GDPRscanner

5. juli 2026

Schrems II og amerikanske tjenester — hvad gælder i 2026?

Google Fonts, YouTube, analytics og cloud: hvad betyder Schrems II og EU-U.S. Data Privacy Framework for danske virksomheders brug af amerikanske tjenester i 2026?

Et spørgsmål, der har flyttet sig flere gange

Få emner i GDPR har skabt lige så meget forvirring som spørgsmålet om, hvorvidt man må bruge amerikanske tjenester. Og forvirringen er forståelig, for svaret har faktisk ændret sig flere gange på få år. En virksomhed, der læste sig klog på reglerne i 2021, kan roligt være nået frem til en anden konklusion end en, der gør det i dag.

Kernen i problemet er enkel: når personoplysninger sendes ud af EU til et land uden for EØS — et såkaldt tredjeland — kræver GDPR, at der er et gyldigt grundlag for netop den overførsel. USA er det tredjeland, langt de fleste danske virksomheder rører ved, som regel uden at tænke over det, fordi de bruger amerikansk software, cloud og indhold i dagligdagen. Denne guide gennemgår, hvordan reglerne er nået dertil, hvor de står pr. medio 2026, hvor det rammer en helt almindelig dansk hjemmeside, og hvad du konkret kan gøre ved det.

Kort historik: Safe Harbor, Privacy Shield og Schrems II

For at forstå situationen hjælper det at kende de fire skridt, forløbet har taget.

Det begyndte med Safe Harbor, en aftale mellem EU og USA, der gjorde det let at overføre data over Atlanten. Den blev underkendt af EU-Domstolen efter en klage rejst af den østrigske jurist Max Schrems — sagen, der senere fik navnet Schrems I.

Så kom Privacy Shield, en ny aftale, der skulle rette op på manglerne fra Safe Harbor. Den holdt nogle år, indtil EU-Domstolen i 2020 igen greb ind. Den afgørelse — Schrems II — er den, hele diskussionen har kredset om siden. Domstolen underkendte Privacy Shield, fordi amerikansk lovgivning gav efterretningstjenester adgang til data på en måde, der ikke levede op til europæiske krav. Samtidig fastslog dommen, at de såkaldte standardkontraktbestemmelser (SCC'er) stadig kunne bruges som overførselsgrundlag — men kun hvis man i hvert enkelt tilfælde vurderede, om beskyttelsen i modtagerlandet reelt var tilstrækkelig, og lagde ekstra foranstaltninger oven i, hvor den ikke var.

Resultatet var en periode med stor usikkerhed, hvor mange virksomheder ikke vidste, om de overhovedet lovligt kunne bruge amerikanske tjenester. Den usikkerhed blev adresseret i 2023, da Europa-Kommissionen vedtog en tilstrækkelighedsafgørelse for et nyt rammeværk: EU-U.S. Data Privacy Framework, i daglig tale DPF. Det er dét rammeværk, der er udgangspunktet i dag.

Hvad Data Privacy Framework betyder i praksis

En tilstrækkelighedsafgørelse er EU's måde at sige, at et land — eller i dette tilfælde en ordning inden for et land — sikrer et beskyttelsesniveau, der kan sidestilles med EU's eget. Det praktiske resultat er, at du kan overføre personoplysninger til en amerikansk virksomhed, der er certificeret under DPF, uden at skulle bygge et separat overførselsgrundlag op med SCC'er og vurderinger. Overførslen behandles i den henseende på linje med en overførsel inden for EU.

Det afgørende ord er certificeret. DPF dækker ikke USA som land, men de konkrete virksomheder, der aktivt har tilmeldt sig ordningen og forpligtet sig på dens principper over for de amerikanske myndigheder. En amerikansk leverandør er altså ikke automatisk dækket, fordi rammeværket findes — den skal selv være på listen.

Og den liste kan du tjekke. De certificerede virksomheder er offentligt søgbare på dataprivacyframework.gov, hvor du kan slå en konkret leverandør op og se, om den er aktivt certificeret, og for hvilke datakategorier. Det er værd at gøre til en vane, før du tager en amerikansk tjeneste i brug: find leverandøren på listen, og gem et notat om, hvad du fandt, og hvornår. Så har du dokumentationen, hvis nogen senere spørger.

Hvad der stadig kræver opmærksomhed

DPF løser en stor del af problemet, men det fjerner det ikke helt, og der er især to ting at holde øje med.

For det første er der de ikke-certificerede leverandører. Bruger du en amerikansk tjeneste, der ikke er på DPF-listen, er du tilbage i den situation, Schrems II beskrev: du skal have et andet overførselsgrundlag på plads, i praksis oftest standardkontraktbestemmelser suppleret med en vurdering af, om beskyttelsen i praksis er tilstrækkelig, og eventuelle ekstra tekniske foranstaltninger. Det er en mere omstændelig øvelse, og den er værd at kende, før du vælger en leverandør, ikke efter.

For det andet er selve rammeværket ikke urørligt. DPF har været retsligt udfordret, ganske som forgængerne blev det, og det er en del af billedet, at området har bevæget sig før og kan bevæge sig igen. Her er det klogt at være varsom med at spå: ingen kan med sikkerhed sige, hvad udfaldet af en fremtidig prøvelse bliver, og det er ikke noget, du behøver at tage stilling til for at handle fornuftigt i dag. Det praktiske råd er i stedet at bygge din opsætning, så den er nem at justere, og at tjekke den aktuelle status med jævne mellemrum frem for at antage, at det, der gjaldt sidste år, også gælder nu.

Bemærk

Området er i bevægelse. Det, der står her, beskriver billedet pr. medio 2026, men rammeværket kan ændre sig. Behandl ikke en gammel vurdering som en blivende sandhed — tjek den aktuelle status på dataprivacyframework.gov og hos Datatilsynet, før du træffer beslutninger, der bygger på den.

Hvor det rammer en helt almindelig hjemmeside

Det lyder måske som noget, der kun angår store cloud-opsætninger, men i praksis rammer tredjelandsspørgsmålet stort set enhver dansk hjemmeside, og som regel steder, ejeren ikke er klar over. Hver gang siden henter noget fra en ekstern server, sendes den besøgendes IP-adresse — og dermed en personoplysning — med derhen. Ligger den server i USA, er der tale om en overførsel. Her er de fire klassikere.

Skrifttyper fra et CDN. Rigtig mange hjemmesider henter deres skrifttyper direkte fra en amerikansk font-tjeneste, hver gang siden loades. Det er praktisk, men det betyder, at hver besøgendes IP-adresse sendes til en server i USA, bare for at vise en skrifttype. Det er en af de mest udbredte og samtidig mest unødvendige overførsler — den kan fjernes helt ved at hoste skrifttypen på din egen server.

Indlejrede videoer og kort. En YouTube-video eller et Google Maps-kort, du lægger ind på en side, trækker indhold og scripts fra Googles amerikanske infrastruktur, i det øjeblik siden vises. Selv "privatlivsvenlige" indlejringsvarianter kontakter typisk stadig serverne. Det er bekvemt indhold, men det er også en tredjeparts-forbindelse, du bør kende til.

Analyseværktøjer. Bruger du et amerikansk analyseværktøj til at måle trafik, sender det data om dine besøgende til udbyderen. Netop analytics har været blandt de mest omdiskuterede eksempler, fordi dataene ofte er detaljerede og knyttet til den enkelte besøgende.

Chat-widgets og andre indlejrede tjenester. Live chat, supportbobler, bookingmoduler og lignende "plug-ins" kommer ofte fra amerikanske udbydere og indlæses direkte i din side. De er nemme at glemme, fordi de føles som en del af siden, men de er tredjeparter, der modtager data om dine besøgende.

Fælles for de fire er, at de sjældent blev besluttet som en dataoverførsel. Nogen ville bare have en pæn skrifttype, en video på forsiden eller en chatfunktion — og forbindelsen til USA fulgte med i købet.

Hvad du konkret kan gøre

Det gode er, at du kan komme langt med nogle få, konkrete skridt, og at de fleste ikke kræver en jurist.

Kortlæg dine tredjeparts-forbindelser. Du kan ikke tage stilling til noget, du ikke ved, du har. Start med at få overblik over, hvilke eksterne domæner din hjemmeside faktisk kontakter, når den loades. Det er grundlaget for alt det andet.

Selvhost dét, der er let at selvhoste. Nogle overførsler kan fjernes helt uden at miste funktionalitet. Skrifttyper er det oplagte eksempel: hostet lokalt forsvinder forbindelsen til det amerikanske CDN, og siden loader tit endda hurtigere. Det er en lav indsats med et rent resultat.

Vælg EU-alternativer, hvor det giver mening. For flere kategorier — analytics, e-mail, videohosting — findes der europæiske udbydere, der holder dataene inden for EU. Det er ikke altid muligt eller umagen værd, men hvor det er en let udskiftning, sparer det dig for hele tredjelandsvurderingen.

Dokumentér dine valg. For de amerikanske tjenester, du beholder, så notér, hvorfor de er der, om de er DPF-certificerede, og hvilket overførselsgrundlag der gælder. Dokumentationen er ikke bureaukrati for bureaukratiets skyld — den er det, der gør, at du kan svare roligt, hvis en kunde eller Datatilsynet spørger, i stedet for at skulle grave det hele frem under tidspres.

Husk samtidig, at tredjelandsspørgsmålet og cookie-samtykket er to forskellige lag. At en leverandør er DPF-certificeret, siger noget om, hvorvidt overførslen har et grundlag — men hvis tjenesten sætter cookies eller sporer besøgende, gælder kravet om forudgående samtykke stadig oven i. De to ting skal begge være på plads.

Få kortlagt, hvad din side rører ved

Det tungeste ved hele øvelsen er som regel første skridt: at finde ud af, hvilke amerikanske og andre tredjeparts-tjenester din side overhovedet kontakter. Det er svært at gøre i hånden, fordi mange forbindelser skabes af scripts, der loader andre scripts, og fordi det, der ligger bag et bureaus opsætning, sjældent er dokumenteret nogen steder.

Vores gratis scanning gør præcis det: den kortlægger, hvilke tredjeparts-domæner din hjemmeside kontakter, når den loades — skrifttyper, analytics, indlejret indhold, chat-widgets og resten — så du får en konkret liste at arbejde ud fra i stedet for et gæt. Du kan køre en gratis GDPR-scan på et par minutter, og vil du se, hvordan resultatet præsenteres, kan du kigge på vores eksempel-rapport, før du går i gang.