Sinds de onthullingen van Snowden weten we dat de VS zich bezighoudt met massasurveillance van EU-gebruikers door persoonlijke gegevens op te halen bij Big Tech in de VS. De "Privacy and Civil Liberties Oversight Board" (PCLOB) is de belangrijkste Amerikaanse toezichthouder voor deze wetten. De New York Times meldt nudat Democratische leden van de (officieel "onafhankelijke") PCLOB brieven hebben ontvangen met de eis dat ze vrijdagavond hun ontslag indienen. Dit zou het aantal benoemde leden onder de drempel brengen om de PCLOB te laten functioneren en de onafhankelijkheid van alle andere uitvoerende beroepsinstanties in de VS in twijfel trekken.
De Europese Unie heeft vertrouwd op deze Amerikaanse commissies en tribunalen om te vinden dat de VS "adequate" bescherming van persoonlijke gegevens biedt. Vertrouwend op PCLOB en andere mechanismen laat de Europese Commissie Europese persoonlijke gegevens vrij naar de VS stromen in het zogenaamde "Transatlantic Data Privacy Framework" (TADPF). Duizenden bedrijven, overheidsinstellingen of scholen in de EU vertrouwen op deze bepalingen. Zonder TADPF zouden ze onmiddellijk moeten stoppen met het gebruik van Amerikaanse Cloud Providers zoals Apple, Google, Microsoft of Amazon.
- Achtergrond bij de saga over gegevensoverdracht tussen de EU en de VS
- TADPF-informatie-PDF door de EU
- TADPF-programmapagina van de Amerikaanse regering
- TADPF-besluit (EU) 2023/1795
- HVJEU: Schrems I en Schrems II
Het EU-VS-systeem voor gegevensoverdracht - een mix van EU- en VS-wetgeving. Over het algemeen verbiedt de EU-wetgeving sinds 1995 het exporteren van persoonlijke gegevens naar landen buiten de EU, tenzij er een absolute noodzaak is (bijv. bij het verzenden van een e-mail naar een niet-EU-land) of wanneer het niet-EU-land "in wezen gelijkwaardige" bescherming van persoonlijke gegevens van Europeanen biedt. De VS daarentegen heeft zeer sterke wetten voor massasurveillance (bijv. FISA702 of EO 12.333), waardoor de Amerikaanse overheid toegang heeft tot alle gegevens die zijn opgeslagen bij Amazon, Meta, Microsoft, Google en elk ander Amerikaans Big Tech bedrijf, zonder waarschijnlijke oorzaak of individuele gerechtelijke toestemming. Daarom heeft het Europese Hof van Justitie twee keer geoordeeld (Schrems I en Schrems II) dat de Amerikaanse wet niet "in wezen gelijkwaardig" is. Ursula von der Leyen heeft echter aangedrongen op een derde overeenkomst tussen de EU en de VS, het zogenaamde "Transatlantic Data Privacy Framework" (TADPF).
TADPF is op zand gebouwd. Op 10.7.2023 vaardigde de Europese Commissie Uitvoeringsbesluit (EU) 2023/1795 uit, waarmee het TADPF formeel werd aangenomen. Hierdoor kon elk bedrijf in de EU vrijelijk gegevens overdragen aan Amerikaanse providers, ondanks de Amerikaanse surveillancewetten. De Europese Commissie baseerde zich op (zeer twijfelachtige) uitvoerende garanties, waaronder de PCLOB om vast te stellen dat de VS "in wezen gelijkwaardig" is. Deze elementen staan echter niet in Amerikaanse wetten en gecodificeerd recht, omdat er geen meerderheid in het Amerikaanse Congres was om zulke wetten aan te nemen. In plaats daarvan vertrouwde de EU op Executive Orders, brieven van de regering van de VS en diplomatieke goede wil. Er is lange tijd kritiek geweest op het feit dat de volgende president van de VS deze bescherming met een pennenstreek teniet kan doen. Dit scenario ligt nu in het verschiet. In haar beslissing noemde de Europese Commissie PCLOB maar liefst 31 keer om uit te leggen waarom de VS "in wezen gelijkwaardige" bescherming heeft. Tegelijkertijd is de PCLOB slechts een toezichtmechanisme, naast verhaalmechanismen. Als de PCLOB niet operationeel is, zullen veel andere elementen geleidelijk imploderen, maar er is een argument dat kortetermijnvacatures de TADPF niet meteen de das om zullen doen.
Max Schrems:"Deze deal was altijd al op zand gebouwd, maar de lobby van het EU-bedrijfsleven en de Europese Commissie wilden het toch. In plaats van een stabiele wettelijke beperking stemde de EU in met uitvoerende beloften die in een paar seconden ongedaan kunnen worden gemaakt. Nu de eerste golven van Trump deze deal raken, kan deze binnen enkele seconden worden ontbonden en veel bedrijven in de EU in een juridisch ongewisse brengen. De PCLOB zelf is slechts één puzzelstukje en zolang deze slechts tijdelijk niet functioneert, is er een argument dat de deal niet slechter is dan voorheen. Maar de richting die dit al uitgaat in de eerste week van het Trump-voorzitterschap ziet er echt niet goed uit."
Onafhankelijkheid van uitvoerende organen in twijfel getrokken. Afgezien van de gegevensbeschermingsautoriteiten in de EU zijn de meeste Amerikaanse toezichtsorganen schepsels van de uitvoerende macht en dus niet automatisch onafhankelijk. Onafhankelijkheid wordt vaak alleen verleend door de president, maar kan op elk moment worden herroepen of terzijde worden geschoven. Veel van deze vreemde juridische concepten zijn het gevolg van het structurele onvermogen om echte wetgeving aan te nemen in de VS. In plaats daarvan worden hele juridische gebieden slechts geregeld door presidentiële bevelen. Het feit dat de president van de VS nu probeert om mensen eenvoudigweg te verwijderen, roept de vraag op of het idee van (zogenaamd) "onafhankelijke" uitvoerende organen vanaf het begin feitelijk wel verdedigbaar was. Veel andere elementen van het TADPF, zoals het "Data Protection Review Court" hebben nog zwakkere wettelijke bescherming.
Max Schrems:"Er is lang gediscussieerd over het functioneren en de onafhankelijkheid van deze toezichtsmechanismen. Helaas lijkt het erop dat ze misschien niet eens de test van alleen de eerste dagen van een Trump-presidentschap zullen doorstaan. Dit is het verschil tussen solide wettelijke bescherming en wishful thinking - de Europese Commissie heeft uitsluitend vertrouwd op wishful thinking."
41 dagen voor het volgende knelpunt. In een van de eerste Executive Orders die Trump maandag ondertekende, bepaalde hij dat alle nationale veiligheidsbesluiten van Biden (inclusief de relevante besluiten waar de EU-VS-overdrachten op steunen) binnen 45 dagen moeten worden herzien en mogelijk geschrapt. Dit betekent dat verdere elementen waar het TADPF zich op baseerde binnen enkele weken kunnen sneuvelen. Aangezien de hele deal gebaseerd is op uitvoerende besluiten van Biden, zou Trump alle belangrijke elementen van de deal met één handtekening kunnen schrappen - wat zou leiden tot onmiddellijke illegale gegevensoverdracht tussen de EU en de VS.
Max Schrems:"Ik kan me moeilijk voorstellen dat een Uitvoerend Besluit van Biden dat door de EU aan de VS werd opgedrongen en dat Amerikaanse spionage in het buitenland regelt, zou overleven in de logica van Trump. Het probleem is dat niet alleen Amerikaanse Big Tech, maar vooral normale EU-bedrijven allemaal vertrouwen op dit systeem van instabiele papieren om te beargumenteren dat het gebruik van Amerikaanse cloudsystemen legaal is in de EU."
Commissie manoeuvreert EU-bedrijven naar een rand. Ondanks alle feiten, kritiek van het Europees Parlement en de gegevensbeschermingsautoriteiten van de EU, heeft de Europese Commissie consequent volgehouden dat de TADPF solide en deugdelijk is. De lobby van het EU-bedrijfsleven drong aan op een overeenkomst - hoe onstabiel of maf die ook was. Evenzo wilde Big Tech uit de VS op de EU-markt blijven zonder technische beperkingen met betrekking tot toegang door de Amerikaanse overheid. Nu kan iedereen, van grote banken en hele nationale schoolsystemen tot veel kleine bedrijven, wakker worden in een juridische situatie waarin het gebruik van Amerikaanse cloudproducten binnenkort illegaal is.
Gegevensoverdracht tussen EU en VS voorlopig legaal - maar wees voorbereid. Elk besluit van de Amerikaanse regering zal niet direct Amerikaanse gegevensoverdrachten illegaal maken, omdat het besluit van de Europese Commissie over het algemeen legaal is zolang het in de boeken staat en niet nietig wordt verklaard. Dus zelfs als de materiële bevinding onjuist wordt, blijft de beslissing formeel bestaan totdat deze ongedaan wordt gemaakt. Maar als belangrijke elementen waarop de EU zich heeft gebaseerd disfunctioneel worden, zal de EU de overeenkomst nietig moeten verklaren.
Max Schrems: "Hoewel de argumenten voor de overeenkomst tussen de EU en de VS uit elkaar lijken te vallen, kunnen bedrijven op de overeenkomst vertrouwen zolang deze niet formeel nietig wordt verklaard. Gezien de ontwikkelingen in de VS is het echter belangrijker dan ooit voor elk bedrijf of andere organisatie om een 'host in Europe' noodplan te hebben."
Europese Commissie in een lastig parket. De Europese Commissie heeft zichzelf ook in een lastig parket gemanoeuvreerd, niet alleen vanuit geloofwaardigheidsperspectief, maar ook vanuit diplomatiek perspectief. Als ze nu snel reageert en het TADPF nietig verklaart, zal de Amerikaanse tech-oligarchie roepen dat de EU de Amerikaanse Big Tech zou "belazeren" en de Trump-regering kan dit als een reden zien om een eerste grote ruzie met de EU te beginnen. Het lijkt echter ook problematisch om geen actie te ondernemen en EU-bedrijven, overheidsinstanties en andere organisaties die gegevens naar de VS sturen officieel te waarschuwen, omdat de toekomst van de TADPF wel eens van zeer korte duur zou kunnen zijn.
EU-versie van het Amerikaanse TikTok-debat? Terwijl de VS lange tijd de Europese angst bagatelliseerde dat persoonlijke gegevens naar de VS zouden worden gestuurd en zouden worden gebruikt voor massasurveillance tegen de EU, draaide de VS plotseling bij toen zijn eigen gegevens door TikTok uit China werden verzameld. Hoewel een verbod op of een verplichte overname van Big Tech uit de VS in Europa juridisch onmogelijk zou zijn - zou een verplichting om EU-gegevens uit de handen van de Amerikaanse overheid te houden de standaard worden onder de EU-wetgeving, zodra de Europese Commissie de gegevensovereenkomst tussen de EU en de VS nietig verklaart. Dit zou grote gevolgen hebben voor Big Tech uit de VS in Europa.
