Naar aanleiding van een aantal verzoeken hebben wij de belangrijkste feiten van de zaak voor het Hof van Justitie van de Europese Unie (HvJEU) over de doorgifte van gegevens tussen de EU en de VS en de massasurveillance door de Amerikaanse regering samengevat. De zaak wordt morgen (9.00 uur, dinsdag 9 juli) behandeld voor de grote kamer van het Hof van Justitie.
Veel voorkomende misverstanden over de zaak
- Gaat deze zaak over alle gegevensoverdrachten tussen de EU en de VS? Nee, het gaat alleen over doorgiften naar de VS die onder "massasurveillance" vallen. In de meeste situaties zijn er eenvoudige manieren om massasurveillance te vermijden en veel industriesectoren (bv. banken, luchtvaartmaatschappijen, handel en bankwezen) vallen niet onder een dergelijke massasurveillanceregeling. De klacht van de heer Schrems is alleen gericht tegen Facebook, dat in het Snowden-document wordt genoemd als hulpverlener aan de NSA bij massasurveillance in het kader van "PRISM".
- Gaat deze zaak over alle internationale EU-gegevensoverdrachten? Van de partijen bij de procedure is alleen de Ierse commissaris voor gegevensbescherming van mening dat de "standaardcontractbepalingen" ongeldig zijn. De heer Schrems is van mening dat de SCC's (mits correct toegepast en gehandhaafd door het DPC) een goede oplossing bieden. Geen andere partij bij de Ierse procedure dan de DPC heeft enige geldigheidsproblemen aangevoerd.
- Zijn alle gegevensoverdrachten naar de VS problematisch? Nee. Bewakingswetten zoals FISA 702 zijn alleen van toepassing op "aanbieders van elektronische communicatiediensten". De Europese wetgeving maakt ook onderscheid tussen noodzakelijke doorgiften (luister naar de afwijkingen) en onnodige "uitbesteding" van verwerking. In combinatie ontstaat het probleem vooral bij aanbieders van clouddiensten en communicatie die onder de bewakingswetten vallen (bijv. Facebook, Google, Apple, Amazon Web Services), maar niet bij andere industriesectoren of "noodzakelijke" gegevensoverdrachten (bijv. e-mails, boekingen en dergelijke).
- Betoogt de heer Schrems dat de SCC's ongeldig zijn? Nee. De heer Schrems betoogt dat de Irish Data Protection Commissioner op grond van de SCC's individuele gegevensoverdrachten, zoals die van Facebook, kan tegenhouden. Aangezien er een duidelijke oplossing voor het probleem bestaat, is er volgens hem geen sprake van geldigheid.
- Ligt het "Privacy Shield" op tafel? Ja. Facebook heeft zich gebaseerd op de beoordeling door de Europese Commissie van het Amerikaanse recht in het "Privacy Shield" en stelt dat deze beoordeling ook moet gelden voor de "Standard Contractual Clauses". De heer Schrems heeft op zijn beurt betoogd dat deze beoordeling van de Commissie onjuist is. Aangezien het Privacy Shield gebaseerd is op een verkeerde interpretatie van de Amerikaanse wetgeving, moet het ongeldig worden verklaard.
- Kunt u nog steeds e-mails naar de VS sturen of een vlucht boeken? Ja. Artikel 49 GDPR voorziet in "afwijkingen" die alle gegevensoverdrachten toestaan als ze bijvoorbeeld "noodzakelijk zijn om een overeenkomst te sluiten" of als de gebruiker uitdrukkelijk heeft ingestemd. Bijvoorbeeld: Het is noodzakelijk om een e-mail naar de VS te sturen als de ontvanger zich daar bevindt, maar het is niet noodzakelijk om e-mails via de VS te sturen als de verzender en de ontvanger zich in Europa bevinden.
- Welke soorten doorgiften moeten dan worden stopgezet? In principe "uitbesteding" van gegevensverwerking die ook in Europa of andere landen met goede gegevensbeschermingsnormen zou kunnen plaatsvinden.
Voorgeschiedenis van de zaak
De zaak draait om een klacht van privacyadvocaat Max Schrems tegen Facebook in 2013(link naar klacht). Meer dan zes jaar geleden onthulde Edward Snowden dat Facebook de Amerikaanse inlichtingendiensten toegang geeft tot persoonlijke gegevens van Europeanen in het kader van surveillanceprogramma's zoals "PRISM" (zie Wikipedia). De klacht beoogt de doorgifte van gegevens van Facebook aan de EU en de VS te stoppen. Tot nu toe heeft de Ierse DPC nog geen concrete actie ondernomen.
Eerste afwijzing en arrest HvJEU over veilige haven
De zaak werd voor het eerst afgewezen door de Ierse Data Protection Commissioner (DPC) in 2013, waarna een rechterlijke toetsing volgde in Ierland en een verwijzing naar het Hof van Justitie van de Europese Unie (HJEU). Het HvJEU oordeelde in 2015 dat de zogenaamde "Safe Harbor"-overeenkomst die de doorgifte van gegevens tussen de EU en de VS mogelijk maakte, ongeldig was(link naar arrest in C-362/14), en dat het Ierse DPC de zaak moest onderzoeken, wat het aanvankelijk weigerde te doen.
Informatie over het gebruik van standaardcontractbepalingen
Verrassend genoeg deelde het DPC de heer Schrems eind 2015 mee dat Facebook zich in feite nooit had gebaseerd op de nu ongeldige "Safe Harbor" overeenkomst, maar in plaats daarvan al in 2013 vertrouwde op "Standard Contractual Clauses" (een ander mechanisme om gegevens van de EU naar de VS door te geven). De DPC had verzuimd dit feit bekend te maken en in plaats daarvan gesuggereerd dat Safe Harbor hen blokkeerde om door te gaan met de zaak. Deze "omweg" maakte de eerste uitspraak van het HvJEU irrelevant voor de zaak.
Tweede onderzoek en rechtszaak
De heer Schrems paste zijn klacht aan op de doorgifte van gegevens onder "standaardcontractbepalingen" en eiste eveneens de beëindiging van de doorgifte van gegevens aan Facebook USA, met als argument dat zij de gegevens ter beschikking stellen van de NSA. Het onderzoek van de DPC duurde slechts een paar maanden, van december 2015 tot het voorjaar van 2016. In plaats van over de klacht te beslissen, spande de DPC in 2016 bij het Ierse High Court een rechtszaak aan tegen Facebook en de heer Schrems (beiden zijn nu verweerders), om verdere vragen aan het HvJEU voor te leggen. Na meer dan zes weken van hoorzittingen die voornamelijk in 2017 plaatsvonden, oordeelde het Ierse High Court dat de Amerikaanse overheid zich bezighoudt met "massale verwerking" van Europese persoonsgegevens en verwees het in 2018 voor een tweede keer elf vragen naar het HvJEU(link naar arrest).
Volgende stappen
Het HvJEU heeft de zaak opgenomen onder C-311/18 en zal deze op 9 juli 2019 - ongeveer zes jaar na het indienen van de oorspronkelijke klacht - voor een tweede keer behandelen. Een uitspraak wordt voor het einde van het jaar verwacht. Na de uitspraak van het HvJEU zou het DPC uiteindelijk voor de eerste keer over de klacht moeten beslissen. Tegen deze beslissing zou Facebook of de heer Schrems opnieuw beroep kunnen instellen.
Kernargumenten van de partijen
- De Ierse commissaris voor gegevensbescherming sluit zich aan bij het standpunt van de heer Schrems dat de surveillancewetten van de VS in strijd zijn met de fundamentele rechten op privacy, gegevensbescherming en rechtsmiddelen krachtens het Europese recht. De DPC zegt echter dat zij geen bevoegdheden heeft om de kwestie op te lossen. Omdat het mechanisme voor gegevensoverdracht dat Facebook gebruikt (Standard Contractual Clauses) niet in een dergelijke situatie voorziet, moeten de clausules zelf ongeldig worden verklaard. Dit zou betekenen dat de doorgifte van gegevens aan een niet-EU-land in het kader van dit instrument moet worden stopgezet.
- Facebook is van mening dat de Amerikaanse wetgeving niet verder gaat dan wat volgens de EU-wetgeving legaal is. Facebook vraagt zich ook af of de EU wel bevoegd is in gevallen van "nationale veiligheid". Samengevat ziet Facebook geen probleem om gegevens aan de Verenigde Staten te blijven doorgeven op grond van wetten inzake massasurveillance zoals FISA. Facebook beroept zich ook op de beoordeling van de Europese Commissie van de Amerikaanse wetgeving in het zogenaamde "Privacy Shield"-besluit, waarin staat dat de Amerikaanse surveillancewetten voldoen aan de EU-vereisten.
- Schrems is het met de DPC eens over het probleem, maar stelt een meer afgewogen oplossing voor. De wet (artikel 4 SCC's) staat het DPC toe om individuele gegevensoverdrachten (zoals die van Facebook) tegen te houden. Schrems zegt dat het Ierse CVB de plicht heeft om op te treden, in plaats van de zaak terug te verwijzen naar het HvJEU. Met betrekking tot Facebooks beroep op het "Privacy Shield" is Schrems van mening dat het besluit van de Europese Commissie inzake het Privacy Shield de Amerikaanse toezichtwetgeving niet adequaat beschrijft, in de verste verte geen adequate privacybescherming kan bieden en daarom ongeldig moet worden verklaard.
- Europese Commissie: De Europese Commissie zal naar verwachting haar beide besluiten verdedigen: De modelcontractbepalingen en het Privacy Shield. Zij zal waarschijnlijk de kant van de Verenigde Staten en Facebook kiezen met het standpunt dat er geen schending van de grondrechten in de Verenigde Staten is, maar ook erkennen dat de DPC de bevoegdheid heeft om de kwestie zelf op te lossen als het HvJEU een schending van de grondrechten in de VS ziet.
Verklaring van de heer Schrems
Max Schrems, voorzitter van noyb: "Wij stellen een afgemeten oplossing voor: De Ierse DPC moet de regels gewoon goed handhaven, in plaats van de zaak steeds weer terug te schoppen naar Luxemburg. Deze zaak is al zes jaar in behandeling. In die zes jaar heeft het DPC in slechts 2 à 3% van de zaken die het heeft aangespannen een beslissing genomen. We hebben geen probleem met 'standaardcontractbepalingen', we hebben een probleem met de handhaving."
noyb
noyb is een nieuwe Europese non-profit die het recht op privacy afdwingt door middel van rechtszaken. Het steunt deze zaak en wordt zelf gesteund door meer dan 3.500 donerende leden.
Kerncijfers
De partijen voor de rechtbank zijn de Ierse commissaris voor gegevensbescherming, Facebook Ireland Ltd en Max Schrems. De Ierse rechtbank heeft ook vier "amicus curiae" (neutrale helpers van de rechtbank) toegestaan om zich bij de zaak aan te sluiten, namelijk de Amerikaanse regering, het Electronic Privacy Information Center (epic.org), en twee lobbyorganisaties uit de industrie.
Alle EU-lidstaten, de Europese Commissie, het Europees Parlement en het Europees Comité voor gegevensbescherming (EDPB) konden opmerkingen indienen.
Lid worden
Ons werk wordt mogelijk gemaakt door meer dan 3.100 ondersteunende leden - jij misschien?