Europese Commissie geeft EU-VS datatransfers derde ronde bij HvJEU

Nieuw Trans-Atlantisch Data Privacy Kader grotendeels een kopie van "Privacy Shield". noyb zal de beslissing aanvechten.

De derde poging van de Europese Commissie om tot een stabiele overeenkomst te komen over de overdracht van gegevens tussen de EU en de VS zal waarschijnlijk binnen enkele maanden terugkomen bij het Hof van Justitie (HvJEU). Het zogenaamd "nieuwe" Trans-Atlantische Data Privacy Framework is grotendeels een kopie van het mislukte "Privacy Shield". Ondanks de public relations inspanningen van de Europese Commissie verandert er weinig aan de Amerikaanse wetgeving of de aanpak van de EU. Het fundamentele probleem met FISA 702 werd niet aangepakt door de VS, omdat de VS nog steeds van mening is dat alleen Amerikaanse personen grondwettelijke rechten verdienen.

• Vergelijking van de verandering in de Amerikaanse wetgeving sinds 2014:
  • "Oude" PPD-28 (2014)
  • "Nieuwe EO 14086, ter vervanging van PPD-28 (2022)
• Vergelijking met eerdere PR-inspanningen:
  • "Het vertrouwen in de gegevensstromen tussen de EU en de VS herstellen" en de "Umbrella" uit 2013
  • Persverklaring over het "Privacy Shield" uit 2016
  • Media FAQ's over het "Privacy Shield" uit 2016
  • Eén pagina "Principeovereenkomst" tussen Biden en von der Leyen uit 2022
• Ontwerpbesluit van de Europese Commissie over adequaatheid (december 2022)

Achtergrond. In 2013 onthulde Edward Snowden dat de Amerikaanse overheid gebruik maakte van "big tech" bedrijven en programma's als"PRISM" of"Upstream" onder FISA 702 en EO 12.333 om de rest van de wereld te bespioneren zonder dat daarvoor een waarschijnlijke oorzaak of gerechtelijke toestemming nodig was. Dit was niet beperkt tot misdaad of terrorisme, maar omvatte ook spionage op "partners" van de VS. Sinds een EU-wet uit 1995 mogen persoonlijke gegevens over het algemeen niet buiten de EU worden verzonden, tenzij er een "in wezen gelijkwaardige" bescherming is in het land van bestemming. De Amerikaanse industrie vertrouwde sterk op een besluit van de Europese Commissie genaamd "Safe Harbor" dat de VS in 2000 "in wezen gelijkwaardig" verklaarde. Het HvJEU heeft het besluit van de Commissie in 2015 nietig verklaard in C-362/14 ("Schrems I"), gezien de vase surveillancewetten in de VS. In 2016 heeft de Europese Commissie grotendeels hetzelfde besluit over de doorgifte van gegevens tussen de EU en de VS opnieuw genomen, onder de nieuwe naam "Privacy Shield", dat door het HvJEU in C-311/18 ("Schrems II") in 2020 grotendeels op dezelfde gronden ongeldig werd verklaard.

De "goocheltrucs" van Ursula en Joe. Na de nietigverklaring van het "Privacy Shield" boekten de onderhandelingen tussen de EU en de VS weinig vooruitgang. De VS stond erop dat gegevens uit de EU onderworpen zouden blijven aan massasurveillance door de VS en dat "niet-Amerikaanse" personen niet dezelfde bescherming zouden krijgen als Amerikaanse personen. Na meer dan 1,5 jaar weinig beweging, hebben de VS naar verluidt de oorlog in Oekraïne gebruikt om druk uit te oefenen op de EU over het delen van persoonlijke gegevens. Kort daarna ontmoetten Joe Biden en Ursula von der Leyen elkaar op 25 maart 2022. Dezelfde dag hebben de twee plotseling "opgelost" wat de advocaten niet konden oplossen en presenteerden ze een"principeakkoord", een one pager die in wezen twee "trucs" bevatte die het publiek zouden moeten kalmeren:

• Ten eerste vond het HvJEU dat FISA 702 bulk surveillance niet "proportioneel" is in de zin van artikel 52 van het Handvest van de Grondrechten van de EU. Het "nieuwe" US Executive Order 14086 (dat grotendeels gelijk is aan PPD-28 uit 2014) zou nu het woord "proportioneel" bevatten. De "truc" hier: de VS zullen een andere betekenis toekennen aan het woord "proportioneel" dan het HvJEU. EO 14086 verklaart dat FISA 702 bulk surveillance "proportioneel" is volgens een geheime "Amerikaanse interpretatie" van het woord en in tegenstelling tot de twee bevindingen van het HvJEU. Op deze manier konden de EU en de VS beweren dat ze het eens waren over hetzelfde woord ("proportioneel") - zelfs als er geen overeenstemming is over de betekenis van het woord.
• Ten tweede vond het HvJEU dat verhaal via de Privacy Shield "Ombudspersoon" zelfs in de verste verte niet in overeenstemming was met artikel 47 CFR - zelfs toen de Ombudspersoon in 2016 door de public relations van de Commissie werd geprezen als een "onafhankelijke" vorm van "verhaal op het gebied van nationale veiligheid". De "truc" met betrekking tot rechtsmiddelen: het mechanisme van de Ombudspersoon werd hernoemd en opgesplitst in een functionaris voor de bescherming van de burgerlijke vrijheden (Civil Liberties Protection Officer - CLPO) en een zogenaamde "rechtbank " (die geen rechtbank is, maar een gedeeltelijk onafhankelijk uitvoerend orgaan). Hoewel er enkele kleine verbeteringen zijn ten opzichte van de Ombudspersoon, zal de persoon geen directe interactie hebben met de nieuwe organen (ze zullen een klacht moeten sturen naar een EU-autoriteit voor gegevensbescherming en niet worden gehoord door de VS) en ze zullen exact hetzelfde antwoord geven als de vorige "Ombudspersoon". Onder EO 14086 moeten de CLPO en de rechtbank in ieder geval antwoorden met de volgende woorden:"Zonder te bevestigen of te ontkennen dat de indiener van de klacht onderworpen was aan Amerikaanse activiteiten op het gebied van signaalinlichtingen, heeft het onderzoek ofwel geen overtredingen vastgesteld of heeft het Hof voor gegevensbescherming een uitspraak gedaan die passende herstelmaatregelen vereist" (zie hier). De "uitspraak" van dit "Hof" is dus al bekend voordat een zaak is aangespannen. Er zijn nog veel meer problemen met het mechanisme, die er grotendeels voor zullen zorgen dat klachten niet eens worden toegelaten. Het lijkt ondenkbaar dat het Hof van Justitie dit zou accepteren als "gerechtelijk verhaal" onder Artikel 47 CFR.
• Tot slot heeft de VS geweigerd om FISA 702 te hervormen om niet-Amerikaanse personen redelijke privacybescherming te bieden. Aan beide zijden van de Atlantische Oceaan is men het erover eens dat FISA 702 en EO 12.333 in strijd zijn met de grondrechten onder het 4e Amendement in de VS en de artikelen 7, 8 en 47 CFR in de EU - maar de VS blijven volhouden dat niet-Amerikaanse personen geen grondwettelijke rechten hebben in de VS - dus een schending van hun recht op privacy valt niet onder het 4e Amendement.
• FISA 702 zal eind 2023 moeten worden verlengd, aangezien de Amerikaanse wet een "vervalbepaling" bevat. Dit zou de perfecte gelegenheid zijn geweest om de Amerikaanse wet te verbeteren, maar gezien de nieuwe overeenkomst met de EU zal er voor de VS weinig reden zijn om FISA 702 te hervormen.

Over het geheel genomen is het nieuwe "Trans-Atlantic Data Privacy Framework" een kopie van Privacy Shield (uit 2016), dat op zijn beurt weer een kopie was van "Safe Harbor" (uit 2000). Gezien het feit dat deze aanpak twee keer eerder is mislukt, was er geen wettelijke basis voor de koerswijziging - de enige logica om een deal te sluiten was politiek.

Max Schrems, voorzitter van noyb:"Ze zeggen dat de definitie van krankzinnigheid is hetzelfde steeds opnieuw doen en een ander resultaat verwachten. Net als 'Privacy Shield' is de nieuwste overeenkomst niet gebaseerd op materiële veranderingen, maar op politieke belangen. Opnieuw lijkt de huidige Commissie te denken dat de puinhoop het probleem van de volgende Commissie zal zijn. FISA 702 moet dit jaar worden verlengd door de VS, maar met de aankondiging van de nieuwe deal heeft de EU elke macht verloren om een hervorming van FISA 702 te krijgen."

Driemaal gefopt? Al in de nasleep van de Snowden-onthullingen in 2013 kondigde de Europese Commissie aan dat ze het vertrouwen zou "herstellen" en"Safe Harbor veiliger zou maken" en met een"overkoepelende overeenkomst" zou komen. In 2016 kregen journalisten te horen dat het "Privacy Shield" zou betekenen dat "de VS de EU voor het eerst een schriftelijke garantie heeft gegeven", dat er "duidelijke beperkingen, waarborgen en toezichtmechanismen" zouden zijn en zelfs "geen willekeurige massasurveillance". Geen van deze beweringen en systemen is stabiel gebleken toen ze aan het HvJEU werden voorgelegd. In de huidige versie van de public relations inspanningen van de Commissie worden dezelfde (steeds terugkerende) beweringen vermaakt.

Max Schrems:"We hadden nu 'Havens', 'Paraplu's', 'Schilden' en 'Kaders' - maar geen substantiële verandering in de surveillancewetgeving van de VS. De persverklaringen van vandaag zijn bijna een letterlijke kopie van die van de afgelopen 23 jaar. Alleen aankondigen dat iets 'nieuw', 'robuust' of 'effectief' is, is niet genoeg voor het Hof van Justitie. We zouden veranderingen in de surveillancewetgeving van de VS nodig hebben om dit te laten werken - en die hebben we gewoon niet."

Aanklacht bij het HvJEU klaar om ingediend te worden. Iedereen van wie persoonlijke gegevens worden overgedragen onder de nieuwe overeenkomst kan een klacht indienen bij gegevensbeschermingsautoriteiten of rechtbanken. noyb heeft verschillende procedurele opties voorbereid om de nieuwe overeenkomst terug te brengen naar het HvJEU. We verwachten dat het nieuwe systeem in de komende maanden door de eerste bedrijven zal worden geïmplementeerd, wat de weg vrijmaakt voor een beroep door een persoon van wie de gegevens onder het nieuwe instrument worden doorgegeven. Het is niet onwaarschijnlijk dat een beroep eind 2023 of begin 2024 bij het HvJEU terechtkomt. Het HvJEU zou dan zelfs de mogelijkheid hebben om het "Kader" op te schorten voor de duur van de procedure. Een definitieve beslissing van het HvJEU zou waarschijnlijk in 2024 of 2025 zijn. Ongeacht of een dergelijke aanvechting succesvol zal zijn, zal dit binnen ongeveer twee jaar duidelijkheid brengen in het "Trans-Atlantic Data Privacy Framework".

Max Schrems: "We hebben verschillende opties voor een rechtszaak al in de la liggen, hoewel we dit juridische gepingpong beu zijn. Op dit moment verwachten we dat dit begin volgend jaar terugkomt bij het Hof van Justitie. Het Hof van Justitie zou dan zelfs de nieuwe overeenkomst kunnen opschorten terwijl het de inhoud ervan bekijkt. Omwille van de rechtszekerheid en de rechtsstaat krijgen we dan antwoord op de vraag of de piepkleine verbeteringen van de Commissie voldoende waren of niet. De afgelopen 23 jaar werden alle overeenkomsten tussen de EU en de VS met terugwerkende kracht ongeldig verklaard, waardoor alle gegevensoverdrachten door bedrijven in het verleden illegaal werden

EU Commissie toont weinig zorg voor de rechtsstaat en de privacy van burgers. Deze derde poging om grotendeels dezelfde onwettige beslissing te nemen roept ook vragen op over de grotere rol van de Europese Commissie als hoedster van de EU-verdragen. In plaats van de 'rechtsstaat' te handhaven, neemt de Commissie gewoon keer op keer een ongeldig besluit, ondanks duidelijke uitspraken van het HvJEU. Ondanks grote verontwaardiging na de onthullingen van Snowden in de EU en herhaalde oproepen van het Europees Parlement om actie te ondernemen, lijkt de Commissie de diplomatieke betrekkingen met de VS en de druk van het bedrijfsleven aan beide zijden van de Atlantische Oceaan voorrang te geven boven de rechten van Europeanen en de eisen van de EU-wetgeving.

Max Schrems:"De Commissie is bedoeld als 'hoedster van de Verdragen' en verdediger van de 'rechtsstaat'. Ze houdt van die rol als het gaat om lidstaten die de EU-wetgeving schenden. Nu negeert de Commissie zelf voor de derde keer gewoon het Hof van Justitie."