In de kern gaat deze zaak over een wetsconflict tussen Amerikaanse surveillancewetten die surveillance vereisen en EU-wetten voor gegevensbescherming die privacy vereisen.
Deze zaak over massasurveillance door de VS en bedrijven in de EU die daaraan meewerken, loopt al sinds 2013. De zaak is twee keer voor het Ierse Hooggerechtshof en het Europees Hof van Justitie geweest en heeft zelfs een kort bezoek gebracht aan het Ierse Hooggerechtshof. De geschiedenis van deze zaak is in veel opzichten uniek.
Achtergrond
In de kern gaat deze zaak over een wetsconflict tussen Amerikaanse surveillancewetten die surveillance vereisen en EU-wetten voor gegevensbescherming die privacy vereisen.
Probleem: Amerikaanse surveillancewetten
In 2013 onthulde Edward Snowden publiekelijk dat Amerikaanse inlichtingendiensten toegang hebben tot de persoonlijke gegevens van Europese gebruikers met behulp van surveillanceprogramma's zoals PRISM. Deze toegang werd mogelijk gemaakt door een Amerikaanse wet waarvan niet bekend is dat deze wordt gebruikt om dergelijke verstrekkende surveillance toe te staan, genaamd 50 U.S.C. §1881a (of FISA 702). FISA 702 werd in 2008 aangenomen en breidde de mogelijkheden voor surveillance en toegang tot gegevens voor Amerikaanse autoriteiten fundamenteel uit. Tegelijkertijd met deze uitbreiding werden er steeds meer persoonlijke gegevens verzameld door Amerikaanse aanbieders van elektronische communicatiediensten (zoals Apple, Microsoft, Facebook, Google en Yahoo). In combinatie leidde dit tot een steeds grotere aantasting van de privacy van Europese gebruikers.
Onder FISA 702 kunnen Amerikaanse "aanbieders van elektronische communicatiediensten" (zoals gedefinieerd in 50 U.S.C. §1881(4)) worden gedwongen om Amerikaanse veiligheidsdiensten toegang te geven tot de persoonlijke gegevens van "niet-Amerikaanse personen", die worden gedefinieerd als iedereen die geen Amerikaans staatsburger of permanent Amerikaans ingezetene is. De surveillancebevelen onder deze wet hoeven niet specifiek te zijn voor een individueel doelwit, maar maken een heel algemeen surveillanceprogramma zoals PRISM of Upstream mogelijk. Er is geen geïndividualiseerde gerechtelijke goedkeuring voor niet-Amerikaanse personen. FISA 702 staat ook surveillance toe voor vrij brede doeleinden, zoals "informatie die ... betrekking heeft op ... het uitvoeren van de buitenlandse zaken van de Verenigde Staten"(zie 50 U.S.C. §1801(e)).
Er zijn ook surveillancebevoegdheden van de VS die gebaseerd zijn op de "inherente macht van de president van de VS" en verder worden gedefinieerd in een uitvoerend bevel(EO 12.333), terwijl andere elementen worden beschreven in de Presidential Policy Directive 28(PPD-28). Beide zijn interne bevelen binnen de uitvoerende macht die geen plichten of rechten creëren voor privé-entiteiten, maar het toezicht op niet-Amerikaanse personen mogelijk maken.
In de documenten die Edward Snowden openbaar heeft gemaakt, worden een aantal Amerikaanse bedrijven genoemd die onder deze bepalingen gegevens aan de Amerikaanse overheid verstrekken voor surveillanceprogramma's zoals PRISM of Upstream, waaronder Apple, Microsoft, Facebook, Google en Yahoo.
Reactie: GDPR beperkt gegevensoverdracht
De Europese privacywetgeving (voorheen Richtlijn 95/46 en nu de GDPR) is gebaseerd op het concept van een vrije stroom van persoonlijke gegevens, maar alleen binnen een sfeer die de privacy van gebruikers beschermt. Als persoonlijke gegevens alleen binnen de Europese Unie beschermd zouden zijn, maar zonder beperkingen buiten de jurisdictie van de EU zouden kunnen worden doorgegeven, zou het hoge niveau van bescherming voor persoonlijke gegevens dat binnen de EU noodzakelijk is, gemakkelijk kunnen worden ondermijnd.
De EU-wetgeving heeft echter altijd tegelijkertijd voorzien in uitzonderingen op dit beginsel van beperking van doorgifte, zoals wanneer persoonsgegevens noodzakelijkerwijs moeten worden doorgegeven (bijvoorbeeld bij het boeken van een dienst in het buitenland of bij het verzenden van een e-mail) of wanneer een gebruiker vrijwillig instemt met een doorgifte. Deze uitzonderingen voor niet-structurele doorgiften zijn momenteel gecodificeerd in artikel 49 GDPR.
Daarnaast erkent de EU-wetgeving dat er situaties kunnen zijn waarin niet-EU-bedrijven een gelijkwaardig beschermingsniveau voor persoonsgegevens bieden. In sommige landen is de nationale wetgeving vergelijkbaar met de EU-wetgeving (bijv. Zwitserland, Israël, Canada of Japan), en in andere landen kunnen bedrijven zich vrijwillig verbinden aan de EU-beginselen door civielrechtelijke regelingen te ondertekenen, zoals standaardcontractbepalingen, bindende bedrijfsvoorschriften of het EU-VS-privacyschild. Deze laatste rechtsgrondslagen zijn te vinden in artikel 46 tot en met 48 GDPR en worden grotendeels gebruikt voor situaties die het best kunnen worden omschreven als "uitbesteding" van de verwerking van persoonsgegevens door bedrijven aan niet-EU-landen.
Aangezien de VS geen omnibus of federale privacywet heeft, moeten Amerikaanse bedrijven voor uitbesteding vertrouwen op een van deze contractuele opties in artikel 46 tot 48 GDPR. Voor bedrijven die onder de Amerikaanse toezichtwetgeving vallen, is het gebruik van deze contractuele opties in de praktijk echter onmogelijk , omdat de Amerikaanse wetgeving vereist dat ze hun verplichtingen onder de EU-wetgeving schenden. Dit probleem vormt de kern van alle zaken tussen de heer Schrems, de Ierse commissaris voor gegevensbescherming (DPC) en Facebook, aangezien Facebook duidelijk onder de Amerikaanse toezichtwetgeving valt en deelnam aan programma's zoals PRISM, terwijl het tegenstrijdig handtekeningen zette onder SCC's, Safe Harbor en nu Privacy Shield (het besluit over de doorgifte van gegevens tussen de EU en de VS dat Safe Harbor vervangt).
Eerste verwijzing naar het HvJEU in 2013-2015 ("Safe Harbor")
Procedure voor de Ierse commissaris voor gegevensbescherming (DPC)
Na de onthullingen van Snowden diende de heer Schrems (toen een Oostenrijkse rechtenstudent) een klacht in tegen Facebook Ireland Ltd bij de Irish Data Protection Commissioner (DPC). De klacht stelde dat onder het EU-VS Safe Harbor-besluit 2000/520/EG (een uitvoeringsbesluit van de Europese Commissie in 2000) de persoonlijke gegevens van de heer Schrems niet van Facebook Ireland Ltd (dat Facebook-gebruikers buiten de VS en Canada bedient) naar Facebook Inc. (het Amerikaanse moederbedrijf) zouden mogen worden verzonden, aangezien Facebook de Amerikaanse National Security Agency toegang tot dergelijke gegevens moet verlenen.
De Ierse DPC verwierp de klacht van de heer Schrems als "lichtzinnig en vexatoir", met het argument dat Facebook zich baseerde op de Veiligehavenbeschikking voor het uitvoeren van hun gegevensoverdrachten naar de VS. Volgens de DPC had de Europese Commissie in de beschikking uit 2000 (8 jaar voordat 50 U.S.C. § 1881a werd aangenomen) geaccepteerd dat de Amerikaanse wetgeving adequaat is en dat de DPC absoluut gebonden was aan de beschikking van de Commissie.
Rechterlijke toetsing tegen de DPC
In oktober 2013 diende de heer Schrems een verzoek in tot een rechterlijke toetsing van de DPC-beschikking met het argument dat de DPC een "noodclausule" in de Veiligehavenbeschikking kon gebruiken om de gegevensoverdracht op te schorten en dat de Veiligehavenbeschikking hoe dan ook ongeldig was. In een arrest van 18. 6. 2014 [2014] IEHC 310 heeft het Ierse High Court de procedure gepauzeerd en de zaak verwezen naar het Hof van Justitie van de Europese Unie (HvJEU). Het Ierse Hooggerechtshof was het grotendeels eens over het feit dat er volgens de Amerikaanse wet sprake is van "massasurveillance", maar was van mening dat het geen definitieve beslissing kon nemen over de zaak van de heer Schrems zonder eerst de geldigheid van de Veiligehavenbeschikking vast te stellen. Volgens de EU-wetgeving kan alleen het HvJEU beslissen over de geldigheid van EU-besluiten zoals de Veiligehavenbeschikking, wat betekende dat het Ierse Hooggerechtshof de zaak naar het HvJEU moest verwijzen.
Arrest van het HvJEU van 6 oktober 2015 (C-362/14)
In een baanbrekend arrest (C-362/14 Schrems) verklaarde het HvJEU het Veiligehavenbesluit ongeldig, grotendeels volgens de argumenten van Schrems. Het Hof oordeelde dat een derde land zoals de VS een beschermingsniveau moet bieden dat"in wezen gelijkwaardig"is aan dat van de EU-wetgeving, en dat"wetgeving die overheidsinstanties op algemene basis toegang verleent" in strijd was met de essentie van het grondrecht van de EU op privacy krachtens artikel 7 van het Handvest van de grondrechten van de EU. Evenzo schendt het ontbreken van enig rechtsmiddel in de VS voor niet-Amerikaanse personen het grondrecht op een rechtsmiddel krachtens artikel 47 van het Handvest van de grondrechten.
Na de uitspraak van het HvJEU sloot het Ierse Hooggerechtshof de procedure voor de Ierse rechtbanken, omdat het DPC beloofde de uitspraak van het HvJEU snel uit te voeren.
Tweede verwijzing naar het HvJEU in 2015-20 (SCC's & Privacy Shield)
Informatie dat Facebook zich daadwerkelijk heeft gebaseerd op de SCC's
Tot grote verbazing van de heer Schrems, liet de DPC hem in november 2015 weten dat de uitspraak van het HvJEU over het Safe Harbor-besluit irrelevant was voor zijn oorspronkelijke klacht, omdat Facebook in feite altijd had vertrouwd op de zogenaamde "Standard Contractual Clauses" (SCC's) voor hun gegevensoverdrachten. De DPC had deze informatie niet aan de heer Schrems bekendgemaakt, waardoor hij dacht dat Facebook zich op Safe Harbor had gebaseerd, ondanks het feit dat hij deze informatie al in 2013 van Facebook had ontvangen in een antwoord per e-mail op de klacht.
De heer Schrems herformuleerde daarop zijn klacht om nu ook de VCA's en elke andere rechtsgrondslag voor gegevensoverdrachten waarop Facebook zich zou kunnen beroepen, te vermelden, en diende op 1 december 2015 een bijgewerkte klacht in bij de DPC. De heer Schrems voerde aan dat het DPC artikel 4 van het SCC-besluit zou moeten gebruiken om de doorgifte op te schorten, aangezien artikel 4 het DPC toestaat om de doorgifte van gegevens op te schorten als de grondrechten van gebruikers worden geschonden.
Rechtszaak van het GOG tegen Facebook en de heer Schrems
In plaats van snel een besluit over de zaak te nemen, spande het DPC verrassend genoeg een rechtszaak aan tegen Facebook Ireland Ltd en de heer Schrems kort nadat het was begonnen met zijn "onderzoek" naar de geherformuleerde klacht waarbij de twee partijen waren betrokken. In de ogen van het DPC waren de twee partijen de "natuurlijke verweerders" in deze zaak en het DPC zag zich genoodzaakt het High Court te verzoeken om nog een verwijzing naar het Hof van Justitie van de EU. De heer Schrems heeft de zaak aangevochten met het argument dat het GOG zich pas voor een tweede keer tot het HvJEU mag wenden als alle feiten en kwesties zijn onderzocht.
Verschillende partijen hebben een verzoek ingediend om als amicus (neutrale helpers van de rechtbank) aan de zaak deel te nemen; de Amerikaanse overheid, EPIC.org en twee lobbygroepen uit de industrie hebben zich bij de zaak aangesloten.
In de rechtszaak stelde het DPC dat het zich niet alleen zou aansluiten bij de standpunten van de heer Schrems in zijn zorgen over de Amerikaanse surveillancewetgeving, maar dat het daarnaast ook ernstige zorgen had over de geldigheid van de SCC's die door Facebook worden gebruikt. De DPC was van mening dat de SCC's niet voorzien in een rechtmatig mechanisme om gegevens over te dragen als een derde land zoals de VS wetten heeft aangenomen die in strijd zijn met de SCC's. Facebook en de heer Schrems hadden geen problemen met de SCC's zelf en waren het erover eens dat in een dergelijk geval artikel 4 van Besluit 2010/87/EGKS een oplossing zou bieden.
In tegenstelling tot de heer Schrems en de DPC zag Facebook geen probleem in de surveillancewetten van de VS en was Facebook van mening dat de EU geen jurisdictie heeft over kwesties van "nationale veiligheid". Facebook beriep zich ook op het Privacy Shield besluit (EU) 2016/1250 van de Europese Commissie, dat het ongeldige Safe Harbor besluit verving. In dit besluit oordeelde de Europese Commissie dat er geen conflict is tussen de surveillancewetten van de VS en de grondrechten van de EU. Volgens Facebook moet deze bevinding in het Privacy Shield-besluit ook gelden voor doorgiften onder de SCC's. De heer Schrems was van mening dat het Privacy Shield-besluit zelf ongeldig is, omdat het de Amerikaanse toezichtwetgeving fundamenteel verkeerd weergeeft en daarom geen autoriteit is om de SCC's te interpreteren.
Na verschillende procedurele stappen en meer dan vijf weken van hoorzittingen met meerdere getuigen-deskundigen op het gebied van de Amerikaanse surveillancewetgeving, erkende het Ierse Hooggerechtshof het bestaan van massasurveillanceprogramma's van de Amerikaanse overheid. In een arrest van 3 oktober 2017 [2017] IEHC 545, vatte het Ierse Hooggerechtshof alle feitelijke bevindingen samen en benadrukte dat de VS "massale verwerking" van persoonsgegevens uitvoert, bijvoorbeeld door het filteren van het volledige internetverkeer dat door delen van de internet-backbone stroomt. Op 13 april 2018 legde het elf interpretatieve vragen ter beslissing voor aan het HvJEU. De vragen waren grotendeels opgesteld door de DPC.
Na de verwijzing diende Facebook een verzoek in bij het Ierse Hooggerechtshof in een poging de verwijzing door het Hooggerechtshof tegen te houden, maar het beroep werd uiteindelijk op 31 mei 2019 verworpen.
Procedure voor het HvJEU (C-311/18)
Op 30 augustus 2018 moesten de partijen hun schriftelijke opmerkingen indienen.
Op 19 juli 2019 hoorde het HvJEU de zaak voor de Grote Kamer (de grootste samenstelling van het Hof, met 15 rechters), waarbij de drie partijen, de vier amicus, de Europese Commissie, het Europees Parlement, het Europees Comité voor gegevensbescherming (EDPB) en een groot aantal regeringen van EU-lidstaten werden gehoord. De vragen van de rechters richtten zich met name op kwesties rond de Amerikaanse surveillancewetten en de geldigheid van het Privacy Shield-besluit.
Op 19 december 2019 heeft de advocaat-generaal (AG) van het Hof zijn niet-bindende advies over de zaak uitgebracht, waarin hij zich grotendeels aansluit bij het standpunt van de heer Schrems. Volgens het advies is de Amerikaanse toezichtwetgeving onverenigbaar met de grondrechten van de EU, maar ligt de oplossing voor de onverenigbaarheid in het feit dat het DPC de opschorting van de gegevensoverdrachten op grond van artikel 4 van het SCC-besluit beveelt. Hoewel de AG het Privacy Shield-besluit expliciet bekritiseerde, was hij van mening dat de vraag naar de geldigheid ervan geen integraal onderdeel van de zaak uitmaakt.
Op 16 juli 2020 wees het Hof van Justitie zijn "Schrems II"-arrest, waarin het zich volledig schaarde achter het standpunt van de klager, het "Privacy Shield"-besluit ongeldig verklaarde, eiste dat het DPC de gegevensoverdrachten stopzette en oordeelde dat de Amerikaanse toezichtwetten in strijd zijn met artikel 7 (recht op privacy), artikel 8 (recht op gegevensbescherming) en artikel 47 (recht op beroep) van het Europees Handvest van de grondrechten.