1,2 miljard euro GDPR boete voor Meta over VS massasurveillance. Besluit vereiste 10 jaar en 3 gerechtelijke procedures tegen Ierse DPC.
Vandaag heeft een tien jaar (2013 - 2023) durende zaak over de betrokkenheid van Meta bij Amerikaanse massasurveillance geleid tot een eerste rechtstreekse beslissing. Meta moet elke verdere overdracht van Europese persoonsgegevens aan de Verenigde Staten stopzetten, aangezien Meta onderworpen is aan Amerikaanse surveillancewetten (zoals FISA 702). De EDPB had de beslissing van de Ierse DPC grotendeels tenietgedaan, door aan te dringen op een recordboete en op het terugbrengen van eerder doorgegeven gegevens naar de EU.
- Aangezien meerdere media het embargo van het DPC voor 12:00 CET hebben verbroken, is de volgende informatie niet meer onder embargo geplaatst
- Persbericht van de Ierse DPC
- EDPB-beslissing in de zaak
Grote klap voor Meta. Sinds de onthullingen van Edward Snowden over Amerikaanse big tech die het NSA-apparaat voor massasurveillance helpt, was Facebook (nu Meta) het onderwerp van een rechtszaak in Ierland. Tien jaar lang heeft Meta geen enkele materiële voorzorgsmaatregel genomen, maar gewoon het Europees Hof van Justitie (HvJEU) en de European Data Protection Board (EDPB) genegeerd. Nu moet Meta niet alleen een recordboete van 1,2 miljard euro betalen, maar ook alle persoonsgegevens teruggeven aan zijn datacentra in de EU.
Max Schrems:"We zijn blij met deze beslissing na tien jaar procederen. De boete had veel hoger kunnen zijn, aangezien de maximale boete meer dan 4 miljard bedraagt en Meta tien jaar lang willens en wetens de wet heeft overtreden om winst te maken. Tenzij de Amerikaanse surveillancewetten worden aangepast, zal Meta zijn systemen fundamenteel moeten herstructureren."
FISA 702 wordt opnieuw goedgekeurd. Het huidige conflict tussen de EU-privacywetgeving en de Amerikaanse surveillancewetgeving is ook een probleem voor alle andere grote Amerikaanse cloudproviders, zoals Microsoft, Google of Amazon. De onderliggende Amerikaanse surveillancewet (FISA 702) moet tegen december 2023 opnieuw worden goedgekeurd. De animo voor materiële veranderingen kan groter zijn voor Amerikaanse big tech, nu er de eerste grote boete is van de EU-autoriteiten voor gegevensbescherming. Talrijke besluiten van Frankrijk, Italië en Oostenrijk vonden het gebruik van Amerikaanse diensten onwettig, maar legden geen hoge boete op.
Max Schrems:"De eenvoudigste oplossing is een redelijke beperking van de Amerikaanse wetgeving inzake bewaking. Aan beide zijden van de Atlantische Oceaan is men het erover eens dat voor het toezicht een gegronde reden en toestemming van de rechter nodig zijn. Het zou tijd zijn om deze basisbescherming toe te kennen aan EU-klanten van Amerikaanse cloud providers. Elke andere grote Amerikaanse cloudprovider, zoals Amazon, Google of Microsoft, zou volgens het EU-recht met een soortgelijk besluit kunnen worden geconfronteerd."
Schendingen in het verleden - succesvol beroep onwaarschijnlijk. Wij verwachten dat Meta in beroep zal gaan bij het Ierse en mogelijk het Europese Hof, maar de kans dat deze beslissing materieel wordt teruggedraaid is klein: Het HvJEU heeft in twee zaken tussen 2007 en 2023 al besloten dat er geen geldige rechtsgrondslag was voor de doorgifte van gegevens tussen de EU en de VS. Er is ook geen mogelijkheid voor een nieuwe overeenkomst om eerdere schendingen van de wet te legaliseren.
Max Schrems:"Meta zal tegen deze beslissing in beroep gaan, maar er is geen echte kans om deze beslissing materieel ongedaan te maken. Schendingen uit het verleden kunnen niet ongedaan worden gemaakt door een nieuwe overeenkomst tussen de EU en de VS. Meta kan hooguit de betaling van de boete nog even uitstellen."
Toekomstige overdrachten: Meta's hoop op een nieuwe EU-VS deal op wankele grond. Voor alle toekomstige transfers hoopt Meta nu over te stappen op een nieuwe EU-US data transfer deal. De nieuwe overeenkomst heeft al harde kritiek gekregen van het Europees Parlementmaar zal waarschijnlijk na de zomer in werking treden. Deze hoop kan echter snel de bodem worden ingeslagen. Het is niet onwaarschijnlijk dat de nieuwe overeenkomst door het HvJEU ongeldig zal worden verklaard - net als de twee eerdere gegevensovereenkomsten tussen de EU en de VS ("Privacy Shield" en "Safe Harbor"). Dergelijke ongeldigverklaringen hebben terugwerkende kracht.
Max Schrems:"Meta is van plan de nieuwe overeenkomst te gebruiken voor doorgiften, maar dit is waarschijnlijk geen permanente oplossing. Volgens mij is de kans dat de nieuwe overeenkomst niet door het HvJEU sneuvelt misschien tien procent. Tenzij de bewakingswetgeving van de VS wordt aangepast, zal Meta waarschijnlijk EU-gegevens in de EU moeten houden."
Tien jaar, drie rechtszaken en miljoenen aan juridische kosten. De rol van het Ierse DPC in deze procedure is uitzonderlijk, omdat het consequent heeft geprobeerd de zaak tegen te houden. In 2013 verwierp het de oorspronkelijke klacht als "lichtzinnig", waardoor Schrems helemaal naar het HvJEU moest. Vervolgens stelde het GOG zich op het standpunt dat het geen actie kon ondernemen omdat Meta gebruik maakte van zogenaamde "standaardcontractbepalingen", hetgeen opnieuw werd verworpen door het HvJEU, dat het GOG vertelde dat het wel actie moest ondernemen. Ten slotte probeerde de DPC Meta te beschermen tegen een boete en het wissen van reeds overgedragen gegevens, om vervolgens door de EDPB te worden vernietigd. In totaal hebben deze procedures geleid tot kosten van meer dan 10 miljoen euro - de boete gaat echter naar de Ierse staat.
Max Schrems: "Het heeft ons tien jaar procederen tegen de Ierse DPC gekost om tot dit resultaat te komen. We moesten drie procedures tegen de DPC aanspannen en riskeerden miljoenen aan procedurekosten. De Ierse toezichthouder heeft er alles aan gedaan om deze beslissing te voorkomen, maar werd consequent door de Europese rechtbanken en instellingen onderuit gehaald. Het is nogal absurd dat de recordboete naar Ierland gaat - de EU-lidstaat die alles heeft gedaan om ervoor te zorgen dat deze boete niet wordt opgelegd."
Implementatieperiode, geen dreigende stopzetting van diensten. Eerder verspreidde Facebook / Meta het gerucht dat het zou stoppen met het leveren van diensten in Europa. Aangezien Europa veruit de grootste bron van inkomsten is buiten de VS en Meta al lokale datacenters in de EU heeft gebouwd, zijn deze aankondigingen nauwelijks geloofwaardig. De langetermijnoplossing lijkt een vorm van "gefedereerd sociaal netwerk" te zijn, waarbij de meeste persoonsgegevens in de EU blijven, terwijl alleen "noodzakelijke" overdrachten doorgaan - bijvoorbeeld wanneer een Europeaan een rechtstreeks bericht stuurt naar een Amerikaanse vriend. Hoewel Meta slechts een korte uitvoeringstermijn kreeg om met een oplossing te komen, wist het al tien jaar van de juridische situatie en kreeg het in 2022 al een ontwerpbesluit voorgeschoteld.
Max Schrems:"De loze dreigementen van Facebook dat ze zullen stoppen met diensten in Europa zijn lachwekkend. Het is veruit de grootste markt voor hen buiten de VS. Een mogelijke optie voor de toekomst is een 'gefedereerd' sociaal netwerk, waarbij Europese gegevens in hun datacenters in Europa blijven, tenzij gebruikers bijvoorbeeld chatten met een Amerikaanse vriend."
Andere ligaties kunnen volgen. Hangende class action in Nederland. Volgens een recente uitspraak van het HvJEU kunnen gebruikers mogelijk ook emotionele schadevergoeding eisen voor kleinere schendingen van hun gegevensbeschermingsrechten - zoals het onderwerpen aan Amerikaanse massasurveillance. Deze zal leiden tot claims die kunnen veel hoger zijn dan de huidige boete. Bijvoorbeeld, de Nederlandse consumentenrechtenorganisatie Consumentenbond is momenteel bezig Nederlandse Facebook-gebruikers aan te melden om hun claims over de doorgifte van gegevens tussen de EU en de VS in te dienen. Zonder gebruikers die een eerlijke compensatie vragen, zullen we geen geen echte verandering zien. De autoriteiten zijn momenteel niet erg actief in het handhaven van de GDPR, dus consumentenrechtenorganisaties en gebruikers moeten in actie komen. Om die reden, Moedig ik elke Facebook gebruiker in Nederland aan om hun claims voor mogelijke schadevergoeding te registreren. Bovendien moet deze zomer ook de EU-richtlijn inzake collectief verhaal ten uitvoer worden gelegd, die voor het eerst collectieve acties van Europese gebruikers mogelijk maakt voor schendingen van de GDPR.
Max Schrems:"Deze beslissing kan leiden tot civiele procedures tegen Meta in Europa. Deze zomer implementeert de EU ook een nieuw 'class action' systeem, dat gebruikt kan worden voor GDPR-schendingen."