De gegevensbeschermingsautoriteiten moeten de doorgifte van gegevens stopzetten als de grondrechten worden geschonden.
Ernstige twijfels over Privacy Shield. Advocaat-generaal past het EVRM toe in plaats van het CFR.
Schrems: "De conclusie volgt bijna al onze argumenten"
Max Schrems' (voorzitter van noyb.eu en partij in de zaak) eerste reactie op de conclusie van de advocaat-generaal: "Ik ben over het algemeen blij met de conclusie van de advocaat-generaal. De conclusie is in lijn met onze juridische argumenten. Dit is een totale klap voor de Ierse DPC en Facebook en een zeer belangrijke stap voor de privacy van de gebruikers. Wat een probleem is, is dat de advocaat-generaal een lager niveau van bescherming van de persoonlijke levenssfeer voorstelt voor de "nationale veiligheid" op grond van het EVRM, niet het Handvest van de grondrechten van de EU. ”
Ernstige twijfels over het privacyschild. Een kwestie die deels werd geraakt door de elf vragen van het Ierse Hooggerechtshof, was de rol van de nieuwe EU-VS-gegevenstransmissieovereenkomst genaamd "Privacy Shield". De heer Schrems uitte ernstige twijfels over de geldigheid van het privacyschild, die nu door de advocaat-generaal worden herhaald. Schrems: "Na het 'Safe Harbor'-arrest heeft de Europese Commissie bewust opnieuw een ongeldig besluit genomen - wetende dat het twee of drie jaar zal duren voordat het Hof een tweede keer de kans krijgt om dit besluit ongeldig te verklaren. Het zal zeer interessant zijn om te zien of het Hof deze kwestie in de eindbeslissing zal meenemen of zal wachten tot een andere zaak bij de rechtbank terechtkomt"
Schrems: "Ik ben ook erg blij dat de AG een duidelijk standpunt heeft ingenomen over de Privacy Shield Ombudspersoon. Een gewone 'brievenbus' bij het ministerie van Buitenlandse Zaken van de VS kan onmogelijk een rechtbank vervangen, zoals de eerste uitspraak van het Hof vereist Aangezien de Ombudsman de centrale pijler van het "Privacy Shield" systeem is, is het moeilijk te begrijpen waarom de AG niet het voor de hand liggende heeft gezegd: dat is dat het Privacy Shield de gegevens van de EU niet voldoende beschermt en daarom ongeldig moet zijn.
AG: DPC moet zijn werk doen. Al meer dan zes jaar proberen Schrems en Noyb de Ierse commissaris voor gegevensbescherming (DPC) zover te krijgen dat zij gerichte maatregelen nemen tegen Facebook in verband met het spionageschandaal van de NSA, maar de DPC heeft eindeloze redenen gevonden om de wet niet af te dwingen. Schrems: "De advocaat-generaal zegt nu opnieuw tegen de Ierse gegevensbeschermingsautoriteit dat ze gewoon haar werk moet doen"
Het is heel goed mogelijk dat de DPC ook de wettelijke factuur voor deze hele zaak zou moeten ophalen, die tot € 10 miljoen zou kunnen bedragen. Schrems: "Het is immers mogelijk dat de Ierse belastingbetaler tot € 10 miljoen aan juridische kosten moet betalen voor het uitstellen van deze zaak door de gegevensbeschermingsautoriteit in het belang van Facebook
De autoriteiten hebben de plicht om te handelen. Een ander zeer cruciaal element is dat de advocaat-generaal duidelijk maakt dat de gegevensbeschermingsautoriteiten volgens de wet verplicht zijn om op te treden. Schrems: "Op dit moment kijken veel gegevensbeschermingsautoriteiten gewoon de andere kant op als ze meldingen van overtredingen ontvangen of klachten gewoon niet in behandeling nemen. Dit is een enorme stap voor de handhaving van de BBPR"
SCC's kunnen blijven. De advocaat-generaal heeft zich niet aangesloten bij het standpunt van de gegevensbeschermingsautoriteit dat de ABC's wereldwijd ongeldig moeten worden verklaard. Alle andere partijen in de procedure (met inbegrip van de heer Schrems) hebben geen bezwaar gemaakt tegen de AKK's. De advocaat-generaal heeft de gegevensbeschermingscoördinator uitgelegd dat de ABC's een ingebouwde zogenaamde "drukventiel" (artikel 4 van de ABC) hebben, waardoor de gegevensbeschermingscoördinator de gegevensstromen kan opschorten wanneer er een probleem is met het Amerikaanse recht. Schrems: "De conclusie maakt duidelijk dat de gegevensbeschermingsautoriteit de oplossing voor deze zaak in eigen hand heeft: Ze kan Facebook opdracht geven om de overdracht morgen te stoppen. In plaats daarvan heeft ze zich tot het Hof van Justitie gewend om het hele systeem ongeldig te maken. Het is als schreeuwen voor de Europese brandweer, want je weet niet hoe je zelf een kaars moet uitblazen"
AG past een niet-EU privacy test toe. In Europa zijn er twee organen voor de grondrechten: Ten eerste het Europees Verdrag tot bescherming van de rechten van de mens (EVRM) dat sinds 1953 van kracht is en betrekking heeft op 47 landen, waaronder alle EU-lidstaten, maar ook Rusland en Turkije. Ten tweede het Handvest van de grondrechten (CFR) uit 2000, dat alleen van toepassing is binnen de EU en over het algemeen een hoger beschermingsniveau garandeert. De EU is niet toegetreden tot het EVRM. De AG hanteert nu de veel lagere norm onder het EVRM, ondanks het feit dat het Hof van Justitie van de EU het Handvest van de grondrechten in het eerste arrest in deze zaak heeft toegepast.
Schrems: "Verrassend genoeg volgt het advies de uiterst toezichtvriendelijke jurisprudentie onder het EVRM waar de EU zich niet eens bij heeft aangesloten, in plaats van de duidelijke jurisprudentie van het Hof van Justitie. Dit is in strijd met enige logica en eerdere jurisprudentie van het Hof. De AG heeft in het verleden een meer 'ontspannen' benadering van toezichtszaken gehandhaafd dan het Hof. Ik betwijfel of de rechters zich bij dat standpunt zullen aansluiten.
Er komt geen einde aan de botsing van gegevens tussen de VS en de EU. De zaak zelf kan de diepere botsing tussen het EU- en het Amerikaanse recht niet uit de weg ruimen. Schrems: "Op de lange termijn hoop ik dat de Amerikaanse wetgever zich zal realiseren dat geen enkele buitenlandse klant de Amerikaanse industrie zal vertrouwen, als er geen solide bescherming van de privacy in de VS is. Je kunt niet zeggen 'vertrouw ons met al je gegevens, maar eigenlijk heb je geen rechten' De VS heeft soortgelijke zorgen over Chinese 5G-hardware van Huawei of apps zoals TikTok.
Praktische impact: Meer privacy voor EU-consumenten, massale problemen voor bepaalde Amerikaanse bedrijven. Als het Hof het advies van vandaag volgt om een "gerichte aanpak" te hanteren, zou dit geen gevolgen hebben voor de meeste gegevensoverdrachten in de EU. De gegevensbeschermingsautoriteiten in de EU kunnen echter de doorgifte aan Amerikaanse bedrijven die onder FISA 702 vallen ("aanbieders van elektronische-communicatiediensten"), stopzetten. Hieronder vallen bedrijven als Facebook, Google, Microsoft, Amazon Web Services of Yahoo.
Schrems: "Iedereen zal nog steeds alle noodzakelijke gegevensstromen met de VS kunnen hebben, zoals het versturen van e-mails of het boeken van een hotel in de VS. Sommige bedrijven in de EU kunnen bepaalde Amerikaanse aanbieders misschien niet meer gebruiken voor outsourcing, omdat deze bedrijven volgens de Amerikaanse toezichtswetgeving verplicht zijn gegevens aan de NSA te verstrekken. Dit is ook een economisch probleem voor de VS, omdat de buitenlandse inkomsten naar elders zullen gaan. Het is echt de taak van de Verenigde Staten om te zorgen voor een basisbescherming van de privacy van buitenlanders. Anders zal niemand Amerikaanse bedrijven met hun gegevens vertrouwen."
noyb.eu De zaak wordt gesteund door de Europese non-profitorganisatie noyb.eunoyb.eu wordt gefinancierd door meer dan 3.000 ondersteunende leden en werkt aan strategische procesvoering om het grondrecht op gegevensbescherming in de praktijk te brengen.
Juridisch team De heer Schrems heeft deze zaak op pro-bonobasis gebracht en wordt ondersteund door een team van advocaten uit Ierland, de VS en Luxemburg. De heer Schrems wordt vertegenwoordigd door Eoin McCullhan, geïnstrueerd door Ahern Rudden Quigley Solicitors. Prof. Herwig Hofmann heeft de zaak inzake Europees recht ondersteund. Ashley Gorski van de American Civil Liberties Union (ACLU.org) heeft geassisteerd als getuige-deskundige op het gebied van het Amerikaanse toezichtsrecht.
Meer informatie
noyb.eu Controle op @noybeu en @maxschrems voor meer updates
+43 660 2678622 media@noyb.eu
Ierland: Gerard Rudden, ARQ Solicitors (vertegenwoordiger van de heer Schrems)
+353 1 661 6102 gerard.rudden@arqsolicitors.com
Over de Amerikaanse wet: Ashley Gorski, ACLU media@aclu.org