Open brief over de toekomst van de gegevensoverdracht tussen de EU en de VS
Hoewel veel details nog onduidelijk zijn, zijn er steeds meer details over de geplande overeenkomst inzake gegevensoverdracht tussen de EU en de VS aan het licht gekomen. Deze details lijken meer vragen op te roepen over de stabiliteit van een nieuwe overeenkomst inzake adequaatheid door de Europese Commissie. In het licht van deze verontrustende ontwikkelingen heeft de hoofdaanklager in de zaken "Schrems I" en "Schrems II" de volgende open brief (PDF) aan de betrokken belanghebbenden gestuurd:
Geachte commissaris Didier Reynders,
Geachte Secretaris Gina Raimondo,
Geachte Pauline Dubarry,
Geachte EDPB-voorzitter Andrea Jelinek,
Geachte LIBE voorzitter Juan Fernando López Aguilar,
Wij nemen nota van de aankondiging van een beginselakkoord voor een nieuw trans-Atlantisch kader voor gegevensprivacy. Wij begrijpen dat het toekomstige "principeakkoord" voornamelijk gebaseerd is op een politiek akkoord tussen Commissievoorzitter von der Leyen en VS-president Joe Biden, maar niet het resultaat is van materiële wijzigingen in de VS-wetgeving als reactie op het arrest van het HJEU. Deze aanpak lijkt een herhaling van de "Privacy Shield"-overeenkomst en is zeer verontrustend.
Wij zijn ons ervan bewust dat de aankondiging slechts ruwe ideeën en hoofdlijnen schetst, maar dat over de definitieve tekst nog moet worden onderhandeld. De volgende voorlopige opmerkingen zijn derhalve gebaseerd op de beperkte politieke aankondiging en verdere details die door de EU en de VS informeel in diverse openbare of semi-openbare vormen met belanghebbenden zijn gedeeld.
Op basis van deze verklaringen begrijpen wij dat de VS elke materiële bescherming voor niet-VS-personen heeft afgewezen en niet-VS-personen blijft discrimineren door basisbeschermingen, zoals rechterlijke goedkeuring van individuele surveillancemaatregelen, te weigeren
Wij hebben begrepen dat de beoogde overeenkomst grotendeels zal berusten op Amerikaanse uitvoeringsbesluiten. Na met Amerikaanse toezichtdeskundigen en advocaat aan deze zaak te hebben gewerkt, lijken dergelijke uitvoeringsbesluiten structureel ontoereikend om aan de eisen van het HvJEU te voldoen.
Op basis van de bekende hoekstenen waarschuwen wij de onderhandelaars aan beide zijden van de Atlantische Oceaan, de Raad van de EU, de EDPB en de Commissie LIBE van het Europees Parlement dat het aangekondigde kader hetzelfde lot dreigt te ondergaan als zijn twee voorgangers voor het HJEU, tenzij er in de Verenigde Staten inhoudelijke (wetgevings)hervormingen worden doorgevoerd
Wij roepen de onderhandelaars op te blijven werken aan een langetermijnoplossing die de privacy beschermt in het trans-Atlantische verkeer, om een "Schrems III"-beslissing te voorkomen. De huidige aanpak kan nog jarenlang leiden tot rechtsonzekerheid voor burgers en bedrijven - een vrees die ook werd geuit door vertegenwoordigers van de industrie in reactie op het "beginselakkoord".
Wij zijn ons er ten volle van bewust dat dit allesbehalve een gemakkelijke opdracht is, maar de investering in een goede aanpak zou er niet alleen voor zorgen dat deze kwestie op lange termijn wordt opgelost, maar ook de burgers en de economie aan beide zijden ten goede komen.
Om dat doel te bereiken, presenteren wij de volgende meer gedetailleerde opmerkingen en aanbevelingen:
(1) Toepassing van een correcte evenredigheidstoets op de Amerikaanse bewakingswetgeving op grond van artikel 8 GVW
Wij hebben begrepen dat de onderhandelaars van de VS niet van plan zijn te streven naar wijzigingen in de Amerikaanse wetgeving met betrekking tot materiële bewaking, maar in wezen van plan zijn Presidentiële Beleidsrichtlijn 28 (PPD-28) inzake activiteiten op het gebied van de inlichtingenvergaring te vervangen door een nieuw uitvoeringsbevel waarin de woorden "noodzakelijk en evenredig" zouden worden opgenomen
Het lijkt erop dat de Europese Commissie wil dat deze woorden in een Amerikaans uitvoeringsbevel worden beschouwd als gelijkwaardig aan de evenredigheidstest van de EU in artikel 52 van het Verdrager van het Handvest van de grondrechten (CFR)
Het valt echter moeilijk in te zien hoe de bestaande VS-surveillance volgens het Europees recht "noodzakelijk en evenredig" kan zijn, als het HJEU in twee arresten uitdrukkelijk het tegendeel heeft vastgesteld
Deze benadering lijkt om ten minste de volgende redenen ontoereikend:
- In beide HJEU-arresten ("Schrems I" en "Schrems II") heeft het Hof duidelijk geoordeeld dat de toezichtwetten en -praktijken van de VS in strijd zijn met de artikelen 7, 8 en 47 van het Handvest van de grondrechten. Het HJEU heeft zelfs uitdrukkelijk geoordeeld dat deze wetten en praktijken niet "noodzakelijk en evenredig" zijn
- Het "Schrems II"-arrest is gewezen met inachtneming van PPD28 (destijds de relevante uitvoeringsrichtlijn). Zoals de Europese Commissie en de regering van de VS voor het HJEU hebben betoogd, bevat PPD-28 reeds de formulering "as tailored as feasible", die de Commissie heeft uitgelegd als gelijkwaardig aan evenredigheid in de zin van artikel 52 CFR. Het HJEU heeft dit idee verworpen. Wij zien niet in hoe wetten en praktijken waarvan het HJEU uitdrukkelijk heeft geoordeeld dat zij niet "noodzakelijk en evenredig" zijn, het HJEU plotseling zouden kunnen overtuigen indien zij een ander label krijgen, namelijk "noodzakelijk en evenredig" in plaats van "zo toegesneden alshaalbaar".
- Wij hebben begrepen dat de VS deze woorden weliswaar overnemen, maar er niet mee hebben ingestemd de bewaking van niet-Amerikaanse betrokkenen op enigerlei wijze tebeperken . Meer bepaald hebben de VS niet aangekondigd van plan te zijn de toezichtpraktijken die worden uitgevoerd in het kader van de wetten en programma's (FISA 702, EO 12.333, "PRISM" en "Upstream") die specifiek door het HJEU in zijn arrest worden genoemd, te beperken of te herzien. De VS hebben ook niet aangegeven dat zij veranderingen zullen doorvoeren om een einde te maken aan hun bulk-surveillancepraktijken . De surveillanceprogramma's lijken gewoon door te gaan. Het HJEU heeft een evenredigheidstoets op grond van artikel 52 GVU uitgevoerd en geconcludeerd dat de VS-praktijken op het gebied van bewaking die toets niet hebben doorstaan. Als de VS het concept van"noodzaak en evenredigheid" zouden overnemen, zou dit betekenen dat deze bewakingspraktijken moeten worden stopgezet of sterk ingeperkt. De onderhandelaars zijn duidelijk dat dit niet de bedoeling is.
- De onderhandelaars lijken dus slechts de woorden van het CFR en de jurisprudentie van het HJEU over te nemen in een Amerikaans uitvoeringsbevel, maar zullen waarschijnlijk een andere betekenis hanteren dan het HJEU, omdat dit anders zou moeten leiden tot een stopzetting van de Upstream en Downstream (voorheen "PRISM") programma's op grond van sectie 702 van de Foreign Intelligence Surveillance Act (FISA), en een einde aan de bulk surveillance op grond van Uitvoeringsbevel 12.333.
- Wij zijn voorts bezorgd over het feit dat aan uitvoeringsbevelen doorgaans geen rechten voor derden kunnen worden ontleend. Het lijkt erop dat zelfs indien een "noodzakelijk en evenredig" criterium in overeenstemming met artikel 52 CFR in een uitvoeringsbevel zou worden opgenomen, het mogelijk is dat een betrokkene dergelijke beperkingen niet voor de rechter kan afdwingen.
Samenvattend lijkt deze aanpak slechts tegemoet te komen aan de politieke, diplomatieke en PR-eisen van beide partijen, maar lijkt hij voorbij te gaan aan het feit dat het HJEU al heeft geoordeeld dat VS-surveillance niet "noodzakelijk en evenredig" is en dat de VS deze praktijken zullen voortzetten.
(2) Zinvolle beroepsmogelijkheden creëren op grond van artikel 47 van het gemeenschappelijk referentiekader
Wij begrijpen dat de VS-onderhandelaars niet van plan zijn de VS-wetgeving te wijzigen om voor EU-subjecten mogelijkheden voor beroep bij de rechter te creëren
In plaats daarvan zou de uitvoerende macht van de VS een nieuw "orgaan" binnen de uitvoerende macht moeten oprichten (vergelijkbaar met de vroegere "ombudspersoon", maar dan onder het gezag van de advocaat-generaal) dat potentiële schendingen van de wetgeving en de uitvoeringsbesluiten van de VS zal behandelen. Dit orgaan, het "Data Protection Review Court", zal - in tegenstelling tot de naam - geen "rechtbank" zijn maar een uitvoerend orgaan. Het zal deel uitmaken van de uitvoerende macht, met beperkte onafhankelijkheid
Wij hebben begrepen dat de betrokkenen in de EU tijdens de procedure geen toegang zullen hebben tot informatie over mogelijke toezichtoperaties die op hen betrekking hebben en dat zij tegen beslissingen van dit "Hof" geen beroep zullen kunnen instellen bij een volledig onafhankelijk gerechtelijk orgaan dat is opgericht krachtens artikel 3 van de grondwet van de VS
Deze aanpak lijkt in ieder geval in het volgende opzicht in strijd te zijn met de jurisprudentie van het HvJEU:
- De voorgestelde oplossing voorziet niet in beroep bij de rechter , maar in een beroepsorgaan binnen de uitvoerende macht - vergelijkbaar met de ombudsman, die volgens het HJEU niet alleen onevenredig is, maar een inbreuk vormt op de essentie van artikel 47 CFR. Door een uitvoerend orgaan gewoon een "Hof" te noemen, wordt geen gerechtelijk beroep ingesteld. De aanpak lijkt beter te kunnen worden omschreven als een "ombudsman plus".
- Het valt moeilijk in te zien hoe dit nieuwe orgaan zou voldoen aan de formele vereisten van een rechterlijke instantie volgens artikel 47 van het CFR, vooral in vergelijking met lopende zaken en normen die binnen de EU worden toegepast (bijvoorbeeld in Polen en Hongarije). Het HJEU zou worden gevraagd binnen de EU een "hoge" norm van artikel 47 CFR toe te passen, maar voor een "Data Protection Review Court" in de VS een "lage" norm van artikel 47 CFR. Het zou de Europese Commissie zijn die het HJEU moet overtuigen van deze verschillende normen onder artikel 47 CFR.
- Wij hebben begrepen dat ditdit nieuwe "Hof" zal blijven werken zoals de huidige "Ombudsman" en zal bevestigen noch ontkennen of een persoon aan toezicht was onderworpen en of er sprake was van een inbreuk op de wetgeving van de VS. Wij hebben begrepen dat de betrokkene geen directe of indirecte mogelijkheid zal hebben om bewijsmateriaal in te zien, om inzage te verzoeken, de tegenpartij te ondervragen of een met redenen omkleed vonnis te ontvangen . Hierdoor wordt het een "rubberen stempel"-instelling, zonder praktische relevantie.
- Deze "rubberen stempel"-benadering zal ook de mogelijkheden beperken voor een eventueel overwogen beroep bij een secundaire instantie: Indien het "Hof van toezicht voor gegevensbescherming" verplicht is een voorgeschreven standaardantwoord te geven, zien wij niet in dat er ruimte is voor een geïnformeerd, zinvol materieel beroep. Indien er in elke zaak slechts één mogelijke vooraf bepaalde uitkomst is, lijkt er nauwelijks een geval te zijn waarin een burger een fout aan de orde kan stellen, aangezien er slechts één mogelijk antwoord lijkt te zijn.
- Er zijn fundamentele vragen of Amerikaanse doctrines zoals " staatsgeheimen" van toepassing zullen zijn op deze instanties en elke mogelijkheid van een eerlijke behandeling verder zullen beperken. Wij begrijpen dat de regering van de VS zich op deze doctrines zal blijven beroepen.
Samenvattend zien wij niet in hoe dit nieuwe "Hof" in overeenstemming zou zijn met artikel 47 van het GEA, met name in het licht van de recente jurisprudentie van het HJEU inzake VS-surveillance, maar ook in het licht van de jurisprudentie van het HJEU inzake beroep op de rechter en de rechtsstaat in de lidstaten van de EU. Het lijkt erop dat het HvJEU een afzonderlijke artikel 47 GVRM-toets voor de VS zou moeten ontwikkelen om vast te stellen dat een uitvoerend orgaan dat rubberen stempelreacties produceert, inderdaad een vorm van rechterlijke toetsing is. Wij zien niet in hoe een dergelijke ontwikkeling in de rechtspraak van het HvJEU in de verste verte realistisch of zelfs maar wenselijk is.
(3) De noodzaak om de commerciële privacybescherming te actualiseren
Naast de tekortkomingen van het aangekondigde principeakkoord, die verband houden met het gebrek aan hervormingen van de VS-surveillance en wettenwaarschuwen wij de EU-onderhandelaars ook voor de noodzaak om de verplichtingen inzake commerciële gegevensbescherming in het kader van een toekomstige overeenkomst te actualiseren.
Wij zijn bezorgd dat de onderhandelaars van de EU en de VS geen actualisering van de Privacy Shield-beginselen zelf lijken te plannen. Wij hebben begrepen dat de Privacy Shield-beginselen en -certificaten ongemoeid zouden worden gelaten en zelfs geen nieuwe naam zouden krijgen. Dit is enorm problematisch, aangezien de beginselen grotendeels zijn gebaseerd op de "Safe Harbor"-beginselen uit 2000, met slechts kleine updates in 2016. Ze zijn niet in overeenstemming met de GDPR-vereisten, die in 2018 van toepassing zijn geworden. In feite verwijzen de Privacy Shield-beginselen zelfs naar de niet langer toepasselijke Richtlijn 95/46/EG, en niet naar de GDPR
We belichten hier een paar voorbeelden van enkele van de vele tekortkomingen van de Privacy Shield Principles en waar ze afwijken van de GDPR:
- De Privacy Shield-beginselen bevatten geen algemene eis voor een rechtsgrondslag, zoals in artikel 6, lid 1, van de GDPR en artikel 8, lid 2, van het Handvester van de grondrechten. In feite is er alleen een zogenaamde "kennisgeving & keuze"-benadering met een recht van verwerping (opt-out). Vooral omdat de beginselen gewoonlijk van toepassing zijn op subverwerkers, die geen rechtstreeks contact met een betrokkene hebben, lijkt er nauwelijks een realistisch scenario te bestaan waarin een betrokkene zelfs maar in kennis zou worden gesteld van een problematische verwerking.
- De Privacy Shield-beginselen schrijven niet voor dat gegevensverwerking "noodzakelijk" moet zijn, zoals artikel 5, lid 1, onder c), GDPR en artikel 52, lid 1, CFR voorschrijven, maar alleen "relevant".
- De meeste elementen van het recht op toegang uit hoofde van artikel 15 GDPR en artikel 8, lid 2, van het Handvester van de grondrechten zijn niet terug te vinden in de Privacy Shield-beginselen.
- Het verhaalsmechanisme waarin dehet verhaalmechanisme waarin de beginselen voorzien, is gebaseerd op particuliere arbitrage, een systeem dat sinds Richtlijn 93/13/EEG verboden is voor consumenten in de EU. De particuliere arbitragediensten worden betaald door het bedrijf in de VS en beschikken niet over de nodige mechanismen voor "toezicht en opsporing" of over bevoegdheden die ook maar in de verste verte lijken op de bevoegdheden van de toezichthoudende autoriteiten van de EU uit hoofde van artikel 58 GDPR. Er zijn meerdere stappen nodig om een arbitrage-uitspraak daadwerkelijk uitvoerbaar te maken volgens het VS-recht.
Er zijn nog talloze andere voorbeelden waarbij de Privacy Shield-beginselen niet "in wezen gelijkwaardig" zijn aan de GDPR en concurrenten uit de VS bijgevolg in staat stellen op de Europese markt actief te zijn zonder aan de EU-wetgeving te voldoen. Zelfs als de problemen met het VS-toezicht zouden worden opgelost, kan elke nieuwe overeenkomst door het HJEU ongeldig worden verklaard op grond van het feit dat de Privacy Shield-beginselen helemaal niet "in wezen gelijkwaardig" zijn aan de GDPR.
De toekomst van internationale gegevensoverdrachten
Wij betreuren het dat de onderhandelaars deze gelegenheid niet hebben aangegrepen om ervoor te zorgen dat het recht van de mens op privacy- en gegevensbescherming aan beide zijden van de Atlantische Oceaan wordt beschermd, ongeacht zijn geografische locatie of nationaliteit. Wij zijn er diep van overtuigd dat een wereldwijd internet en het vrije verkeer van persoonsgegevens alleen mogelijk zijn als de bescherming niet gebaseerd is op historische en nationalistische concepten, zoals burgerschap. Terwijl de GDPR en artikel 7, 8 en 47 CFR mensenrechten zijn en op elke gebruiker van toepassing zijn, ongeacht nationale banden, blijven FISA 702 en de desbetreffende uitvoeringsbesluiten in de VS een archaïsch idee volgen van "VS-personen" en "niet VS-personen".
Dit leidt niet alleen tot schendingen van de mensenrechten, maar lijkt ook de vermeende doelstellingen van deze surveillancewetten te ondermijnen: Wij weten dat de meeste huidige gevaren (zoals terrorisme van eigen bodem, spionage en dergelijke) niet gebaseerd zijn op het staatsburgerschap van het doelwit.
Wij roepen de onderhandelaars en andere relevante belanghebbenden, waaronder de Amerikaanse techindustrie, op om traditionele nationalistische concepten ter discussie te stellen. Als het internet geen nationale grenzen mag kennen, moeten onze privacyrechten en surveillancewetten evenzeer nationalistische concepten overwinnen. Een optie zijn internationale overeenkomsten tussen democratische naties.
Hoofdstuk 5 van de GDPR voorziet reeds in een vrij verkeer van gegevens - indien de bescherming "in wezen gelijkwaardig" is. Wij betreuren dat de nationale toezichtswetten in de VS en de EU nog steeds vasthouden aan concepten als burgerschap en tot dusver moderne interoperabiliteitsclausules ontberen.
Dit conflict tussen (interoperabele) privacybeschermingen en (nationalistische) toezichtwetten belemmert internationale gegevensstromen, handel en convergentie.
Reactie op een nieuw besluit inzake adequaatheid
Aangezien onze rechtszaak er altijd op gericht is een duurzame oplossing te vinden die zowel gebruikersgegevens beschermt als vrije gegevensstromen mogelijk maakt, zouden wij de eerste zijn om een dergelijk resultaat toe te juichen. Wij hopen nog steeds dat een definitieve tekst de in deze brief genoemde tekortkomingen kan verhelpen en wij moedigen de onderhandelaars aan beide zijden van de Atlantische Oceaan aan om de broodnodige hervormingen van de Amerikaanse wetgeving door te voeren.
Indien deze wetswijzigingen uitblijven, vrezen wij dat een toekomstige overeenkomst (opnieuw) gebaseerd zal zijn op politieke hoop in plaats van op juridische realiteiten. Wij vrezen met name dat de Europese Commissie willens en wetens nog een onwettig adequaatheidsbesluit zal nemen met als doel de arresten van het HJEU te ondermijnen. Dit wordt vaak aangeduid als "nog een paar jaar kopen". Dit kan niet alleen leiden tot een eindeloos gepingpong tussen Brussel en Luxemburg, maar vormt ook een bedreiging voor het vertrouwen in de rechtsstaat en het GEA op Europees niveau.
In het licht van het voorgaande is de noyb bereid om elke definitieve adequaatheidsbeschikking aan te vechten die niet de nodige rechtszekerheid zou bieden. Indien een dergelijke rechtszaak inderdaad noodzakelijk is, zullen wij ons vooral richten op een snelle en efficiënte weg naar het HvJEU om tot een snelle beslissing te komen. Wij hopen dat dit zal zorgen voor een kortere periode van rechtsonzekerheid in geval van een slecht doordacht politiek akkoord
Een dergelijke betwisting kan een verzoek aan het HJEU omvatten om de toepassing van een eventuele derde versie van een adequaatheidsbesluit van de VS op te schorten. Een dergelijke mogelijkheid is opgenomen in artikel 278 VWEU en kan ervoor zorgen dat de Europese Commissie het HJEU niet ondermijnt door nog meer onwettige besluiten inzake adequaatheid te nemen in een poging om de toetsing ervan door het HJEU te omzeilen.
Wij hopen dat deze inleidende opmerkingen nuttig voor u zijn. Wij staan tot uw beschikking voor het geval u vragen heeft of ons nadere toelichting over de beoogde nieuwe overeenkomst wenst te verstrekken.
Hoogachtend,
Max Schrems
Ere-Voorzitter, noyb
Hoogachtend,
Max Schrems
Ere-Voorzitter, noyb
