Prep - Achtergrond van het advies van de AG van morgen

Jan 14, 2020

Ter voorbereiding van de levering van het niet-bindend advies van de advocaat-generaal op 19 december om ongeveer 9.45 uur in Luxemburg, hebben wij het volgende voorbereidingsdocument opgesteld. De zaak is al 6,5 jaar in behandeling, heeft betrekking op de complexe EU-wetgeving inzake de bescherming van de persoonlijke levenssfeer en de toezichtswetgeving van de VS en was onderworpen aan vier hoorzittingen voor verschillende rechtbanken. Het is dan ook zeer complex.

Download hier het Prep-Document (PDF)

I. Achtergrond van de zaak

VS-toezicht. Zoals de onthullingen van Edward Snowden bevestigden, vallen veel grote Amerikaanse internetbedrijven (in dit geval Facebook) onder de plicht om de Amerikaanse overheid toegang te geven tot Europese gebruikersgegevens op massale schaal voor "buitenlandse inlichtingen" doeleinden (waaronder antiterrorisme en spionage). Een dergelijk gebruik van de gegevens van de Europeanen zou wel eens in strijd kunnen zijn met het nationale belang van de EU en haar lidstaten (bijvoorbeeld bij de handhaving van Amerikaanse sancties tegen EU-bedrijven of bij het bespioneren van EU-burgers en -regeringen).


De "Safe Harbor" zaak in 2015. Op basis van deze feiten heeft de heer Schrems in 2013 een klacht tegen Facebook ingediend bij de Ierse commissaris voor gegevensbescherming ("DPC"). De DPC verwierp de klacht eerst als "frivool en vexatoir". De heer Schrems ging in beroep tegen de DPC en won uiteindelijk: In dat geval, C-362/14 SchremsHet Hof van Justitie van de Europese Unie (het Hooggerechtshof van de EU) bevestigde zijn standpunt en oordeelde dat massatoezicht in strijd is met de Europese grondrechten. Het Hof van Justitie van de Europese Unie heeft het vorige "Safe Harbor"-systeem, dat de overdracht van gegevens tussen de EU en de VS heeft vergemakkelijkt, afgeschaft. Dit systeem is in 2016 met spoed vervangen door het "Privacy Shield" systeem. Schrems: "Privacy Shield is een bijgewerkte versie van de illegale 'Safe Harbor'. Er is niets in de Amerikaanse toezichtswetgeving veranderd of vastgelegd."


Standaardcontractuele clausules ("SCC's"). Na de eerste beslissing van het Hof van Justitie van de Europese Unie over "Safe Harbor", beweerde Facebook dat het geen gebruik zou maken van "Privacy Shield", maar van zogenaamde "Standaard contractuele bepalingen” (SCC's).

VCA's zijn een contract tussen een EU-bedrijf (hier Facebook Ierland) en een niet-EU-bedrijf (hier Facebook Inc, in Californië) waarin het buitenlandse bedrijf zich ertoe verbindt de privacy van de Europeanen te respecteren. De wet aanvaardt dat dergelijke contracten de Europese gegevens voldoende beschermen bij overdracht naar het buitenland.


Kernprobleem: het EU-privacy-recht botst met het Amerikaanse toezichtsrecht. Volgens de privacywetgeving van de EU ("GDPR") en de SCC's is een "gegevensexport" naar een derde land alleen legaal als het exporterende bedrijf (in dit geval Facebook Ireland Ltd) kan zorgen voor "adequate bescherming" in de VS. In de praktijk bleek dit onmogelijk, omdat de Amerikaanse toezichtswetten (zoals FISA 702 en EO 12.333) resulteren in de "massaverwerking" van de Amerikaanse overheid[1] van persoonsgegevens voor bewakingsdoeleinden. Schrems: "In eenvoudige termen: De EU-wetgeving vereist privacy, terwijl de Amerikaanse wetgeving massatoezicht vereist. De vraag is wat er gebeurt als een bedrijf uit de EU de wetgeving van de VS volgt in plaats van die van de EU


Toepassing van de heer Schrems & Reaction door de Ierse DPC. Gezien de bovenstaande situatie en de uitspraak van het Hof van Justitie in de zaak "Safe Harbor" heeft de heer Schrems de Ierse gegevensbeschermingsautoriteit in 2015 verzocht artikel 4 van de SCC's te gebruiken, op grond waarvan de gegevensbeschermingsautoriteit Facebook kan gelasten de doorgifte van gegevens in individuele gevallen op te schorten. Hoewel de DPC nu met de heer Schrems is overeengekomen dat de toezichtswetten van de VS in strijd zijn met het EU-recht, hebben zij geen directe actie ondernomen. Schrems: "We vroegen om een gerichte oplossing, alleen voor bedrijven die onder deze toezichtswetten vallen. De DPC had binnen een dag een dergelijk besluit kunnen nemen."


De Ierse DPC wil de SCC's ongeldig maken. De DPC volgde echter niet het verzoek van de heer Schrems, maar diende in plaats daarvan een rechtszaak tegen Facebook en de heer Schrems in bij het Ierse High Court, met als doel de zaak terug te verwijzen naar het Hof van Justitie van de EU - ditmaal over de geldigheid van de SCCs. Het Ierse Hooggerechtshof heeft het verzoek van de gegevensbeschermingsautoriteit ingewilligd en verwezen naar elf vragen het Hof van Justitie, ondanks het verzet van de heer Schrems en Facebook (die beiden om verschillende redenen tegen de verwijzing waren). Gerard Rudden (van ARQ Solicitors, als vertegenwoordiger van de heer Schrems): "Mijn cliënt vroeg om een gerichte oplossing voor bedrijven die onder de Amerikaanse massabewakingswetten vallen. De DPC had al lang geleden een dergelijk besluit kunnen nemen. In plaats daarvan hebben we na 7 jaar en twee verwijzingen naar het HJEU nog steeds geen formele beslissing van de DPC.


noyb.eu & Legal Team De heer Schrems heeft deze zaak op pro-bono basis gebracht en wordt ondersteund door een team van advocaten uit Ierland, de VS en Luxemburg. De zaak wordt ook gesteund door de Europese non-profitorganisatie noyb.euwaarvan hij ook de erevoorzitter is. De heer Schrems wordt vertegenwoordigd door Eoin McCullhan, geïnstrueerd door Ahern Rudden Quigley Solicitors. Prof. Herwig Hofmann steunde de zaak over Europees recht. Ashley Gorski van de American Civil Liberties Union (ACLU.org) heeft geassisteerd als getuige-deskundige op het gebied van het Amerikaanse toezichtsrecht.