Arrest van het Hof van Justitie van de Europese Unie - Eerste verklaring

Jul 16, 2020

CJEU maakt "Privacy Shield" ongeldig in de US Surveillance zaak. SCC's kunnen niet worden gebruikt door Facebook en soortgelijke bedrijven.

Facebook en soortgelijke bedrijven mogen ook geen "SCC's" gebruiken om gegevens over te dragen, aangezien DPC de overdracht in het kader van dit instrument moet stopzetten. Schrems: "We hebben een hervorming van het Amerikaanse toezicht nodig. Het Hof heeft verduidelijkt dat er kan geen sprake zijn van een overdracht van gegevens in strijd met het EU-recht.”

Max Schrems' (voorzitter van noyb.eu en partij in de zaak) eerste reactie op het arrest:

Schrems: "Ik ben erg blij met de uitspraak. Het lijkt erop dat het Hof ons in alle opzichten heeft gevolgd. Dit is een totale klap voor de Ierse DPC en Facebook. Het is duidelijk dat de VS hun toezichtswetten serieus zullen moeten veranderen, als de Amerikaanse bedrijven een belangrijke rol willen blijven spelen op de EU-markt.

Hervorming van het Amerikaanse toezicht is onvermijdelijk - het HvJEU zegt het alleen maar hardop

Het Hof was duidelijk dat de vergaande Amerikaanse toezichtswetten in strijd zijn met de grondrechten van de EU. De VS beperkt de meeste bescherming tot "Amerikaanse personen", maar beschermt de gegevens van buitenlandse klanten van Amerikaanse bedrijven niet tegen de NSA. Aangezien er geen manier is om erachter te komen of u of uw bedrijf onder toezicht staat, hebben mensen ook geen mogelijkheid om naar de rechter te gaan. Het Hof van Justitie van de Europese Unie heeft vastgesteld dat dit in strijd is met de "essentie" van bepaalde grondrechten van de EU.

Schrems: "Het Hof maakte voor de tweede keer duidelijk dat er een botsing is tussen de privacywetgeving van de EU en de Amerikaanse toezichtswetgeving. Aangezien de EU haar grondrechten niet zal wijzigen om de NSA te behagen, is de enige manier om deze botsing te boven te komen dat de VS solide privacyrechten voor alle mensen - ook voor buitenlanders - invoeren. De hervorming van het toezicht wordt daarmee cruciaal voor de zakelijke belangen van Silicon Valley

"Dit oordeel is niet de oorzaak van een beperking van de gegevensoverdracht, maar het gevolg van de Amerikaanse toezichtswetten. Je kunt het de rechtbank niet kwalijk nemen dat ze het onvermijdelijke zeggen - als er stront aan de knikker is, kun je het de knikker niet kwalijk nemen."

Europese Commissie buigt voor Amerikaanse druk

Het arrest maakt ook duidelijk dat de Europese Commissie de Amerikaanse toezichtswetgeving niet grondig en nauwkeurig heeft beoordeeld in het kader van het privacyschild. In plaats daarvan boog zij zich voor de Amerikaanse druk bij het passeren van het privacyschild

Herwig Hofmann, hoogleraar rechten aan de Universiteit van Luxemburg en een van de advocaten die de Schrems-zaken voor het Hof van Justitie bepleiten: "Het HvJEU heeft het tweede besluit van de Commissie, dat de fundamentele rechten van de EU op het gebied van gegevensbescherming schendt, ongeldig verklaard. Er kan geen sprake zijn van doorgifte van gegevens naar een land met vormen van massabewaking. Zolang de Amerikaanse wetgeving haar regering de bevoegdheid geeft om gegevens uit de EU naar de VS door te geven, zullen dergelijke instrumenten steeds weer ongeldig worden gemaakt. De aanvaarding door de Commissie van de toezichtswetten van de VS in het besluit inzake het beschermingsschild voor de persoonlijke levenssfeer liet hen zonder verweer

DPA's hebben een "plicht tot handelen" - Belangrijke versterking voor de BBPR

Het Hof heeft ook verduidelijkt dat de gegevensbeschermingsautoriteiten van de EU (DPA's) verplicht zijn actie te ondernemen wanneer zij een klacht ontvangen. Het Hof heeft benadrukt dat de gegevensbeschermingsautoriteiten "verplicht zijn hun verantwoordelijkheid om ervoor te zorgen dat de BNPR met de nodige zorgvuldigheid wordt gehandhaafd" uit te voeren. Tot dusver zijn veel gegevensbeschermingsautoriteiten van mening dat zij een onbeperkte discretionaire bevoegdheid hebben om de andere kant op te kijken. Het Hof heeft nu een einde gemaakt aan deze praktijk.

Schrems: "Het Hof zegt niet alleen tegen de Ierse gegevensbeschermingsautoriteit dat zij haar werk moet doen na zeven jaar van inactiviteit, maar zegt ook tegen alle Europese gegevensbeschermingsautoriteiten dat zij de plicht hebben om actie te ondernemen en niet alleen de andere kant op kunnen kijken. Dit is een fundamentele verschuiving die veel verder gaat dan de gegevensoverdracht tussen de EU en de VS. Autoriteiten zoals de Ierse gegevensbeschermingsautoriteit hebben tot nu toe het succes van de BNPR ondermijnd door eenvoudigweg geen klachten te behandelen. Het Hof heeft de gegevensbeschermingsautoriteiten duidelijk gezegd dat zij aan de slag moeten gaan en de wet moeten handhaven"

SCC's kunnen niet meer worden gebruikt door Facebook en Amerikaanse bedrijven die onder Amerikaans toezicht staan

Het Hof heeft zich ook aangesloten bij het standpunt van de heer Schrems dat in een eerste fase bedrijven uit de EU en ontvangers van gegevens van buiten de EU de wetgeving in het betreffende derde land moeten herzien. Alleen als er geen sprake is van tegenstrijdig recht, kunnen ze dan gebruik maken van de SCC's. Als tweede beschermingslaag moet de desbetreffende gegevensbeschermingsautoriteit (DPA) de "noodclausule" gebruiken die in de VCA's is ingebouwd (artikel 4 van het besluit inzake modelcontractbepalingen). In het geval van Amerikaanse toezichtswetten die in strijd zijn met de gegevensbeschermingsbeginselen van de EU, hebben de bedrijven geen actie ondernomen. De gegevensbeschermingsautoriteit heeft dit idee sinds 2016 bestreden met de valse bewering dat het discreet was om niets te doen in het licht van massale surveillance door buitenlandse mogendheden. Samengevat betekent dit dat Facebook de SCC's niet meer mag gebruiken voor gegevensoverdrachten tussen de EU en de VS en dat de gegevensbeschermingsautoriteit, als zij de wet blijft overtreden, dringend actie moet ondernemen - in tegenstelling tot de eerste aankondigingen van sommigen na de bekendmaking van het vonnis.

Schrems: "Het arrest maakt duidelijk dat bedrijven niet alleen de VCA's kunnen ondertekenen, maar ook moeten nagaan of ze in de praktijk kunnen worden nageleefd. In zaken als Facebook, waar ze geen actie ondernemen, had de DPC de oplossing voor deze zaak al die tijd in eigen hand. Ze had Facebook al jaren geleden de opdracht kunnen geven om de overdrachten te stoppen In onze klacht eisten we dat ze een verbodsbericht zou uitvaardigen met een redelijke uitvoeringstermijn om Facebook in staat te stellen alle nodige stappen te ondernemen. In plaats daarvan heeft zij zich tot het Hof van Justitie van de EU gewend om de SCC's, die geldig zijn, ongeldig te verklaren. Het is als schreeuwen voor de Europese brandweer, want je hebt geen zin om zelf een kaars uit te blazen

Gebruikers moeten zich verenigen & extreem hoge kosten

Het feit dat deze zaak al 7 jaar aan de gang is en de DPC alleen al bijna 3 miljoen euro heeft uitgegeven om de klacht van de heer Schrems te bestrijden in plaats van resoluut op te treden om de rechten van de Europeanen te beschermen, vertoont het systeem voor de handhaving van de BBPR ook enkele fundamentele gebreken. Het is momenteel onmogelijk voor een normaal persoon om ervoor te zorgen dat de GDPR-rechten niet slechts een loze belofte zijn, maar in plaats daarvan een normaal onderdeel van ons digitale leven worden

Schrems: "De DPC heeft € 2,9 miljoen tegen ons geïnvesteerd - en heeft in wezen verloren. Ik wil niet eens weten hoeveel miljoenen Facebook naar deze zaak heeft gegooid. De financiële gevolgen van deze zaak zullen nu worden beslist door de Ierse rechtbanken. Volgens het EU-recht moet er een vrije en snelle behandeling van een klacht van een burger zijn. In deze zaak zijn we echter al zeven jaar in de rechtbank met meer dan 45.000 pagina's aan ingediende documenten Handhaving van de bevoegdheid om te pleiten dergelijke gevallen is alleen Zstudent kan gewoon doen dit op zijn eigen is helaas verkeerd.”

"Noodzakelijke" gegevensstromen naar de VS kunnen doorgaan..

Ondanks de ongeldigheid van het vonnis kunnen absoluut "noodzakelijke" gegevensstromen blijven stromen onder artikel 49 van de GDPR. Elke situatie waarin gebruikers hun gegevens naar het buitenland willen laten doorstromen is nog steeds legaal, aangezien dit gebaseerd kan zijn op de geïnformeerde toestemming van de gebruiker, die op elk moment kan worden ingetrokken. Ook de wet staat gegevensstromen toe voor wat "noodzakelijk" is om een contract uit te voeren. Dit is een solide basis voor de meeste legale transacties met de VS. Met andere woorden: de VS is nu teruggebracht tot de "normale" situatie die de EU met de meeste andere derde landen heeft, maar heeft haar speciale toegang tot de EU-markt verloren ten opzichte van het toezicht door de VS.

Schrems: "De rechtbank heeft expliciet benadrukt dat het ongeldig maken van het privacyschild geen 'juridisch vacuüm' zal creëren, aangezien de noodzakelijke gegevensstromen nog steeds kunnen worden uitgevoerd. De VS wordt nu eenvoudigweg teruggezet naar een gemiddeld land zonder speciale toegang tot de gegevens van de EU"

v1