De meeste gegevensoverdrachten tussen de EU en de VS zijn gebaseerd op het "Transatlantic Data Privacy Framework" (TAFPF) of zogenaamde "Standard Contract Clauses" (SCC's). Beide instrumenten zijn gebaseerd op fragiele Amerikaanse wetten, niet-bindende regelgeving en jurisprudentie die onder vuur ligt - en de komende maanden waarschijnlijk zal worden opgeblazen. Nu de instabiliteit van het Amerikaanse rechtssysteem onmiskenbaar wordt en de VS openlijke tekenen van vijandigheid tegenover de EU vertoont, is het tijd om opnieuw te bekijken waar onze gegevens naartoe stromen - en hoe lang het juridische "kaartenhuis" dat de EU heeft gebouwd nog stand houdt.
Blog post door Max Schrems
Lagen van VS- en EU-wetgeving. De "brug" die de Europese Commissie en de vorige Democratische regeringen van de VS hebben geslagen om de verwerking van persoonsgegevens uit de EU in de VS mogelijk te maken, berust niet op een eenvoudige, stabiele Amerikaanse privacywet. In plaats daarvan vertrouwden de EU en de VS op een wilde lappendeken van tonnen interne richtlijnen en voorschriften, jurisprudentie van het Hooggerechtshof, feitelijke "praktijken"of uitvoeringsbevelen.
In een poging om de eindjes aan elkaar te knopen, ondersteunen deze lagen elkaar niet, maar staan ze op een rij om een zo dun mogelijke verbinding tussen de EU en de VS-wetgeving tot stand te brengen - wat betekent dat het falen van slechts één van de vele juridische elementen waarschijnlijk de meeste gegevensoverdrachten tussen de EU en de VS direct illegaal zou maken. Net als bij een kaartenhuis zal de instabiliteit van een individuele kaart het huis doen instorten.
Gezien de enorm destructieve aanpak van de Trump-regering liggen veel elementen van de EU-VS-overdrachten onder vuur - vaak niet vanwege directe bedoelingen. In plaats daarvan valt de huidige Amerikaanse regering gewoon op grote schaal het Amerikaanse rechtssysteem en de grondwettelijke structuur aan (met de hulp van een sterk gepolitiseerd Hooggerechtshof) - met veel potentiële gevolgen voor de gegevensstromen tussen de EU en de VS.
1e waarschijnlijke faalpunt: Onafhankelijkheid van de FTC. Afgelopen maandag heeft het Amerikaanse Hooggerechtshof een zaak behandeld over de onafhankelijkheid van de Federal Trade Commission (FTC). Sinds een zaak in 1935 (Humphrey's Executor), is het jurisprudentie van het Amerikaanse Hooggerechtshof dat de Amerikaanse wetgever "onafhankelijke" organen kan creëren binnen de uitvoerende macht, die enigszins geïsoleerd is van de Amerikaanse president.
Een voorheen marginale theorie dat, onder de Amerikaanse grondwet, alle bevoegdheden van de uitvoerende macht bij slechts één persoon (de president) moeten berusten, heeft nu aan kracht gewonnen onder Amerikaanse conservatieve juristen. Deze zogenaamde "unitaire uitvoerende theorie" zou elke onafhankelijke autoriteit, zoals de FTC, typisch ongrondwettelijk maken. Alle bevoegdheden zouden geconcentreerd moeten zijn bij de president.
In Trump v. Slaughterhoorde het Amerikaanse Hooggerechtshof nu argumenten van een FTC-commissaris die door Trump werd verwijderd ondanks alle onafhankelijkheidsgaranties in 15 U.S.C. § 41. Op basis van de opmerkingen en vragen van de rechters wordt algemeen aangenomen (zie bijv. The Guardian, CNN of SCOTUS Blog) dat de conservatieve meerderheid in het Amerikaanse Hooggerechtshof de kant van Trump zal kiezen en (in meer of mindere mate) de "unitary executive theory" zal volgen, waardoor de onafhankelijkheid van de FTC teniet wordt gedaan.
In combinatie met de uitspraken van het Amerikaanse Hooggerechtshof over absolute immuniteit van de presidentzouden de VS daardoor steeds meer in de richting gaan van een systeem waarin de president een absolute "koning" is - in ieder geval voor vier jaar.
Vanuit Europees perspectief is de onafhankelijkheid van de FTC een cruciaal element, omdat artikel 8, lid 3, van het Handvest van de grondrechten van de EU vereist dat de verwerking van persoonsgegevens wordt gecontroleerd en gehandhaafd door een "onafhankelijke autoriteit"onafhankelijke" instantie. In het TADPF (en eerder in de systemen "Safe Harbor" en "Privacy Shield") zijn de EU en de VS overeengekomen om deze bevoegdheden te geven aan de FTC in de VS - een dergelijke "onafhankelijke" instantie. Punt 2.3.4. van het TADPF-besluit van de Europese Commissie wordt de nadruk gelegd op de handhavende rol van de FTC. Overweging 61 en voetnoot 92 verwijzen expliciet naar 15 U.S.C. § 41 als basis voor de noodzakelijke onafhankelijkheidsgaranties in de VS.
Geen enkel ander onderdeel van de TADPF heeft de noodzakelijke onderzoeksbevoegdheden en onafhankelijkheid. Er is ook particuliere arbitrage, maar deze heeft geen onderzoeksbevoegdheden of relevante handhavingsbevoegdheden. Daarom moet elke TADPF-deelnemer ofwel onder de onafhankelijke FTC of de DoT (voor transportorganisaties) vallen.
Trump v. Slaughter staat gepland om uiterlijk in juni of juli 2026 te worden beslist, maar het zou ook eerder kunnen. Het is dus tijd om je hierop voor te bereiden.
Eén mogelijkheid is om over te stappen op SCC's of BCR's, omdat deze geen onafhankelijke Amerikaanse instantie voor handhaving vereisen, maar het ook mogelijk maken om de overeenkomst te onderwerpen aan een EU-autoriteit voor gegevensbescherming. Er zijn echter ook enorme vragen over hoe reeds overgedragen gegevens kunnen worden "teruggebracht" naar een door de EU goedgekeurd systeem of zelfs "teruggebracht" naar de EU in het algemeen. Bovendien kunnen SCC's en BRC's ook worden beïnvloed door enorme verschuivingen in de Amerikaanse wetgeving (zie hieronder).
2e waarschijnlijke faalpunt: Rechtbank voor gegevensbescherming. Rechtstreeks in verband met Trump v. Slaughter, die gaat over toezicht in de particuliere sector, rijst de parallelle vraag hoe het zogenaamde "Data Protection Review Court" (DPRC) nog kan worden gebruikt als enige vorm van realistisch verhaal tegen Amerikaanse overheidssurveillance.
Het DPRC heeft veel juridische problemen (je zou gemakkelijk een proefschrift kunnen vullen met deze problemen), maar cruciaal is dat het DPRC niet een echte Amerikaanse rechtbank - ook omdat het niet bij wet is ingesteld. Het is eigenlijk een groep mensen binnen de uitvoerende macht die uitsluitend is opgericht door een Executive Order van Biden (EO 14.086zie details hieronder). Deze groep mensen kan op zijn best een "tribunaal" worden genoemd vanuit het perspectief van artikel 6 EVRM, maar zelfs deze bewering is waarschijnlijk een overdrijving.
De crux is dat, met betrekking tot Trump v. Slaughterde "onafhankelijkheid" van dit zogenaamde "Hof" niet eens bij wet is vastgelegd (zoals 15 USC § 41 voor de FTC), maar door EO 14.086, dus een louter interne Presidentiële Order die op elk moment kan worden gewijzigd.
Logisch, als het Hooggerechtshof in Trump tegen Slaughter oordeelt dat onafhankelijke uitvoerende organen ongrondwettelijk zijn, kan het goed zijn dat eventuele onafhankelijkheidsclaims in EO 14.086 zelf (logischerwijs) ook ongrondwettig zijn. Dit hangt sterk af van de argumenten die het Hooggerechtshof zal gebruiken in Trump v. Slaughter, maar we kunnen dit zeer waarschijnlijk zien als een direct gevolg van een bredere uitspraak.
Dit probleem zou zich veel verder uitbreiden dan het TADPF, omdat andere transfersystemen (SCC's of BCR's) vertrouwen op zogenaamde "Transfer Impact Assessments" (TIA's) die op hun beurt meestal wijzen op EO 14.086 en het DPRC als reden waarom een EU-controleur tot de conclusie kwam dat de Amerikaanse wet geen SCC's of BCR's terzijde mag schuiven die verder gaan dan wat is toegestaan volgens artikel 7, 8 en 47 van het Handvest.
Als deze elementen wegvallen, zijn we terug bij artikel 49 GDPR voor "noodzakelijke" doorgiften (bijv. het verzenden van een e-mail naar de VS, het plaatsen van een bestelling of het boeken van een hotel of vlucht), maar elke "uitbesteding" aan Amerikaanse cloudproviders of SaaS-providers zou doorgaans geen levensvatbare rechtsgrondslag meer hebben.
3e waarschijnlijke faalpunt: EO 14.086. Naast veranderingen in de Amerikaanse grondwet is ook Trump zelf een grote risicofactor. Zoals hierboven uitgelegd, zijn in principe alle vormen van gegevensoverdracht tussen de EU en de VS gebaseerd op een Executive Order van Biden (EO 14.086). Trump heeft herhaaldelijk gedreigd deze EO ongedaan te maken. Al op de dag van zijn inauguratie gaven mediaberichten aan dat hij alle EO's van Biden blindelings ongedaan zou maken. Uiteindelijk ondertekende hij EO 14.148die slechts 68 Biden EOs en 11 Biden Presidential Memoranda ongedaan maakte - maar niet EO 14.086.
EO 14.148 eist dat alle "nationale veiligheid" EO's binnen 45 dagen moeten worden herzien door de Nationale Veiligheidsadviseur - dit had moeten gebeuren voor 06.03.2025. Er waren geen berichten over wijzigingen die hieruit voortvloeiden. Dit betekent niet dat EO 14.086 in de tussentijd niet (gedeeltelijk) ongedaan is gemaakt, aangezien de Amerikaanse president "geheime" EO's uitvaardigen die de gepubliceerde EO 14.086 wijzigen. Gezien de grillige acties van Trump is dit geen onwaarschijnlijk scenario.
In een recente uitbarsting over Biden's gebruik van de zogenaamde Autopen, heeft Trump alle EO's van Biden die ondertekend zijn met autopens ongeldig verklaard via een Waarheid. Het is volstrekt onduidelijk of EO 14.086 zo'n "autopen" EO is en of Trump's posts op sociale media neerkomen op het formeel ongedaan maken van deze EO's. Tegelijkertijd moet je je afvragen of een NSA-functionaris zich nog gebonden voelt aan deze EO's. Het is ook niet onwaarschijnlijk dat de post van Truth Social wordt opgevolgd door een formele EO die deze EOs van Biden ongedaan maakt.
Een andere aanwijzing dat EO 14.086 in de maak is, is de "Project 2025" agenda voor de conservatieve overname van de Amerikaanse overheid. Op pagina 225haalt de auteur uit naar EO 14.086, de EU en de vermeende oneerlijke behandeling van de VS - dus EO 14.086 staat duidelijk op de agenda. Om het nog absurder te maken is de auteur (Dustin Carmack) nu de nieuwe "Republikeinse" lobbyist van Meta - een bedrijf dat zich beroept op EO 14.086 om zijn EU-VS gegevensoverdrachten te rechtvaardigen die werden aangevochten in Schrems I en Schrems II.
Al met al kan EO 14.086 elk moment vallen - en daarmee ook de TADPF en daarmee bijna alle TIAS en de meeste SCC's, BCR's.
Veel andere opties. Hoewel dit verder gaat dan deze blogpost, zijn er nog veel meer vragen over de vele andere elementen die in de TADPF worden gebruikt.
Er zijn natuurlijk nog steeds de belangrijkste vragen over het feit of het TADPF ooit "essentiële gelijkwaardigheid" heeft bereiktessentiële gelijkwaardigheid". Bijvoorbeeld:
- De beschermingen in EO 14.086 waren grotendeels een 1:1 kopie van een EO van Obama genaamd PPD-28, die werd verworpen door het HvJEU in Schrems II.
- De extreem hoge lasten om verhaal te halen of het ontbreken van een echt recht om te worden gehoord door het DPRC staan mijlenver af van artikel 47 van het Handvest.
- De commerciële gegevensbeschermingsbeginselen van de TADPF vereisen niet eens een rechtsgrondslag (zoals vereist in artikel 8, lid 2, van het Handvest en artikel 6, lid 1, van de GDPR), maar alleen een opt-outmogelijkheid.
Bovendien waren er vragen over de onafhankelijkheid van de PCLOB of het grote vertrouwen van de EU in (ongeschreven) "Amerikaanse praktijken" - terwijl Trump heeft laten zien dat hij en zijn regering niet eens wetten respecteren, laat staan eerdere "praktijken".
Wat kunnen we doen? Naar mijn mening moeten EU-regeringen en verwerkingsverantwoordelijken zich (meer dan ooit) dringend voorbereiden op zeer waarschijnlijke klappen voor gegevensoverdrachten tussen de EU en de VS in de komende maanden. De Amerikaanse nationale veiligheidsstrategie heeft duidelijk gemaakt dat de regering Trump Europa meer als een vijand dan als een partner ziet en dat de Europese digitale wetgeving een belangrijk aandachtspunt is van de waarschijnlijke Amerikaanse agressie.
De enige langetermijnoplossing is (helaas) het beperken van gegevensoverdrachten naar Amerikaanse providers, voor zover zij "bezit, bewaring of controle" van Europese persoonlijke gegevens hebben. Er kunnen meer aanbiedingen komen waarbij alle feitelijke toegang vanuit de VS technisch onmogelijk is - maar tot nu toe is de enige realistische bescherming die beschikbaar is op de markt het overstappen naar Europese aanbieders.
