Hvad er Schrems II for B2B SaaS?

Schrems II er EU-Domstolens afgørelse, der i praksis skærper kravene til, hvordan du som B2B SaaS-virksomhed må overføre personoplysninger til leverandører uden for EU/EØS – især til USA. Afgørelsen betyder, at standardkontrakter ikke altid er nok, og at du skal dokumentere, at beskyttelsesniveauet reelt er tilstrækkeligt.

Hvad består Schrems II af?

Schrems II dækker over EU-Domstolens dom (C-311/18) fra 2020, som ændrede spillereglerne for internationale dataoverførsler. For dig i B2B SaaS handler det mindre om jura i abstrakt forstand og mere om, hvordan du bruger cloud, analyseværktøjer, CRM, support- og marketingplatforme uden at påtage dig unødvendig compliance-risiko.

Kernen i Schrems II kan opdeles i tre elementer:

• Ugyldiggørelse af Privacy Shield: Den tidligere ramme for overførsel af data til USA blev kendt ugyldig. Det fjernede en “nem” compliance-vej for mange SaaS-opsætninger.
• Standard Contractual Clauses (SCC) kan stadig bruges – men ikke ukritisk: SCC’er er fortsat et værktøj, men du skal vurdere, om de faktisk beskytter data i modtagerlandet.
• Krav om supplerende foranstaltninger og dokumentation: Hvis lovgivning eller praksis i tredjelandet kan undergrave beskyttelsen, skal du indføre tekniske/organisatoriske tiltag (fx kryptering, nøglestyring, adgangskontrol) og kunne dokumentere vurderingen.

Hvordan fungerer Schrems II?

Schrems II fungerer i praksis som et “realitetstjek” af dine dataoverførsler: Det er ikke nok, at du har en databehandleraftale og SCC’er liggende. Du skal kunne vise, at dine overførsler til tredjelande ikke udsætter registreredes data for uforholdsmæssig adgang (fx myndighedsadgang) uden effektive retsmidler.

Det betyder typisk, at du skal have styr på:

• Dataflow: Hvilke personoplysninger indsamler du, hvor sendes de hen, og hvilke underleverandører er involveret?
• Rollefordeling: Er du dataansvarlig, fælles dataansvarlig eller databehandler i de enkelte led (fx produktdata vs. marketingdata)?
• Transfer Impact Assessment (TIA): En vurdering af risikoen ved overførslen, modtagerlandets lovgivning og hvilke foranstaltninger der gør overførslen forsvarlig.
• Supplerende foranstaltninger: Særligt tekniske tiltag (kryptering, pseudonymisering, segmentering, logging) og organisatoriske tiltag (processer, vendor management, incident response).

For B2B SaaS bliver Schrems II ofte relevant via “usynlige” integrationer: tracking, support-chat, produktanalyse, cloud hosting, e-mail automation eller kundesuccesværktøjer, hvor persondata kan flyde på tværs af systemer.

Hvorfor er Schrems II vigtigt for B2B-virksomheder?

Schrems II er vigtigt, fordi det påvirker både din risikoprofil og din go-to-market. Mange B2B-købere (især enterprise og offentlige) vil stille konkrete krav til dataoverførsler, dokumentation og leverandørstyring, før de signer en aftale.

Det har fire direkte forretningsmæssige konsekvenser:

• Salgsbarrierer og procurement: Du møder oftere spørgeskemaer om SCC/TIA, underdatabehandlere, datalokation og tekniske sikkerhedsforanstaltninger.
• Kontraktkrav: Kunder kræver tydeligere DPA’er, bilag om underleverandører og ofte ret til audit eller sikkerhedsdokumentation.
• Markedsføring og tracking: Hvis du bruger tredjelandsværktøjer til marketing og leadgenerering, kan datadeling gøre compliance mere kompleks og påvirke din tracking-strategi.
• Brand og tillid: Dokumenteret databeskyttelse kan være et konkurrenceparameter, især når du sælger til regulerede brancher.

For SEO og leadgenerering handler det også om at undgå “compliance-friktion” i kunderejsen. Hvis din målgruppe er compliance-tung, kan uklare svar om dataoverførsler bremse demo-bookinger og øge churn i pipeline.

Hvordan bruges Schrems II i praksis?

I praksis bliver Schrems II til et sæt arbejdsgange, du kan gentage, når du tilføjer nye tools eller udvider til nye markeder. For B2B SaaS giver det mening at tænke i tre niveauer: produkt, marketing/salg og leverandørstyring.

1) Kortlæg dine dataoverførsler (produkt, drift og marketing)

Start med de steder, hvor persondata oftest flyder ud af EU/EØS: cloud hosting, overvågning/logging, support, produktanalyse og marketing automation. Det er typisk her, du finder tredjelandsoverførsler – også når du “bare” bruger en standardintegration.

Hvis du fx arbejder datadrevet med leadgenerering og segmentering, er det afgørende at vide, hvilke datapunkter du sender videre til CRM og automation. Når du definerer din målgruppe og databehov, kan du med fordel koble det til din ideelle kundeprofil, så du kun indsamler og aktiverer de data, der reelt skaber forretningsværdi.

2) Vurder lovgrundlag og overførselsgrundlag

Schrems II ændrer ikke GDPR’s grundprincipper, men den hæver barren for tredjelandsoverførsler. Du skal typisk kunne pege på:

• GDPR artikel 6: Dit behandlingsgrundlag (aftale, legitim interesse, samtykke mv.).
• Overførselsmekanisme: SCC’er er ofte udgangspunktet, men du skal vurdere effektiviteten i praksis (TIA).
• Dataminimering: Overfør kun det nødvendige, og overvej pseudonymisering, hvor det giver mening.

3) Indfør supplerende foranstaltninger, hvor det er nødvendigt

Supplerende foranstaltninger er der, hvor Schrems II bliver konkret. For en B2B SaaS er de mest relevante ofte:

• Kryptering: Krypter data både under transport og i hvile. Overvej, hvem der kontrollerer nøglerne.
• Pseudonymisering: Split identitet fra adfærdsdata, især i analytics og logning.
• Adgangskontrol og logging: Begræns intern adgang, brug least privilege, og log adgang til persondata.
• Data residency: Vælg EU-regioner, hvor muligt, og dokumentér det i din leverandøroversigt.

4) Gør det operationelt i din leadmotor og din salgsstack

Mange SaaS-virksomheder opbygger en “leadmotor”, hvor data flyder fra website og content til CRM, automation og rapportering. Her opstår Schrems II-problemer ofte, fordi marketingstacken består af mange værktøjer og underdatabehandlere.

Hvis du arbejder systematisk med leadgenerering, kan det hjælpe at have en klar proces for, hvordan du indsamler, beriger og aktiverer data. Læs mere om Cohertas leadmotor og hvordan du kan tænke datadisciplin ind i din pipeline, så du både kan dokumentere flows og holde fokus på performance.

Når du eksporterer eller importerer leaddata mellem systemer, bør du samtidig sikre, at overførsler, formål og dataminimering er gennemtænkt. Hvis du bruger Coherta i praksis, kan du fx se mulighederne i import af data og export af data som en anledning til at standardisere felter, formål og retention.

5) Dokumentér, så det kan bruges i salget

Dokumentation er ikke kun til juristen. Den er et salgsaktiv. Når en kunde spørger “hvor behandles data?” eller “hvilke underdatabehandlere bruger I?”, skal du kunne svare hurtigt og konsistent.

Et pragmatisk mål for B2B SaaS er at kunne levere:

• Oversigt over underdatabehandlere og datalokation
• Din tilgang til SCC og TIA (på et forståeligt niveau)
• Sikkerhedstiltag (kryptering, adgangsstyring, incident response)
• Retention og slettepolitik

Fordele og ulemper

• Fordel: Du får bedre kontrol over dine dataflows og kan reducere “shadow IT” i marketing- og produktstacken.
• Fordel: Stærkere compliance kan forkorte enterprise-salgscyklusser, fordi du kan besvare due diligence hurtigere.
• Fordel: Du bliver tvunget til dataminimering, som ofte forbedrer datakvalitet og rapportering.
• Ulempe: Mere arbejde med leverandørstyring, TIA’er og løbende opfølgning, især ved mange integrationer.
• Ulempe: Nogle værktøjer (særligt amerikanske) kan kræve ekstra tekniske tiltag eller alternative setups.
• Ulempe: Risiko for “compliance-overhead”, hvis du dokumenterer for meget uden at prioritere de reelle risici.

Typiske misforståelser

• “SCC’er løser alt.” SCC’er er ofte nødvendige, men ikke altid tilstrækkelige. Du skal vurdere den faktiske risiko og supplere med tiltag.
• “Det gælder kun store virksomheder.” Selv mindre SaaS kan blive ramt via deres leverandører, især hvis de sælger til større kunder.
• “Kun produktdata er relevante.” Marketingdata, cookies, events og supporttickets kan også være personoplysninger og dermed omfattet.
• “Hvis vi hoster i EU, er vi færdige.” En leverandør kan stadig være underlagt tredjelandes lovgivning, eller data kan tilgås fra tredjelande via support og drift.

FAQ

Gælder Schrems II også, når jeg kun sælger B2B?

Ja. GDPR og Schrems II handler om personoplysninger, ikke om hvorvidt du sælger til virksomheder. Hvis dine data indeholder oplysninger om identificerbare personer (fx medarbejdere hos kunder eller leads), er du omfattet.

Hvad er en Transfer Impact Assessment (TIA), og skal jeg have en?

En TIA er en vurdering af, om en tredjelandsoverførsel giver et beskyttelsesniveau, der reelt svarer til EU/EØS. I praksis forventes det ofte, når du bruger SCC’er til overførsel til lande, hvor myndighedsadgang kan være en risiko. Mange B2B-kunder vil spørge direkte efter den.

Er det ulovligt at bruge amerikanske SaaS-værktøjer efter Schrems II?

Nej, ikke automatisk. Men du skal kunne dokumentere overførselsgrundlag og eventuelle supplerende foranstaltninger. I nogle tilfælde kan det betyde ændringer i konfiguration, dataminimering eller valg af EU-baserede alternativer.

Hvordan påvirker Schrems II min marketing og leadgenerering?

Det påvirker især tracking, analytics, annoncering og automation, hvor data kan sendes til tredjelande via scripts og integrationer. Jo mere du kan minimere og styre dataflows (og dokumentere dem), jo mindre friktion får du i både compliance og salg.

Hvordan kan jeg sikre et mere kontrolleret dataflow fra leads til CRM?

Start med at standardisere dine felter, formål og retention på tværs af systemer og undgå at sende unødvendige persondata videre. Hvis du arbejder med Coherta, kan integrationer til marketing automation gøre flowet mere struktureret, fx med leads til ActiveCampaign, hvor du samtidig kan være bevidst om, hvilke data du aktiverer og hvorfor.

Få styr på dataoverførsler uden at bremse pipeline

Hvis Schrems II skaber friktion i dit salg, er det ofte et tegn på uklare dataflows og for mange “løse ender” mellem marketing, CRM og produktdata. Du kan reducere risiko og samtidig styrke din leadgenerering ved at arbejde med en mere struktureret tilgang til målgrupper, dataminimering og aktivering.

Læs mere om sådan Coherta virker, og se hvordan du kan opbygge en performance-drevet leadproces, hvor datahåndtering og dokumentation bliver en integreret del af din go-to-market.