Nieuw uitvoeringsbesluit VS zal waarschijnlijk niet voldoen aan EU-wetgeving

Okt 07, 2022

We are now working on an in-depth analysis, which will be published on noyb.eu in the next days.

Eerste reactie: Executive Order over Amerikaanse bewaking waarschijnlijk niet in overeenstemming met EU-wetgeving

Meer dan zes maanden na een "principeakkoord" tussen de EU en de VS heeft de Amerikaanse president Joe Biden de langverwachte Executive Order ondertekend die de vroegere uitspraken van het Europees Hof van Justitie (HvJEU) moet respecteren. Dit is bedoeld om beperkingen in de doorgifte van gegevens tussen de EU en de VS op te heffen. Het HvJEU eiste (1) dat de surveillance door de VS evenredig is in de zin van artikel 52 van het Handvest van de grondrechten (CFR) en (2) dat er toegang is tot rechtsmiddelen, zoals vereist op grond van artikel 47 CFR. De nieuwe Executive Order van Biden lijkt aan beide eisen niet te voldoen. Er is voortdurend sprake van "bulk surveillance" en een "rechtbank" die geen echte rechtbank is.

Executive Order. Een Executive Order is een interne richtlijn van de Amerikaanse president binnen de federale overheid, maar geen wet. Eerder werd de zaak geregeld door een order van president Obama uit 2014, genaamd PPD-28. Hoewel het goed is dat onze rechtszaak nu leidt tot een reactie van de Amerikaanse president, zal dit interne presidentiële bevel het probleem waarschijnlijk niet oplossen:

De bulkbewaking wordt voortgezet via twee soorten "evenredigheid". De VS wijzen erop dat in het nieuwe uitvoeringsbevel de formulering van het EU-recht wordt gebruikt ("noodzakelijk" en"evenredig" zoals in artikel 52 CFR) in plaats van de eerdere term"zo toegesneden als haalbaar" die in afdeling 1, onder d), van PPD-28 wordt gebruikt. Dit zou het probleem kunnen oplossen, indien de VS dezelfde opvatting zouden volgen en ook de evenredigheidstoets van het HvJEU zouden toepassen.

Ondanks de wijziging van deze woorden zijn er echter geen aanwijzingen dat de massasurveillance door de VS in de praktijk zal veranderen. Zogenaamde "bulk surveillance" zal onder de nieuwe Executive Order blijven bestaan (zie punt 2, onder c), ii)) en alle gegevens die naar Amerikaanse providers worden gestuurd, zullen nog steeds terechtkomen in programma's als PRISM of Upstream, ondanks het feit dat het HvJEU de surveillancewetten en -praktijken van de VS tot tweemaal toe niet"evenredig" heeft verklaard (volgens de Europese interpretatie van het woord).

Hoe is dit mogelijk? Het lijkt erop dat de EU en de VS zijn overeengekomen om de woorden"noodzakelijk" en"evenredig" in de Executive Order op te nemen, maar niet hebben afgesproken dat het dezelfde juridische betekenis zal hebben. Als het dezelfde betekenis zou hebben, zouden de VS hun massasurveillancesystemen fundamenteel moeten beperken om te voldoen aan het EU-begrip van "evenredige" surveillance.

Max Schrems, voorzitter van noyb.eu:"De EU en de VS zijn het nu eens over het gebruik van het woord 'proportioneel', maar lijken het niet eens te zijn over de betekenis ervan. Uiteindelijk zal de definitie van het HvJEU zegevieren - waardoor waarschijnlijk elk EU-besluit weer in duigen valt. De Europese Commissie knijpt opnieuw een oogje dicht voor de Amerikaanse wetgeving, zodat het spioneren van Europeanen kan doorgaan."

"Rechtbank" is geen echte rechtbank. Het uitvoeringsbesluit is bedoeld om rechtsmiddelen toe te voegen. Er komt nu een procedure in twee stappen, met als eerste stap een functionaris onder de directeur van de nationale inlichtingendienst en als tweede stap een "rechtbank voor gegevensbescherming". Dit zal echter geen "rechtbank" zijn in de normale juridische zin van artikel 47 van het Handvest of de Amerikaanse grondwet, maar een orgaan binnen de uitvoerende macht van de VS-regering. Het nieuwe systeem is een verbeterde versie van het vorige "Ombudspersonen"-systeem, dat reeds door het HvJEU werd verworpen. Het lijkt duidelijk dat dit uitvoerend orgaan niet zou neerkomen op "gerechtelijk beroep" zoals vereist door het EU-Handvest.

Uitspraak door "rechtbank" is al vastgelegd in het uitvoeringsbesluit. Gebruikers zullen problemen moeten aankaarten bij een nationale instantie in de EU, die op haar beurt de kwestie zal aankaarten bij de regering van de VS. Zoals voorheen zal de regering van de VS bevestigen noch ontkennen dat de gebruiker onder toezicht stond en zal zij de gebruiker alleen meedelen dat er geen sprake was van een schending of dat deze werd verholpen (zie punt 3, onder c), E) van het EO). Meer zal de gebruiker niet weten. Dit maakt ook de mogelijkheid van beroep nutteloos, aangezien er eenvoudigweg niets is om tegen in beroep te gaan, zolang de gebruiker dit rubberen stempelantwoord heeft gekregen. Sectie 3(i)(d)(H) gaat zelfs zo ver dat het "Hof" zal antwoorden - ongeacht uw argumenten of zaak:"de evaluatie heeft geen overtredingen aan het licht gebracht of het Hof voor gegevensbescherming heeft bepaald dat passende maatregelen moeten worden genomen"

Max Schrems, voorzitter van noyb.eu:"We moeten het voorstel in detail bestuderen, maar op het eerste gezicht is het duidelijk dat deze 'rechtbank' gewoon geen rechtbank is. Het Handvest bevat een duidelijke eis voor 'gerechtelijk verhaal' - alleen het omdopen van een of andere klachteninstantie tot 'rechtbank' maakt er nog geen echte rechtbank van. De details van de procedure zullen ook relevant zijn om te zien of dit aan de EU-wetgeving kan voldoen."

Verder onderzoek en mogelijke aanvechting. noyb en haar partners zullen de documenten de komende dagen nader analyseren en in de komende dagen en weken met een gedetailleerde juridische analyse komen. Als het besluit van de Commissie niet in overeenstemming is met de EU-wetgeving en de relevante arresten van het HvJEU zal noyb het besluit waarschijnlijk opnieuw aanvechten bij het HvJEU. In de tussentijd zal het Amerikaanse Congres in 2023 FISA 702 opnieuw moeten goedkeuren, waardoor de Amerikaanse wetgever mogelijk zinvolle beperkingen kan invoeren die de privacyrechten van niet-Amerikaanse personen respecteren.

Max Schrems:"We zullen dit pakket in detail analyseren, wat een paar dagen in beslag zal nemen. Op het eerste gezicht lijkt het erop dat de kernproblemen niet zijn opgelost en dat het vroeg of laat terug naar het HvJEU zal gaan."

Landen met vergelijkbare privacybescherming kunnen geen stabiele overeenkomst sluiten? Het lijkt niet logisch dat twee democratische landen die het allebei eens zijn over fundamentele rechtsbeginselen inzake privacy waarschijnlijk de derde gebrekkige overeenkomst op rij sluiten:

Het vierde amendement van de Amerikaanse grondwet legt een recht op privacy vast en vereist dat er een waarschijnlijke oorzaak en gerechtelijke goedkeuring is voor elke telefoontap. Ook het HvJEU eist dat de bewaking doelgericht is en dat er rechterlijke goedkeuring of toetsing is op grond van het Handvest van de grondrechten van de EU.

Het enige verschil lijkt te zijn dat de EU privacy beschouwt als een mensenrecht dat voor ieder mens geldt, terwijl het Fourth Amendment alleen geldt voor Amerikaanse burgers of permanente ingezetenen. In de visie van de VS hebben Europeanen geen privacyrechten. FISA 702 maakt gebruik van dat verschil in VS-wetgeving en staat toezicht toe dat illegaal is volgens het Vierde Amendement - zolang er geen Amerikanen het doelwit zijn.

Max Schrems:"Het is verbazingwekkend dat de EU en de VS het er eigenlijk over eens zijn dat voor het afluisteren probable cause en rechterlijke goedkeuring nodig zijn. De VS zijn echter van mening dat buitenlanders geen privacyrechten hebben. Ik betwijfel of de VS een toekomst heeft als de cloud provider van de wereld, als niet-Amerikaanse personen geen rechten hebben volgens hun wetten. Ik vind het tegenstrijdig dat de Europese Commissie werkt aan een overeenkomst die accepteert dat Europeanen 'tweederangs' burgers zijn en niet dezelfde privacyrechten verdienen als Amerikaanse burgers."

Amerikaanse bedrijven hoeven niet aan de GDPR te voldoen. Wat opvalt, is dat de Europese Commissie niet heeft gevraagd om de zogenaamde "Privacy Shield Principles" af te stemmen op de GDPR, die sinds 2018 van kracht is. De principes zijn grotendeels hetzelfde als de eerdere "Safe Harbor" principes, die in 2000 werden opgesteld en ook in het nieuwe kader gebruikt zullen blijven worden. Dit betekent dat Amerikaanse bedrijven Europese gegevens kunnen blijven verwerken zonder aan de GDPR te voldoen. Ze hebben bijvoorbeeld niet eens een rechtsgrondslag nodig voor de verwerking, zoals toestemming. Onder het Privacy Shield hoeven Amerikaanse bedrijven alleen een opt-out optie aan te bieden aan gebruikers. Dit ondanks het feit dat het HvJEU heeft benadrukt dat er in de VS sprake moet zijn van "in wezen gelijkwaardige" bescherming.

Volgende stappen. Nu de VS hun Executive Order hebben uitgevaardigd, moet de Europese Commissie een zogenaamd "adequaatheidsbesluit" uit hoofde van artikel 45 van de GDPR opstellen. Zodra het ontwerpbesluit is vastgesteld, moet de Commissie het Europees Comité voor gegevensbescherming (EDPB) horen, maar is zij niet gebonden aan zijn bevindingen. Bovendien moeten de Europese lidstaten het voortouw nemen en kunnen zij de overeenkomst blokkeren. Dit proces kan een paar maanden duren. Maar zelfs negatieve uitspraken van de EDPB en de lidstaten zijn niet bindend voor de Commissie. Zodra het besluit is gepubliceerd, kunnen bedrijven zich erop beroepen wanneer zij gegevens naar de VS sturen en kunnen gebruikers het aanvechten via de nationale en Europese rechtbanken. Dit wordt niet verwacht vóór het voorjaar van 2023, terwijl het oorspronkelijk gepland was voor het najaar van 2022.