, nul Schrems II-eksponering.

02

CLOUD Act-fri infrastruktur

Decree er dansk ejet og EU-hostet. Vi falder ikke ind under amerikansk jurisdiktion. Microsofts sovereign cloud løser det ikke, vi gør.

03

NIS2-klar leverandør i forsyningskæden

NIS2 trådte i kraft i Danmark 1. juli 2025. Vi har dokumentationen klar når jeres revisor spørger om jeres leverandør-risikovurdering.

04

Battle-tested i kritisk infrastruktur

Mit Beredskab driver alarmer på skoler. Foreningen Neptun sejler offline-first på den anden side af jorden. Vi bygger ikke til at virke som regel.

05

Én leverandør at ringe til

Når noget går galt er det vores ansvar at finde det, lukke det og forklare det. I jagter ikke besked rundt mellem femten leverandører.

06

Skræddersyet uden enterprise-bureaukrati

I taler med dem der bygger løsningen. Custom-moduler på dage, ikke på seks måneders analysefase.

Løsninger

Alle løsninger

Hele den digitale rygrad. Vælg de moduler I bruger, betal for resten når I vokser.

Skræddersyet SaaS

Skræddersyet SaaS

Web-platforme bygget på Decrees infrastruktur.

Læs mere →
Mobilapps

Mobilapps

Native og cross-platform apps.

Læs mere →
Email

Email

Egen mailserver, drevet af Decree, EU-hostet.

Læs mere →
E-signering

E-signering

EU-hostet, juridisk bindende, integreret i CRM.

Læs mere →
Telefoni

Telefoni

Dansk telefoni, integreret i platformen.

Læs mere →
eLearning

eLearning

Kursusforløb, tests og certifikater.

Læs mere →
Dokumenter og filer

Dokumenter og filer

EU-hostet dokumentlagring.

Læs mere →
CRM

CRM

Leads, kunder og pipeline-styring.

Læs mere →
Password manager

Password manager

Delte adgangskoder, EU-hostet.

Læs mere →
Webformularer

Webformularer

Formularbygger til lead-capture og signering.

Læs mere →
Hjemmesider

Hjemmesider

Design, hosting og vedligehold.

Læs mere →
Social media manager

Social media manager

Planlæg og publicér på tværs af LinkedIn, Facebook, Instagram og X.

Læs mere →

Hostet i EU. Bygget til Danmark.

Få en samtale