Datatilsynet giver 51 kommuner alvorlig kritik i Chromebook-sag

Dato: 29-01-2026
Afgørelse Offentlige myndigheder Alvorlig kritik Anmeldt brud på persondatasikkerheden Behandlingssikkerhed Børn Grundlæggende principper Databehandler

Datatilsynet udtaler alvorlig kritik og advarer samtidig kommunerne i forhold til, hvordan de gør brug af Googles produkter i folkeskolen.

Journalnummer: 2025-431-0053.

Resumé

Datatilsynet har truffet afgørelse i den såkaldte Chromebook-sag om 51 kommuners brug af Googles produkter til undervisning i folkeskolen. Datatilsynet udtaler alvorlig kritik og advarer kommunerne om deres opsætning af de pågældende programmer og om brugen af underdatabehandlere uden for EU.

Datatilsynet har blandt andet som opfølgning på en udtalelse fra Det Europæiske Databeskyttelsesråd (EDPB) fra oktober 2024 om den dataansvarliges forpligtelser ved brug af databehandlere – som et sidste led i tilsynet store sagskompleks om en række kommuners brug af Google Workspace for Education og Google Chrome Education til undervisningsformål i de danske folkeskoler – undersøgt kommunernes håndtering af det ansvar, der følger med brugen af Google som databehandler.

Den dataansvarliges ansvar ved brug af databehandlere og underdatabehandlere

EDPB’s udtalelse fra oktober 2024 omhandler blandt andet, i hvilket omfang den dataansvarlige skal kunne identificere sine databehandlere, og i hvilket omfang den dataansvarlige skal verificere og dokumentere, at eventuelle underdatabehandlere pålægges de samme databeskyttelsesforpligtelser som den primære databehandler.

Udtalelsen behandler også den dataansvarliges dokumentationsforpligtelse i situationer, hvor en databehandler inden for EU/EØS overfører personoplysninger til en (under)databehandler i et tredjeland – herunder efterfølgende videreoverførsler.

Fokus på brug af underdatabehandlere uden for EU

I sagen har Datatilsynet haft fokus på brugen af de underdatabehandlere uden for EU, som kommunernes databehandler, Google, anvender. Datatilsynet har i den forbindelse undersøgt kommunernes overvejelser og dokumentation for lovliggørelsen af den behandling af personoplysninger, der finder sted hos disse underdatabehandlere.

Hovedpunkter i Datatilsynets afgørelse

Datatilsynet har i afgørelsen lagt vægt på følgende hovedpointer:

  • Datatilsynet udtaler alvorlig kritik af kommunernes behandling af personoplysninger ved brug af Googles produkter til undervisning i folkeskolen.
  • Datatilsynet giver kommunerne en advarsel om, at det sandsynligvis vil være i strid med databeskyttelsesforordningen, hvis kommunerne ikke har konfigureret deres opsætning af de pågældende programmer i overensstemmelse med de forudsætningsmæssige og funktionelle krav, som KL har opstillet.
  • Datatilsynet giver kommunerne en advarsel om, at det sandsynligvis vil være i strid med databeskyttelsesforordningen at antage en databehandler til behandlinger af personoplysninger, hvor der sker viderebehandling i et tredjeland, hvis der ikke kan sikres et beskyttelsesniveau, der i det væsentlige svarer til beskyttelsesniveauet i EU/EØS.

Krav til klare behandlingskonstruktioner og løbende lovliggørelse

Herudover fastslår Datatilsynet, at man som dataansvarlig ikke lovligt kan benytte produkter, der indeholder uklare behandlingskonstruktioner.

Datatilsynet indskærper samtidig, at den dataansvarlige skal have adgang til de nødvendige ressourcer til at sikre lovlig behandling af personoplysninger, herunder i situationer hvor et valgt produkt eller aftalegrundlaget for produktet ændrer sig.

Afgørelse

Behandling af personoplysninger ved brug af Google Chromebooks og Workspace for Education

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet den 10. juli 2024 oplyste KL, at en endelig vurdering af underdatabehandlerkæden ved kommunernes brug af Googles produkter ville blive foretaget på baggrund af Det Europæiske Databeskyttelsesråds (herefter EDPB) udtalelse om bl.a. rækkevidden af den dataansvarliges dokumentationsforpligtelse for databehandlerens brug af underdatabehandlere.

Datatilsynet har i afgørelsen alene forholdt sig til vurderingen af underdatabehandlerkæden ved kommunernes brug af Google Chromebooks og Workspace for Education.

KL meddelte den 28. januar 2025 Datatilsynet, at KL repræsenterer de følgende 51 kommuner i sagen (i sagen benævnt kommunerne):

  • Albertslund Kommune
  • Allerød Kommune
  • Ballerup Kommune
  • Brøndby Kommune
  • Dragør Kommune
  • Egedal Kommune
  • Fanø Kommune
  • Favrskov Kommune
  • Faxe Kommune
  • Fredericia Kommune
  • Faaborg-Midtfyn Kommune
  • Glostrup Kommune
  • Greve Kommune
  • Gribskov Kommune
  • Haderslev Kommune
  • Hedensted Kommune
  • Helsingør Kommune
  • Herlev Kommune
  • Hjørring Kommune
  • Holbæk Kommune
  • Horsens Kommune
  • Hvidovre Kommune
  • Hørsholm Kommune
  • Ishøj Kommune
  • Jammerbugt Kommune
  • Langeland Kommune
  • Læsø Kommune
  • Mariagerfjord Kommune
  • Middelfart Kommune
  • Nordfyns Kommune
  • Næstved Kommune
  • Odder Kommune
  • Odense Kommune
  • Randers Kommune
  • Rebild Kommune
  • Samsø Kommune
  • Silkeborg Kommune
  • Slagelse Kommune
  • Solrød Kommune
  • Sorø Kommune
  • Svendborg Kommune
  • Syddjurs Kommune
  • Thisted Kommune
  • Tønder Kommune
  • Tårnby Kommune
  • Vejen Kommune
  • Vejle Kommune
  • Vordingborg Kommune
  • Vesthimmerlands Kommune
  • Aalborg Kommune
  • Aarhus Kommune

1. Afgørelse

Datatilsynet finder, at de 51 kommuners behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra a, og artikel 24, jf. artikel 28, stk. 1, og 4.

På den baggrund skal Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra b, udtale alvorlig kritik af de 51 kommuner.

Datatilsynet skal endvidere i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra a, advare de 51 kommuner om, at det sandsynligvis vil være i strid med databeskyttelsesforordningens artikel 6, stk. 1, jf. artikel 6, stk. 3, hvis ikke de har konfigureret deres opsætning af de pågældende programmer i overensstemmelse med de forudsætningsmæssige og funktionelle krav, som KL har specificeret dels i forbindelse med de tidligere sager i dette kompleks dels det til denne sag anførte.

Herudover skal Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra a, advare de 51 kommuner om, at det sandsynligvis vil være i strid med databeskyttelsesforordningens artikel 28, stk. 1, at antage en databehandler til behandlinger af personoplysninger, hvor der sker viderebehandlinger af disse oplysninger hos en underdatabehandler i et tredjeland, hvor der ikke kan sikres et beskyttelsesniveau, der essentielt ækvivalerer beskyttelsesniveauet i EU/EØS.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Den 10. juli 2024 skrev Datatilsynet til KL i det såkaldte ”Chromebooksagskompleks”. Af brevet fremgik det, at Datatilsynet havde besluttet at rette henvendelse til EDPB for at få en udtalelse om bl.a. rækkevidden af dokumentation for databehandlerkonstruktioner, herunder forholdet til underdatabehandlere. Endvidere fremgik det af brevet, at Datatilsynet ville fortage en endelig vurdering af underdatabehandlerkæden ved kommunernes brug af Googles produkter, når EDPB’s udtalelse forelå.

Datatilsynet anmodede den 4. april 2024 EDPB om en udtalelse i medfør af databeskyttelsesforordningens artikel 64, stk. 2 vedrørende bl.a. rækkevidden af dokumentation for databehandlerkonstruktioner, herunder forholdet til underdatabehandlere.

EDPB’s udtalelse blev offentliggjort den 9. oktober 2024[1].

Under henvisning hertil og til Datatilsynets øvrige bemærkninger i brev af 10. juli 2024 om de krav, der påhviler den enkelte kommune som dataansvarlig, forespurgte tilsynet den 27. januar 2025 KL om, hvorvidt KL forestod en fælles besvarelse for kommunerne.

KL meddelte den 28. januar 2025 Datatilsynet, at KL fortsat vil besvare spørgsmål fra Datatilsynet på vegne af de berørte kommuner.

Datatilsynet sendte den 30. april 2025 en indledende høring til KL. Datatilsynet anmodede om at modtage en liste over samtlige databehandlere, der benyttes ved behandling af personoplysninger i forbindelse med kommunernes anvendelse af Googles produkter til undervisningsformål.

Datatilsynet anmodede endvidere KL om at angive samtlige de underdatabehandlere der benyttes, på hvilke lokationer der behandles persondatadata på kommunernes vegne, samt – i fornødent omfang – dokumentation for de overvejelser kommunerne har gjort sig i forhold til lovligheden heraf.

Herudover anmodede Datatilsynet om, at der blev vedlagt en tilsvarende liste for eventuelle

videregivelser til andre selvstændige dataansvarlige.

Den 21. maj 2025 sendte KL et svar på Datatilsynets høring. Derudover sendte KL en liste over de 51 kommuner, som KL er partsrepræsentant for.

På baggrund af det fremsendte materiale anmodede Datatilsynet den 4. juni 2025 KL om en supplerende udtalelse i sagen.

KL fremkom med en supplerende udtalelse i sagen den 6. juni 2025, hvor det bl.a. fremgik, at KL fortsat afventede svar fra Google på nogle udestående spørgsmål i relation til underdatabehandlerne for Google Chrome Education Upgrade.

KL sendte svar på de udestående spørgsmål den 23. juni 2025.

2.1. KL’s bemærkninger

2.1.1. Liste over databehandlere

KL har oplyst, at Google Cloud EMEA Limited er databehandler i forbindelse med kommunernes brug af Google Workspace for Education og Google Chrome Education.

2.1.2. Liste over underdatabehandlere

KL har fremsendt en række bilag med lister over Googles underdatabehandlere for Google Workspace for Education og Chrome Education Upgrade. I det fremsendte materiale er Googles underdatabehandlere opdelt i henholdsvis Third Party Subprocessors og Google Group Subprocessors.

2.1.2.1. Third Party Subprocessors

Ifølge KL har ”Third Party Subprocessors” ikke adgang til ”Customer Data”, der opbevares eller behandles af Google, medmindre kunden – som i nærværende sag vil være den enkelte kommune – udtrykkeligt vælger at dele ”Customer Data” i forbindelse med en supportsag.

KL har i forlængelse heraf oplyst, at KL har anbefalet kommunerne at indføre en organisatorisk foranstaltning i form af procedurer, der sikrer, at medarbejdere, der anmoder om support, ikke deler personoplysninger.

KL har anført, at ”Under forudsætning af, at denne anbefaling følges, vil der ikke ske databehandling af nogle af de oplistede Third Party Subprocessors.”

2.1.2.2. Google Group Subprocessors

2.1.2.2.1. Google Workspace for Education

KL har oplyst, at underdatabehandlere for Google Workspace for Education benyttes til ”Data Center operations”, ”Service Maintenance” og ”TSS (Customer Initiated Support)”.

Ifølge KL anvender kommunerne den tekniske foranstaltning ”Data Regions” i forbindelse med behandling af personoplysninger ved ”Data Center Operations”. Foranstaltningen ”Data Regions” indebærer, at behandling af personoplysninger bliver begrænset til en bestemt region. KL har oplyst, at kommunerne alene benytter services, som er dækket af ”Data Regions EU”, hvilket betyder, at personoplysninger ikke behandles uden for EU/EØS.

KL har i forlængelse heraf anført, at ikke alle services er dækket af denne foranstaltning. Der vil derfor ifølge KL stadig være en afgrænset mængde data, som vil blive behandlet uden for EU/EØS. KL har oplyst, at behandlingen af personoplysninger i forbindelse med ”Data Center Operations” vil være opbevaring af personoplysninger.

Endvidere har KL anført, at der for underdatabehandlere for Google Workspace for Education er begrænset adgang til ”Customer Data” for så vidt angår ”Service Maintenance” og ”TSS”. KL har til dette bemærket, at der ved disse behandlinger er indført ”Access Approvals”, som betyder at underdatabehandleren alene kan få adgang til ”Customer Data”, hvis kunden giver dem adgang.

KL har anbefalet kommunerne dels at anvende ”Access Approvals” og dels at udarbejde procedurer for, hvornår Google skal have adgang til personoplysninger.

Det er ifølge KL en afgrænset mængde personoplysninger, som ikke er dækket af ”Access Approvals”. Kommunerne kan således ikke med denne foranstaltning sikre, at der ikke bliver behandlet personoplysninger uden for EU/EØS.

KL har derfor oplyst, at alle underdatabehandlere, der er angivet i KL’s supplerende udtalelse af 23. juni 2025 i bilag med titlerne ”Bilag 36 Kommunerelevante underdatabehandlere Google Workspace - OPDATERET JUNI 2025” og ”Bilag 37 Kommunerelevante underdatabehandlere Google Chrome”, behandler oplysninger på vegne af kommunerne.

2.1.2.2.2. Chrome Education Upgrade

KL har oplyst, at underdatabehandlere for Chrome Education Upgrade benyttes til ”IT Facility Management”, ”Service Support” og ”Technical Support Service/TSS”.

Det fremgår endvidere af KL’s høringssvar, at KL har været i dialog med Google om, hvorvidt de tekniske foranstaltninger i form af ”Data Regions” og ”Access Approvals” også kan anvendes i forbindelse med Google Chrome Education Upgrade. Dette er ikke tilfældet, hvorfor samtlige Google Groups underdatabehandlere er relevante.

Det er således ifølge KL ikke muligt for kommunerne at sikre, at personoplysninger alene bliver behandlet inden for EU/EØS.

2.1.3. Lokationer

KL har fremsendt lister med angivelse af underdatabehandlernes lokationer. Listerne fremgår af KL’s supplerende udtalelse af 23. juni 2025 i bilag med titlerne ”Bilag 36 Kommunerelevante underdatabehandlere Google Workspace - OPDATERET JUNI 2025” og ”Bilag 37 Kommunerelevante underdatabehandlere Google Chrome”.

2.1.4. Lovlighed

KL har oplyst, at personoplysninger bliver overført fra kommunerne til Google Cloud EMEA beliggende i Irland. Google Cloud EMEA overfører herefter personoplysninger til Google LLC beliggende i USA. Personoplysningerne vil herefter blive overført til Google Groups underdatabehandlere.

KL har anført:

”[…], at når kommunerne vurderer Google som databehandler i henhold til artikel

28(1), skal kommunerne også forholde sig til, om Google i tilstrækkelig grad inddrager en vurdering af databeskyttelsesniveauet i de lande, som Google videreoverfører data til, når de udvælger underdatabehandlere.”

Endvidere har KL anført, at:

”Kommunerne har indgået databehandleraftale med Google, som også regulerer Googles brug af underdatabehandlere. Det fremgår blandt andet af ”Cloud Data Processing Addendum”, at Google indgår skriftlige kontrakter med alle underdatabehandlere, og sikrer, at underdatabehandleren kun har adgang til Customer Data i det omfang, det er nødvendigt for at opfylde forpligtelserne i kontrakten. Google oplyser desuden, jf. sagens bilag 35, at de samme forpligtelser som Google er underlagt i databehandleraftalen med kommunerne i henhold til Cloud Data Processing Addendum (sagens bilag 9) vil blive overført på underdatabehandleren.”

og

”Google har i tillæg hertil bekræftet, at de – som en del af den udvælgelsesproces, der er beskrevet i bilag 11 og 12, forholder sig til en række aspekter for at sikre, at underdatabehandleren har den nødvendige tekniske ekspertise og kapacitet og kan levere det rette niveau af sikkerhed og beskyttelse af personoplysninger, inklusiv national databeskyttelseslovgivning.”

Det er KL’s vurdering, ”at de angivne databehandlere stiller de fornødne garantier, og at kommunerne har verificeret dette i tilstrækkelig grad.”

Det er endvidere KL’s vurdering:

”[…], at tilstrækkelighedsafgørelsen er gældende, og at Google LLC er på listen over virksomheder registreret under Data Privacy Framework. KL har desuden konstateret, at overførslerne falder indenfor rammerne af tilstrækkelighedsafgørelsen.”

2.1.5. Liste med videregivelser til andre selvstændige dataansvarlige

KL har oplyst, at eventuelle videregivelser til andre selvstændige dataansvarlige kun sker i overensstemmelse med ”Google Workspace for Education Terms of Service” og ”Chrome Enterprise Agreement”.

3. Retsgrundlag

Ifølge databeskyttelsesforordningens artikel 5, stk. 1, litra a, skal personoplysninger behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede. Det følger endvidere af forordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelses mod uautoriseret eller ulovlig behandling. Herudover er de dataansvarlige ifølge databeskyttelsesforordningens artikel 5, stk. 2, ansvarlig for at og skal kunne påvise, at stk. 1 overholdes.

Behandling af personoplysninger er kun lovlig, hvis et af de nævnte forhold i databeskyttelsesforordningens artikel 6, stk. 1, er opfyldt. Hvis behandlingen baseres på forordningens artikel 6, stk. 1, litra c eller litra e skal grundlaget for behandling fremgå af EU-retten eller medlemsstatens nationale ret, som den dataansvarlige er underlagt, jf. artikel 6, stk. 3.

Det fremgår endvidere af databeskyttelsesforordningens artikel 24, stk. 1, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at kunne påvise, at en behandling af personoplysninger er i overensstemmelse med databeskyttelsesforordningens bestemmelser. Dette skal gøres under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål. Foranstaltningerne skal om nødvendigt revideres og ajourføres.

Herudover fastslår databeskyttelsesforordningens artikel 28, stk. 1-5, om databehandlere følgende:

  1. Hvis en behandling skal foretages på vegne af en dataansvarlig, benytter den dataansvarlige udelukkende databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder.
  2. Databehandleren må ikke gøre brug af en anden databehandler uden forudgående specifik eller generel skriftligt godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
  3. En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og der fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller dette andet retlige dokument fastsætter navnlig, at databehandleren:
  4. kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser
  5. sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt
  6. iværksætter alle foranstaltninger, som kræves i henhold til artikel 32
  7. opfylder de betingelser, der er omhandlet i stk. 2 og 4, for at gøre brug af en anden databehandler
  8. under hensyntagen til behandlingens karakter, så vidt muligt bistår den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i kapitel III
  9. bistår den dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren
  10. efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne
  11. stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

For så vidt angår første afsnit, litra h), underretter databehandleren omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

  1. Gør en databehandler brug af en anden databehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, pålægges denne anden databehandler de samme databeskyttelsesforpligtelser som dem, der er fastsat i kontrakten eller et andet retligt dokument mellem den dataansvarlige og databehandleren som omhandlet i stk. 3, gennem en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning. Hvis denne anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver den oprindelige databehandler fuldt ansvarlig over for den dataansvarlige for opfyldelsen af denne anden databehandlers forpligtelser.
  2. En databehandlers overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise fornødne garantier som omhandlet i nærværende artikels stk. 1 og 4.

4. Begrundelse for Datatilsynets afgørelse

Denne afgørelse er fortaget på det bilagsgrundlag og de oplysninger, der siden den 23. juni 2025 – efter modtagelsen af kommunernes endelige udtalelse og på baggrund af databehandleraftalen benævnt Cloud Data Processing Addendum (dateret 21.august 2025) (herefter databehandleraftalen) – har været en del af sagen.

4.1. Dokumentation af lovligheden

Det følger af databeskyttelsesforordningens artikel 5, stk. 2, at den dataansvarlige er ansvarlig for og skal kunne påvise, at databeskyttelsesforordningens artikel 5, stk. 1, om principper for behandling af personoplysninger, bliver overholdt.

I forlængelse heraf følger det af databeskyttelsesforordningens artikel 24, stk. 1, at:

”Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.”

4.2. Materiel lovlighed af behandlingerne

4.2.1. Databehandleraftale

Ifølge databeskyttelsesforordningens artikel 28, stk. 1, må den dataansvarlige udelukkende anvende databehandlere, der kan stille de fornødne garantier for, at behandling af personoplysninger vil overholde de databeskyttelsesretlige regler.

Endvidere skal en databehandlers behandling være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og der fastsætter  genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder, jf. forordningens artikel 28, stk. 3, 1. pkt..

Google Cloud EMEA Limited (herefter Google) er databehandler i forbindelse med kommunernes brug af Google Workspace for Education og Google Chrome Education.

Databehandlerkonstruktionen er reguleret i den databehandleraftale, der er indgået mellem kommunerne og Google, og brugen af underdatabehandlere er reguleret i databehandleraftalens afsnit 11.

På den baggrund finder Datatilsynet, at det fremlagte materiale – samlet set – giver en sådan beskrivelse af behandlingsscenariet og de underdatabehandlere, der benyttes, at de oplistede krav i art. 28, stk. 3 kan påses og overholdes.

Denne afgørelse tager ikke yderligere stilling til indholdet af databehandleraftalen. Der henvises i den forbindelse i stedet til Datatilsynets tidligere afgørelser i dette sagskompleks, herunder sagerne med j.nr. 2020-431-0061.

4.2.2. Underdatabehandlere

Det følger af databeskyttelsesforordningens artikel 28, stk. 4, at hvis der gøres brug af en underdatabehandler, skal denne pålægges de samme databeskyttelsesretlige forpligtelser som dem, der er fastsat mellem den dataansvarlige og databehandleren.

Den dataansvarlige er ikke forpligtet til systematisk at anmode om at modtage kopier af underdatabehandleraftalerne for at kunne påvise, at databehandlerens garantier er videreført til underleverandøren. Men den dataansvarlige skal være betrygget i, at kravene er videreført til underleverandørerne og dette skal kunne dokumenteres.

Bliver den dataansvarlige bekendt med, at en (under)databehandler handler uden for den oprindelige instruks, eller behandlingskonstruktionen i øvrigt giver anledning til det, bør den dataansvarlige, anmode om dokumentationen og kopi af aftalen i det konkrete tilfælde.

EDPB har i sin udtalelse 22/2024 om visse forpligtelser, der følger af afhængigheden af databehandler(e) og underdatabehandler(e) bl.a. stillet krav om, at den dataansvarlige skal have et komplet overblik over, hvilke databehandlere der behandler personoplysninger på vegne af den dataansvarlige.

Det betyder, at den dataansvarlige skal have et overblik over alle eventuelle databehandlere og yderligere underdatabehandlere, der findes i leverandørkæden som behandler personoplysninger på vegne af den dataansvarlige.

Forpligtelsen indebærer ifølge udtalelsen fra EDPB, at den dataansvarlige skal have lokationen og en autoriseret måde at kontakte alle underdatabehandlere på samt en beskrivelse af behandlingsaktiviteter og en klar afgrænsning af underdatabehandlernes ansvarsområder. Endvidere skal den dataansvarlige kunne fremvise denne dokumentation til enhver tid.

KL har anført, at kommunernes dokumentation fremgår af KL’s supplerende udtalelse af 23. juni 2025 i bilag med titlerne ”Bilag 36 Kommunerelevante underdatabehandlere Google Workspace - OPDATERET JUNI 2025” og ”Bilag 37 Kommunerelevante underdatabehandlere Google Chrome”, hvor alle Googles relevante underdatabehandlere er listet.

Det fremgår bl.a. af databehandleraftalen mellem kommunerne og Google, at:

”11.3 Requirements for Subprocessor Engagement. When engaging any Subprocessor, Google will:

  1. ensure a written contract that:
    1. the Subprocessor only access and uses Customer Data to the extent required to perform the obligations subcontracted to it, and does so in accordance with the applicable Agreement (including this Addendum); and
    2. if required under Applicable Privacy Laws, the data protection obligations described in this Addendum are imposed on the Subprocessor (as may be further described in Appendix 3 (Specific Privacy Laws)); and
  2. remain fully liable for all obligations subcontracted to, and all acts and omissions of, the Subprocessor.”

På den baggrund finder Datatilsynet, at kravene for Google umiddelbart bliver tilstrækkeligt videreført i kontrakterne med de underdatabehandlere, som Google vælger at gøre brug af i forbindelse med behandling af personoplysninger på vegne af kommunerne.

Datatilsynet lægger særlig vægt på, at det følger af databehandleraftalen, at hvis Google vælger at gøre brug af underdatabehandlere, forpligtes underdatabehandlerne til alene at behandle oplysninger i det omfang, det er nødvendigt for at udføre de forpligtelser, der følger af kontrakten. Underdatabehandlerne forpligtes derudover til, at behandling af personoplysninger skal ske i overensstemmelse med de betingelser, der følger af databehandleraftalen.

Derudover har Datatilsynet lagt vægt på, at Google vil være fuldt ud ansvarlig for alle behandlinger, som underdatabehandlerne udfører på vegne af kommunerne jf. princippet i databeskyttelsesforordningens artikel 28, stk. 4, sidste led.

Datatilsynet bemærker dog, at kommunerne ikke har angivet, om kommunerne har kontrolleret, at kravene rent faktisk bliver overholdt af underdatabehandlerne, eller hvordan kommunerne som dataansvarlig i øvrigt påtænker at kontrollere dette.

Det følger i den forbindelse bl.a. af EDPB’s udtalelse, at:

”[…] the controller’s obligation to verify whether the (sub-)processors present sufficient guarantees to implement the measures determined by the controller should apply regardless of the risk to the rights and freedoms of data subjects.

However, the extent of such verification will in practice vary depending on the nature of these organisational and technical measures determined by the controller based on, among other criteria, the risk associated with the processing.”

Når der henses til, de oplysninger der bliver behandlet på vegne af kommunerne, og den risiko behandlingen udgør for de registreredes rettigheder og frihedsrettigheder, er det Datatilsynets vurdering, at kommunerne skal angive det i dokumentationen, hvordan og med hvilken intensitet de vil verificere og kontrollere, at kravene rent faktisk bliver videreført i kontrakterne med underdatabehandlerne og at de efterleves af underdatabehandlerne.

Datatilsynet lægger i den forbindelse til grund, at kommunerne har mulighed for at anmode om en kopi af Googles kontrakter med underdatabehandlerne, i hvert fald for den del der vedrører den videreførte behandling, der er uddelegeret til underdatabehandleren.

Datatilsynet bemærker endvidere, at den dataansvarlige er forpligtet til at anmode om kopi af kontrakter eller anden relevant dokumentation fra databehandlere og underdatabehandlere, hvis den dataansvarlige bliver opmærksom på noget problematisk eller på anden vis finder det nødvendigt.

4.2.3. Tredjelandsoverførsler

Hvis den pågældende behandling af personoplysninger sker, eller i kontraktgrundlaget tiltænkes at ville ske, ved antagelse af en databehandler eller underdatabehandler, der behandler personoplysninger for den dataansvarlige, uden for EU/EØS, vil der være tale om en overførsel af personoplysninger til et tredjeland.

En sådan overførsel vil være omfattet af databeskyttelsesforordningens kapitel V om overførsler af personoplysninger til tredjelande eller internationale organisationer, hvorefter der gælder en række betingelser for behandlingen.

Den dataansvarlige skal bl.a. have et overførselsgrundlag for at lovliggøre overførslen. Vurderingen af, hvilket overførselsgrundlag der passer bedst i den givne situation, varierer alt efter, hvem den dataansvarlige er, hvilket land der skal overføres personoplysninger til og hvor hurtigt overførselsgrundlaget skal bruges mv.

Den dataansvarlige skal derfor først og fremmest kortlægge, hvilke lande der overføres personoplysninger til.

4.2.3.1. Lokationer

Datatilsynet lægger til grund, at personoplysninger bliver overført fra databehandleren Google Cloud EMEA Limited i Irland til underdatabehandleren Google LLC i USA. Herfra videreoverføres personoplysninger til de angivne øvrige underdatabehandlere.

Datatilsynet lægger – i overensstemmelse med det af KL oplyste i udtalelsen af 23. juni 2025 og bilagene med titlerne ”Bilag 36 Kommunerelevante underdatabehandlere Google Workspace - OPDATERET JUNI 2025” og ”Bilag 37 Kommunerelevante underdatabehandlere Google Chrome” – til grund, at de på listen påførte underdatabehandlere efter det aftalte behandler personoplysninger på vegne af kommunerne.

Datatilsynet konstaterer på den baggrund, at underdatabehandlerne behandler personoplysninger både i EU/EØS, sikre tredjelande og flere usikre tredjelande, bl.a. Indien, Mexico og Taiwan.

4.2.3.2. Overførselsgrundlag i forhold til USA

Efter databeskyttelsesforordningens artikel 45, stk. 1, kan overførsel af personoplysninger til et tredjeland eller en international organisation finde sted, hvis EU-Kommissionen har fastslået, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation har et tilstrækkeligt beskyttelsesniveau.

Hvis en cloudleverandør foretager overførsler på grundlag af en tilstrækkelighedsafgørelse, er det Datatilsynets opfattelse, at den dataansvarlige stadig skal kunne påvise, at 1) tilstrækkelighedsafgørelsen er gældende, og at 2) overførslen er omfattet af tilstrækkelighedsafgørelsens anvendelsesområde.

EU-Kommissionen har vedtaget en tilstrækkelighedsafgørelse om det såkaldte EU-U.S. Data Privacy Framework (DPF). Tilstrækkelighedsafgørelsen kan dog alene anvendes som overførselsgrundlag, når der overføres personoplysninger til organisationer, der har certificeret sig under DPF’en hos det amerikanske handelsministerium.

KL har oplyst, at personoplysninger fra Google bliver overført til Google LLC på baggrund af DPF’en. Endvidere har KL oplyst, at Google LLC er certificeret under DPF’en, og at overførslerne er omfattet af tilstrækkelighedsafgørelsens anvendelsesområde.

Datatilsynet finder på den baggrund, at kommunerne har tilvejebragt et tilstrækkeligt overførselsgrundlag for overførsler af personoplysninger fra Google til Google LLC ved at anvende DPF’en.

4.1.2.3. Overførselsgrundlag i forhold til videreoverførsler til underdatabehandlere

Det fremgår af DPF’en, at hvis en databehandler og/eller en underdatabehandler i et sikkert tredjeland videreoverfører personoplysninger på vegne af den dataansvarlige, er den dataansvarlige som udgangspunkt ikke forpligtet til at efterprøve lovligheden af de regler, der i tredjelandet eller den internationale organisation gælder for denne databehandlers og/eller underdatabehandlers videreoverførsler af personoplysninger modtaget inden for rammerne af en tilstrækkelighedsafgørelse. Denne situation vil der være taget stilling til i tilstrækkelighedsvurderingen.[2]

Endvidere fremgår det af DPF’en, at beskyttelsesniveauet for personoplysninger, der overføres fra Unionen til organisationer i USA, ikke må undergraves ved videre overførsel af sådanne oplysninger til en modtager i USA eller et andet tredjeland.[3] Videreoverførsler kan alene finde sted i) til begrænsede og bestemte formål, ii) på grundlag af en aftale mellem organisationen under EU-USA-databeskyttelsesrammen og den pågældende tredjepart (eller et tilsvarende arrangement i en koncern) og iii) udelukkende, hvis denne aftale sikrer, at tredjeparten sikrer det samme beskyttelsesniveau som principperne i databeskyttelsesforordningen.

Datatilsynet finder, at videreoverførsler til underdatabehandlere derfor som udgangspunkt vil kunne ske på grundlag af DPF’en.

Når der imidlertid henses til, at DPF’en som nævnt ovenfor fastslår, at beskyttelsesniveauet for personoplysninger, der overføres fra Unionen til organisationer i USA, ikke må undergraves ved videre overførsel af sådanne oplysninger til en modtager i USA eller et andet tredjeland, finder Datatilsynet, at det er nødvendigt at undersøge, hvilke lande der reelt bliver videreoverført oplysninger til og tilstrækkeligheden af beskyttelsesniveauet i disse tredjelande.

Datatilsynet bemærker, at i den forbindelse vil de europæiske essentielle garantier udgøre en del af den vurdering, der skal udføres for at afgøre, om et tredjeland yder en beskyttelse, som i det væsentligste svarer til den, der er garanteret i EU.[4]

De fire europæiske essentielle garantier følger af Schrems ll-dommen[5], præmis 188, og udgør følgende:

”»effektiv administrativ og retslig prøvelse for de registrerede, hvis personoplysninger overføres«. I denne henseende er det i 104. betragtning til databeskyttelsesforordningen fremhævet, at tredjelandet »bør […] sikre et effektivt uafhængigt databeskyttelsestilsyn og […] fastlægge samarbejdsmekanismer med medlemsstaternes databeskyttelsesmyndigheder«, og præciseret, at »de registrerede bør have effektive rettigheder, som kan håndhæves, og adgang til effektiv administrativ og retslig prøvelse «.”

For at sikre et tilstrækkeligt beskyttelsesniveau skal kommunerne således sikre sig, at garantierne bliver afspejlet i de kontakter, som Google indgår med underdatabehandlerne. Endvidere er det væsentligt at vurdere om et kontraktuelt grundlag alene vil give en beskyttelse, der er essentielt ækvivalent med beskyttelsen i EU/EØS.

KL har oplyst, at Googles kontrakter med underdatabehandlerne underlægger dem de samme forpligtelser, som Google er underlagt i databehandleraftalen med kommunerne. Derudover har KL anført, at de garantier, der er stillet under DPF’en videreføres i kontrakterne med underdatabehandlerne.

Denne konstatering vil dog efter Datatilsynets opfattelse ikke nødvendigvis i sig selv være nok til at sikre et beskyttelsesniveau for personoplysninger, som i det væsentligste svarer til det inden for EU/EØS, hvis der sker (videre)overførsler til usikre tredjelande.

Den dataansvarlige er forpligtet til forud for overførslen at foretage en vurdering af forholdene i modtagerlandet med henblik på at fastslå, om det valgte overførselsgrundlag også i praksis kan sikre et tilstrækkeligt beskyttelsesniveau for de overførte oplysninger i overensstemmelse med de fire europæiske essentielle garantier. Dette vil kunne ske efter en vurdering af effektiviteten af det valgte overførselsgrundlag, f.eks. i form af en transfer impact assessment (TIA).

Datatilsynet konstaterer, at kommunerne ikke umiddelbart har foretaget en yderligere vurdering for videreoverførslerne til underdatabehandlerne.

Datatilsynet finder, at følgende lande i underdatabehandlerkæden burde have været genstand for en undersøgelse, inden kommunerne indgik kontrakten med Google:

  • Australien
  • Chile
  • Canada, da det ikke er angivet, om underdatabehandleren er omfattet af den canadiske Personal Information Protection and Electronic Documents Act (PIPEDA)
  • Indien
  • Mexico
  • Singapore
  • Taiwan
  • Brasilien[6]
  • Hong Kong
  • Japan, da det ikke er angivet, om underdatabehandleren er omfattet af den japanske Act on the Protection of Personal Information (APPI)

Datatilsynet gør opmærksom på, at der ikke er formkrav til, hvordan en sådan undersøgelse skal foretages, eller hvordan dokumentationen skal fremstå. Det er dog vigtigt, at vurderingen tager stilling til, om de fire essentielle garantier er opfyldt, og om det redskab, der benyttes ved overførslen reelt sikrer at den registreredes rettigheder beskyttes på en måde, der er ækvivalent med retstilstanden i EU/EØS. 

For flere lande er der udarbejdet rapporter eksempelvis vurderingerne i rapport EDPS/2019/02-13[7] og de to rapporter med nr. 022-0716[8]. Analyseresultaterne er ikke nødvendigvis retvisende i dag, men giver indikationer for de pågældende lande. Selvom disse analyser er mere udførlige end nødvendigt i de fleste behandlingsscenarier, kan delelementer af disse dog tjene til inspiration for de overvejelser, man skal foretage sig som dataansvarlig.

Derudover følger det af EDPB’s udtalelse 22/204 om visse forpligtelser, der følger af afhængigheden af databehandler(e) og underdatabehandler(e), at:

”Hvis personoplysninger, der overføres af en (under)databehandler (på vegne af den dataansvarlige) på grundlag af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, er genstand for en videreoverførsel fra dette tredjeland, bør det beskyttelsesniveau, som fysiske personer garanteres i medfør af GDPR for en sådan videreoverførsel, heller ikke undermineres. I denne henseende dækker enhver afgørelse om tilstrækkeligheden af beskyttelsesniveauet truffet af Europa-Kommissionen i henhold til artikel 45, stk. 2, litra a), i GDPR blandt andet tredjelandes regler for videreoverførsel. I henhold til artikel 44 i GDPR er den dataansvarlige derfor ikke forpligtet til selv at kontrollere disse krav.

For så vidt angår den dataansvarliges forpligtelse i henhold til artikel 28, stk. 1, i GDPR, betyder dette, at den dataansvarlige skal sikre, at (under)databehandleren også stiller de "fornødne garantier" i forbindelse med videreoverførsler, der foretages af en (under)databehandler fra et land, der sikrer et tilstrækkeligt beskyttelsesniveau.”[9]

Den dataansvarlige er således forpligtet til at påse – og være i stand til at dokumentere – at en underleverandør overholder de pågældende regler og har sikret sig, at beskyttelsesniveauet ikke undermineres ved videreoverførslen. 

For at kunne påse dette er det nødvendigt at konstatere følgende om tilstrækkelighedsvurderingernes natur. Denne beror alene på EU-Kommissionens vurdering af forholdene i det konkrete modtagerland og kan herudover være begrænset til behandlinger af konkrete aktører eller behandlingsscenarier. For videreoverførsler uden for det pågældende såkaldt ”sikre tredjeland” er der tale om forankring i kontrakt mellem (under)databehandleren i det sikre tredjeland og underdatabehandleren i det land, man videreoverfører til.

EDPB offentliggjorde derfor i forlængelse af den ovenfor tidligere omtalte Schrems ll-dom en henstilling 01/2020 om foranstaltninger, der supplerer overførselsværktøjer for at sikre overholdelse af EU-niveauet for beskyttelse af personoplysninger.

Det er på den baggrund Datatilsynets opfattelse, at videreoverførsler af personoplysninger til et land med, hvad EDPB i den nævnte henstilling, kalder ”problematisk lovgivning”, ikke kan ske uden supplerende foranstaltninger, så længe at en sådan videreoverførsel alene baseres på en kontrakt mellem (under)databehandleren i det sikre tredjeland og underdatabehandleren i det usikre tredjeland. Dette allerede fordi, kontrakten ikke bestemmende kan regulere magthavers ageren i det usikre tredjeland.

Datatilsynet konstaterer, at kommunerne ikke har dokumenteret om dette er tilfældet.

Datatilsynet anerkender, at kommunerne ved kontraktindgåelsen har undersøgt databehandleraftalen med Google og de krav, der stilles til underdatabehandlere i denne. Datatilsynet er opmærksom på, at KL har fået bekræftet af Google, at der foretages en grundig screening af de underdatabehandlere, som Google antager, ligesom kommunerne har mulighed for løbende at foretage opfølgning på, om underdatabehandlere lever op til deres forpligtelser. Dette kan ske ved gennemgang af rapporter, som Google forpligter sig til at stille til rådighed.

Datatilsynet kan dog ikke konstatere, at gennemgang af rapporterne om underdatabehandlere rent faktisk er foretaget.

På denne baggrund og efter en samlet vurdering af de behandlingsaktiviteter der beskrives kontraktuelt, sammenholdt med den dokumentation der er fremlagt for Datatilsynet, er kommunernes behandling af personoplysninger efter Datatilsynets vurdering ikke sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra a, og artikel 24, jf. artikel 28, stk. 1 og 4.

Datatilsynet skal på den baggrund i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra b, udtale alvorlig kritik af de 51 kommuner.

Datatilsynet har ved denne afgørelse haft som forudsætning, at de 51 kommuner har konfigureret deres opsætning af de omhandlede programmer i overensstemmelse med de forudsætningsmæssige og funktionelle krav, som KL har specificeret, dels i forbindelse med de tidligere sager i dette sagskompleks dels det til denne sag anførte. Disse indstillinger er blandt andet fastsat for at udelukke services med behandlinger der ikke er hjemmel til, særligt i forhold til videregivelse af personoplysninger til tredjemand.

Datatilsynet skal i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra a, advare de 51 kommuner om, at det sandsynligvis vil være i strid med databeskyttelsesforordningens artikel 6, stk. 1 jf. artikel 6, stk. 3, hvis ikke de har konfigureret deres opsætning af de pågældende programmer i overensstemmelse med de forudsætningsmæssige og funktionelle krav KL har specificeret dels, i forbindelse med de tidligere sager i dette sagskompleks, dels det til denne sag anførte.

Datatilsynet skal i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra a, også advare de 51 kommuner om, at det sandsynligvis vil være i strid med databeskyttelsesforordningens artikel 28, stk. 1 at antage en databehandler til behandlinger af personoplysninger, hvor der sker viderebehandlinger af disse oplysninger hos en underdatabehandler i et tredjeland, hvor der ikke kan sikres et beskyttelsesniveau der essentielt ækvivalerer beskyttelsesniveauet i EU/EØS.

Det bemærkes, at i forhold til Datatilsynets brug af sine tillagte beføjelser som tilsynsmyndighed, er der ved denne afgørelse særligt lagt vægt på den tidligere skete sanktionering af de konstaterede forskelligartede overtrædelser, den afklaring, der nu er sket, ved EDPB’s udtalelse 22/2024 og kommunernes generelle medvirken til sagens oplysning.

5. Afsluttende bemærkninger

Datatilsynet bemærker, at hele forløbet i dette sagskompleks kunne – og efter tilsynets opfattelse skulle – have været undgået ved at de relevante databeskyttelsesretlige vurderinger var blevet foretaget, evalueret og håndteret, inden det konkrete produkt var blevet anskaffet endsige ibrugtaget.

Endvidere skal Datatilsynet bemærke, at det ikke er muligt og lovligt – i forhold til de databeskyttelsesretlige regler – at købe og ibrugtage et produkt der behandler personoplysninger, hvis der ikke kan skabes klarhed over de behandlinger af personoplysninger, der sker i produktet. Dette gælder uanset den forretningsmæssige indikation.

Hvis man vælger et produkt, hvor behandlingsaktiviteter og det kontraktgrundlag behandlingerne sker på ændres hyppigt, skal man som dataansvarlig være i stand til – kontinuerligt – at kunne dokumentere at behandlingerne, også efter ændringen, foregår lovligt. Hvis dette ikke er muligt, skal behandlingerne kunne bringes til ophør eller på anden vis lovliggøres ved at skifte produkt og/eller leverandør.

Dette sagskompleks, antallet af databeskyttelsesretlige overtrædelser og det arbejde, kommunerne – på bagkant – har været nødt til at udføre for at lovliggøre deres valg og brug af de pågældende produkter, får Datatilsynet til at opfordre til, at aktører med samme behandlingsscenarier, for at sikre overholdelse inden anskaffelse og ibrugtagning, går sammen om udfærdigelsen af fælles krav i anskaffelsesfasen, fælles driftsmæssige konfigurationer i driftsfasen og i det hele overvejer at gøre brug af muligheden for efter databeskyttelsesforordningens artikel 40 at udarbejde og få godkendt adfærdskodekser.

Datatilsynet vil fremover tillægge det vægt ved sanktionsvalget, hvis principperne i denne og de tidligere afgørelser i sagskomplekset ikke bliver fulgt. Navnlig på alle de områder, hvor det offentlige og de institutionelle aktører i den private sektor udfører opgaver, hvor brugerne er begrænsede i deres valg af udbyder.

Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere i sagen.

 

[1]    Udtalelse 22/2024 om visse forpligtelser, der følger af afhængigheden af databehandler(e) og underdatabehandler(e)

[2]    Se databeskyttelsesforordningens artikel 45, stk. 2, litra a og EU-Kommissionens gennemførelsesafgørelse (EU) 2023/1795 af 10. juli 2023 i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679 om et tilstrækkeligt beskyttelsesniveau for personoplysninger inden for EU-USA-databeskyttelsesrammen, afsnit 2.2.6.

[3]    Ibid..

[4]    Der henvises i den forbindelse til EDPB’s anbefalinger 02/2020 om de europæiske væsentlige garantier for overvågningsforanstaltninger, side 5, afsnit 8

[5]    CJEU C 311/2018 af 16. juli 2020

[6]    Det bemærkes, at Brasilien med vedtagelsen af EU-Kommissionens tilstrækkelighedsafgørelse den 26. januar 2026 nu er vurderet til at være et sikkert tredjeland. På tidspunktet for kommunernes indgåelse af kontrakten med Google var Brasilien imidlertid et usikkert tredjeland.

[7]    legalstudy_on_government_access_0.pdf

[8]    study_on_government_access_to_data_in_third_countries_17042023_mexico_and_turkiye_final_report_milieu_redacted.pdf og study_on_government_access_to_data_in_third_countries_17042023_brazil_final_report_milieu_redacted.pdf

[9]    EDPB’s udtalelse 22/2024 om visse forpligtelser, der følger af afhængigheden af databehandler(e) og underdatabehandler(e), pkt. 94 og 95