Het Hof van Justitie van de Europese Unie hoort een zaak over de overdracht van gegevens tussen de EU en de VS (standaardcontractuele clausules en privacyschild)

Jul 08, 2019

Download: Persbericht

Naar aanleiding van een aantal verzoeken hebben we de belangrijkste feiten van de zaak voor het Hof van Justitie van de Europese Unie (HJEU) over de doorgifte van gegevens tussen de EU en de VS en het massale toezicht door de Amerikaanse regering samengevat. De zaak zal morgen (9.00 uur, dinsdag 9 juli) voor de grote kamer van het Hof van Justitie worden behandeld.

Veel voorkomende misverstanden in de zaak

  • Gaat het hier om alle gegevensoverdrachten tussen de EU en de VS? Nee, het gaat alleen om overdrachten naar de VS die onderworpen zijn aan "massatoezicht". In de meeste situaties zijn er eenvoudige manieren om massatoezicht te vermijden en veel industriële sectoren (bijv. banken, luchtvaartmaatschappijen, handel en banken) vallen niet onder een dergelijke massatoezichtswet. De klacht van de heer Schrems is alleen gericht tegen Facebook, die in het Snowden-document wordt genoemd als hulp aan de NSA bij het massatoezicht onder "PRISM".
  • Gaat het in dit geval om alle internationale EU-gegevensoverdrachten? Van de partijen bij de procedure is alleen de Ierse commissaris voor gegevensbescherming van mening dat de "Standard Contractual Clauses" (SCC's) ongeldig zijn. De heer Schrems is van mening dat de SCC's (indien zij correct worden toegepast en gehandhaafd door de gegevensbeschermingsautoriteit) een passende oplossing bieden. Geen enkele andere partij bij de Ierse procedure dan de gegevensbeschermingsautoriteit heeft vragen over de geldigheid gesteld.
  • Zijn alle gegevensoverdrachten naar de VS problematisch? Nee. Bewakingswetten zoals FISA 702 zijn alleen van toepassing op "aanbieders van elektronische communicatiediensten". De Europese wetgeving maakt ook een onderscheid tussen noodzakelijke doorgiften (luister naar de uitzonderingen) en onnodige "outsourcing" van de verwerking. In combinatie ontstaat het probleem vooral bij aanbieders van clouddiensten en -communicatie die onder de toezichtswetten vallen (bijv. Facebook, Google, Apple, Amazon Web Services), maar niet bij andere sectoren of "noodzakelijke" gegevensoverdrachten (bijv. e-mails, boekingen en dergelijke).
  • Is de heer Schrems van mening dat de SCC's ongeldig zijn? Nee. De heer Schrems stelt dat de SCC's de Ierse commissaris voor gegevensbescherming in staat stellen om de overdracht van individuele gegevens, zoals die van Facebook, tegen te houden. Aangezien er een voor de hand liggende oplossing voor het probleem is, is er volgens hem geen sprake van een geldigheidskwestie.
  • Staat "Privacy Shield" op tafel? Ja. Facebook heeft zich gebaseerd op de beoordeling van de Europese Commissie van de Amerikaanse wetgeving in het "Privacy Shield" en stelt dat deze beoordeling ook van toepassing zou moeten zijn op de "Standard Contractual Clauses". De heer Schrems stelt op zijn beurt dat deze beoordeling door de Commissie onjuist is. Aangezien het "Privacy Shield" gebaseerd is op een onjuiste interpretatie van het Amerikaanse recht, zou het ongeldig moeten zijn
  • Kun je nog steeds e-mails naar de VS sturen of een vlucht boeken? Ja. Artikel 49 van de BBPR voorziet in "afwijkingen" die alle gegevensoverdrachten toestaan indien deze bijvoorbeeld "noodzakelijk zijn om een overeenkomst te sluiten" of indien de gebruiker daar uitdrukkelijk mee heeft ingestemd. Bijvoorbeeld: Het is noodzakelijk om een e-mail naar de VS te sturen als de ontvanger daar is, maar het is niet noodzakelijk om e-mails via de VS te sturen als de afzender en de ontvanger zich in Europa bevinden.
  • Welk soort doorgifte moet dan worden stopgezet? In principe zou de gegevensverwerking kunnen worden "uitbesteed", ook in Europa of in andere landen die de juiste normen voor gegevensbescherming bieden.

Geschiedenis van de zaak

De zaak draait om een klacht van privacyadvocaat Max Schrems tegen Facebook in 2013 (link naar klacht). Meer dan zes jaar geleden maakte Edward Snowden bekend dat Facebook de Amerikaanse inlichtingendiensten toegang geeft tot persoonlijke gegevens van Europeanen onder surveillanceprogramma's als "PRISM" (zie Wikipedia). De klacht is bedoeld om de overdracht van gegevens van Facebook tussen de EU en de VS tegen te houden. Tot nu toe heeft de Ierse DPC geen concrete actie ondernomen om dit te doen.

Eerste afwijzing en arrest van het Hof van Justitie van de Europese Unie over de veilige haven

De zaak werd in 2013 eerst verworpen door de Ierse commissaris voor gegevensbescherming (DPC), en vervolgens onderworpen aan rechterlijke toetsing in Ierland en een verwijzing naar het Hof van Justitie van de Europese Unie (HvJEU). Het Hof van Justitie van de Europese Unie oordeelde in 2015 dat de zogenaamde "Safe Harbor"-overeenkomst, die de doorgifte van gegevens tussen de EU en de VS mogelijk maakte, ongeldig was (verband met het arrest in zaak C-362/14), en dat de Ierse gegevensbeschermingsfunctionaris de zaak moest onderzoeken, wat hij aanvankelijk weigerde te doen.

Informatie over het gebruik van "Standard Contractual Clauses"

Verrassend genoeg heeft de DPC de heer Schrems eind 2015 meegedeeld dat Facebook in feite nooit heeft vertrouwd op de nu ongeldig geworden "Safe Harbor"-overeenkomst, maar in plaats daarvan al in 2013 heeft vertrouwd op "Standard Contractual Clauses" (een ander mechanisme voor de overdracht van gegevens van de EU naar de VS). De DPC had dit feit niet bekend gemaakt en stelde in plaats daarvan voor dat de Safe Harbor hen blokkeerde om met de zaak door te gaan. Deze "omweg" maakte de eerste uitspraak van het Hof van Justitie van de Europese Unie voor de zaak irrelevant.

Tweede onderzoek en rechtszaak

De heer Schrems heeft zijn klacht aangepast aan de overdrachten onder "Standard Contractual Clauses" en eiste eveneens het einde van de gegevensoverdrachten naar Facebook USA, op basis van het argument dat zij de gegevens ter beschikking stellen aan de NSA. Het onderzoek van de DPC duurde slechts enkele maanden van december 2015 tot het voorjaar van 2016. In plaats van een beslissing te nemen over de klacht, spande de DPC in 2016 een rechtszaak aan tegen Facebook en de heer Schrems (beiden nu verdachten) bij het Ierse Hooggerechtshof, om verdere vragen te stellen aan het Hof van Justitie van de Europese Unie. Na meer dan zes weken van hoorzittingen die voornamelijk in 2017 plaatsvonden, oordeelde het Ierse Hooggerechtshof dat de Amerikaanse regering zich bezighoudt met "massale verwerking" van Europese persoonsgegevens en stelde het in 2018 elf vragen aan het Hof van Justitie van de Europese Unie (link naar de uitspraak).

Volgende stappen

Het HvJEU heeft de zaak opgenomen onder C-311/18 en zal deze voor een tweede keer behandelen op 9 juli 2019 - ongeveer zes jaar na het indienen van de oorspronkelijke klacht. Een uitspraak wordt voor het einde van het jaar verwacht. Na de uitspraak van het HvJEU zou de gegevensbeschermingsautoriteit uiteindelijk voor het eerst over de klacht moeten beslissen. Tegen deze beslissing zou opnieuw beroep kunnen worden aangetekend door Facebook of de heer Schrems.

3.2. Kernargumenten van de partijen

  • De Ierse commissaris voor gegevensbescherming sluit zich aan bij het standpunt van de heer Schrems dat de Amerikaanse toezichtswetten in strijd zijn met de fundamentele rechten op privacy, gegevensbescherming en schadeloosstelling op grond van de Europese wetgeving. De gegevensbeschermingsautoriteit zegt echter dat zij niet bevoegd is om de kwestie op te lossen. Omdat het mechanisme voor gegevensoverdracht dat Facebook gebruikt (Standard Contractual Clauses) niet voorziet in een dergelijke situatie, moeten de clausules zelf ongeldig worden verklaard. Dit zou betekenen dat de doorgifte van gegevens naar een niet-EU-land in het kader van dit instrument moet worden stopgezet.
  • Facebook is van mening dat het Amerikaanse recht niet verder gaat dan wat volgens het EU-recht legaal is. Facebook vraagt zich ook af of de EU wel bevoegd is voor "national security"-zaken. Samenvattend ziet Facebook geen probleem om gegevens te blijven overdragen aan de Verenigde Staten onder massabewakingswetten zoals de FISA. Facebook vertrouwt ook op de beoordeling van de Europese Commissie van de Amerikaanse wetgeving in het zogenaamde "Privacy Shield" besluit, dat zegt dat de Amerikaanse toezichtswetten in overeenstemming zijn met de eisen van de EU.
  • Schrems is het eens met de DPC over het probleem, maar stelt een meer afgewogen oplossing voor. De wet (artikel 4 VCA's) staat de DPC toe om individuele gegevensoverdrachten (zoals die van Facebook) tegen te houden. De heer Schrems zegt dat de Ierse gegevensbeschermingsautoriteit de plicht heeft om op te treden, in plaats van de zaak terug te schoppen naar het Hof van Justitie van de EU. Wat het vertrouwen van Facebook in het "Privacy Shield" betreft, is de heer Schrems van mening dat het besluit van de Europese Commissie over het "Privacy Shield" de Amerikaanse toezichtswetten niet adequaat beschrijft, niet eens in staat is om adequate privacybescherming te bieden, en daarom ongeldig moet worden verklaard.
  • Europese Commissie: Van de Europese Commissie wordt verwacht dat zij haar beide beslissingen verdedigt: De standaardcontractuele bepalingen en het privacyschild. Zij zal zich waarschijnlijk aan de zijde van de Verenigde Staten en Facebook scharen omdat zij van mening is dat er geen sprake is van een schending van de grondrechten in de Verenigde Staten, maar zij zal ook erkennen dat de gegevensbeschermingsautoriteit de bevoegdheid heeft om de kwestie zelf op te lossen indien het Hof van Justitie van de Europese Unie een schending van de grondrechten in de Verenigde Staten ziet.

Verklaring van de heer Schrems

Max Schrems, voorzitter van noyb: "Wij stellen een weloverwogen oplossing voor: De Ierse gegevensbeschermingsautoriteit moet de regels gewoon goed handhaven, in plaats van de zaak telkens weer terug te schoppen naar Luxemburg. Deze zaak is al zes jaar in behandeling. In deze zes jaar heeft de gegevensbeschermingsautoriteit in slechts 2-3% van de zaken die bij haar aanhangig zijn gemaakt, een beslissing genomen. We hebben geen probleem met "standaardcontractuele clausules", we hebben een probleem met de handhaving

noyb

noyb is een nieuwe Europese non-profitorganisatie die het recht op privacy afdwingt door middel van rechtszaken. Het ondersteunt deze zaak en wordt zelf gesteund door meer dan 3.500 donerende leden.

Kerncijfers

De partijen voor de rechtbank zijn de Ierse commissaris voor gegevensbescherming, Facebook Ireland Ltd en Max Schrems. De Ierse rechtbank heeft ook vier "amicus curiae" (neutrale helpers van de rechtbank) toegelaten tot de zaak, namelijk de Amerikaanse regering, het Electronic Privacy Information Center (epic.org), en twee industriële lobbyorganisaties.

Alle EU-lidstaten, de Europese Commissie, het Europees Parlement en het Europees Comité voor gegevensbescherming (EDPB) konden opmerkingen maken.

Uploads

MakePrivacyReal

Ons werk wordt mogelijk gemaakt door meer dan 3.100 ondersteunende leden - jij misschien?