Ter voorbereiding van het uitbrengen van het niet-bindend advies van de advocaat-generaal op 19 december om ongeveer 9.45 uur in Luxemburg hebben wij het volgende voorbereidende document opgesteld. De zaak is al 6,5 jaar in behandeling, heeft betrekking op de complexe EU-privacy- en Amerikaanse toezichtswetgeving en was onderworpen aan vier hoorzittingen voor verschillende rechtbanken. Het is dus zeer complex.
I. Achtergrond van de zaak
US Surveillance. Zoals de onthullingen van Edward Snowden bevestigden, vallen veel grote Amerikaanse internetbedrijven (in dit geval Facebook) onder de plicht om de Amerikaanse overheid toegang te geven tot Europese gebruikersgegevens op massale schaal voor "buitenlandse inlichtingen" doeleinden (waaronder antiterrorisme en spionage). Een dergelijk gebruik van de gegevens van Europeanen zou wel eens in strijd kunnen zijn met het nationale belang van de EU en haar lidstaten (bijvoorbeeld bij de handhaving van Amerikaanse sancties tegen EU-bedrijven of bij het bespioneren van EU-burgers en -regeringen).
De "Safe Harbor" zaak in 2015. Op basis van deze feiten diende de heer Schrems in 2013 een klacht in tegen Facebook bij de Ierse Commissaris voor gegevensbescherming ("DPC"). De DPC verwierp de klacht eerst als "frivool en vexatoir". De heer Schrems ging in beroep tegen de DPC en won uiteindelijk: In dat geval, C-362/14 SchremsHet Hof van Justitie van de Europese Unie (het Hooggerechtshof van de EU) bevestigde zijn standpunt en oordeelde dat massatoezicht in strijd is met de Europese grondrechten. Het Hof van Justitie van de Europese Unie heeft het vorige "veilige-havensysteem", dat de overdracht van gegevens tussen de EU en de VS vergemakkelijkte, afgeschaft. Dit systeem werd in 2016 met spoed vervangen door het "Privacy Shield"-systeem. Schrems: "Privacy Shield is een bijgewerkte versie van het illegale "Safe Harbor". Er is niets in de Amerikaanse toezichtswetgeving veranderd of vastgelegd
Standaardcontractuele clausules ("SCC's"). Na de eerste beslissing van het Hof van Justitie van de Europese Unie over "Safe Harbor", beweerde Facebook dat het geen gebruik zou maken van "Privacy Shield", maar van zogenaamde "SCC's"Standaard contractuele bepalingen” (SCC's).
VCA's zijn een contract tussen een EU-bedrijf (hier Facebook Ierland) en een niet-EU-bedrijf (hier Facebook Inc, in Californië) waarin het buitenlandse bedrijf zich ertoe verbindt de privacy van de Europeanen te respecteren. De wet aanvaardt dat dergelijke contracten de Europese gegevens voldoende beschermen bij overdracht naar het buitenland.
Kernprobleem: het EU-privacy-recht botst met het Amerikaanse toezichtsrecht. Volgens de privacywetgeving van de EU ("GDPR") en de SCC's is een "gegevensexport" naar een derde land alleen legaal als het exporterende bedrijf (in dit geval Facebook Ireland Ltd) kan zorgen voor "adequate bescherming" in de VS. In de praktijk bleek dit onmogelijk, omdat de Amerikaanse toezichtswetten (zoals FISA 702 en EO 12.333) leiden tot "massale verwerking" door de Amerikaanse overheid van persoonsgegevens voor bewakingsdoeleinden. Schrems: "In eenvoudige bewoordingen: De EU-wetgeving vereist privacy, terwijl de Amerikaanse wetgeving massatoezicht vereist. De vraag is wat er gebeurt als een bedrijf uit de EU het Amerikaanse recht volgt in plaats van het EU-recht ”
Toepassing van de heer Schrems & Reaction door de Ierse DPC. Gezien de bovenstaande situatie en de uitspraak van het Hof van Justitie in de zaak "Safe Harbor" heeft de heer Schrems de Ierse gegevensbeschermingsautoriteit in 2015 verzocht gebruik te maken van artikel 4 van de SCC's, op grond waarvan de gegevensbeschermingsautoriteit Facebook kan gelasten de gegevensoverdracht in individuele gevallen "op te schorten". Hoewel de gegevensbeschermingsautoriteit nu met de heer Schrems is overeengekomen dat de toezichtswetten van de VS in strijd zijn met het EU-recht, heeft zij geen directe actie ondernomen. Schrems: "We vroegen om een gerichte oplossing, alleen voor bedrijven die onder deze toezichtswetten vallen. De gegevensbeschermingsautoriteit had binnen een dag een dergelijk besluit kunnen nemen."
De Ierse DPC wil de SCC's ongeldig maken. De gegevensbeschermingsautoriteit heeft echter niet het verzoek van de heer Schrems gevolgd, maar heeft in plaats daarvan een rechtszaak tegen Facebook en de heer Schrems aangespannen bij het Ierse Hooggerechtshof, met als doel de zaak terug te verwijzen naar het Hof van Justitie van de Europese Unie - ditmaal over de geldigheid van de akten van intellectuele eigendom. Het Ierse Hooggerechtshof heeft het verzoek van de gegevensbeschermingsautoriteit ingewilligd en de zaak naar het Hof van Justitie terugverwezen elf vragen het Hof van Justitie, ondanks het verzet van de heer Schrems en Facebook (die beiden om verschillende redenen tegen de verwijzing waren). Gerard Rudden (van ARQ Solicitors, als vertegenwoordiger van de heer Schrems): "Mijn cliënt vroeg om een gerichte oplossing voor bedrijven die vallen onder de Amerikaanse massabewakingswetten. De DPC had al lang geleden een dergelijk besluit kunnen nemen. In plaats daarvan hebben we na 7 jaar en twee verwijzingen naar het Hof van Justitie van de EU nog steeds geen formele beslissing van de DPC. ”
noyb.eu & Legal Team De heer Schrems heeft deze zaak op pro-bono basis gebracht en wordt ondersteund door een team van advocaten uit Ierland, de VS en Luxemburg. De zaak wordt ook gesteund door de Europese non-profit organisatie noyb.euwaarvan hij ook de erevoorzitter is. De heer Schrems wordt vertegenwoordigd door Eoin McCullhan, geïnstrueerd door Ahern Rudden Quigley Solicitors. Prof. Herwig Hofmann steunde de zaak inzake Europees recht. Ashley Gorski van de American Civil Liberties Union (ACLU.org) heeft geassisteerd als getuige-deskundige op het gebied van het Amerikaanse toezichtsrecht.
II. Mogelijke resultaten
Verschil tussen het advies van de AG en het eindoordeel is zeer waarschijnlijk. De zaak heeft elf gedeeltelijk met elkaar verbonden vragen opgeroepen, met vele bijkomende kwesties die bij elke vraag komen kijken. In tegenstelling tot veel andere gevallen is er geen binair antwoord te verwachten. Zowel het advies als het eindoordeel kunnen op sommige punten verder gaan en op andere punten zwijgen. Schrems: "Deze zaak heeft elf onderling samenhangende vragen. Het is zeer onwaarschijnlijk dat we één duidelijk 'ja of nee' antwoord van de advocaat-generaal krijgen. Gezien de vele mogelijkheden is het nog minder waarschijnlijk dat de rechters deze elf vragen in hun eindoordeel op dezelfde manier zullen benaderen"
Naast de vele verschillende opties in deze zaak, had de mondelinge behandeling van de zaak een indicatie kunnen zijn van enigszins afwijkende standpunten tussen AG en de rechters. Schrems: "Tijdens de terechtzitting stelde de advocaat-generaal vragen in een heel andere richting dan de rechters. De rechters leken veel kritischer te staan tegenover het Amerikaanse recht en de beoordeling door de Europese Commissie dan de advocaat-generaal. Ik verwacht dan ook dat het eindoordeel een striktere bescherming van de privacy zal bieden dan het advies van donderdag
Lange termijn oplossing nodig. Op de lange termijn zal de fundamentele botsing tussen de privacywetgeving van de EU en de toezichtswetgeving van de VS in dit geval hoogstwaarschijnlijk niet worden opgelost. Schrems: "Als de VS de gegevens van buitenlanders willen verwerken, zullen ze buitenlanders ten minste dezelfde basisbescherming van hun privacy moeten bieden. Op dit moment gedraagt de VS zich een beetje alsof Zwitserland zou zeggen 'bewaar al je goud bij ons, maar eigenlijk heb je geen rechten als het eenmaal hier is'. Als dat de situatie is wie in de wereld zal de VS dan vertrouwen met zijn gegevens?"
III. Standpunt van de partijen inzake het "hoofdgeschil"
Zodra een gegevensbeschermingsautoriteit van mening is dat een ontvanger van gegevens wettelijke verplichtingen heeft in een derde land dat zich niet aan het EU-recht houdt (zoals in dit geval), rijst de vraag hoe dit dilemma kan worden opgelost. De drie partijen in de procedure hebben drie verschillende antwoorden voorgesteld:
|
Ierse DPC |
Max Schrems |
|
|
|
VS-toezicht is niet in strijd met het EU-recht ("geen probleem om op te lossen") |
Geen |
Geen |
Ja |
|
Artikel 4 van de richtlijn inzake klimaatverandering biedt de mogelijkheid om te schorsen ("doelgerichte oplossing" voor FISA-bedrijven) |
Geen |
Ja |
Ja, als er een probleem zou zijn |
|
SCC's zijn wereldwijd ongeldig ("radicale oplossing") |
Ja |
Geen |
Geen |
- Facebook is van mening dat het uitgangspunt van de vraag verkeerd is, omdat het Amerikaanse toezicht in overeenstemming is met het EU-recht (om verschillende redenen) en de zaak niet wordt beheerst door het EU-recht.
- De heer Schrems is van mening dat artikel 4 van de SCC's de gegevensbeschermingsautoriteit toestaat om in individuele gevallen de gegevensstromen op te schorten, maar dat de gegevensbeschermingsautoriteit geen gebruik maakt van deze "gerichte oplossing" in het kader van de wet.
- De gegevensbeschermingscoördinator ziet een "systematisch" probleem dat moet leiden tot de ongeldigverklaring van de SCC's in de hele wereld en het is niet aan de gegevensbeschermingscoördinator om in elk afzonderlijk geval op te treden.
IV. FAQ's en veel voorkomende misverstanden
- Heeft de heer Schrems niet geprobeerd de standaardcontractuele clausules te schrappen?
De heer Schrems heeft nooit betoogd dat de VCA's mogelijk ongeldig zijn. Van alle partijen en alle interventies bij het HvJEU was alleen de DPC van mening dat de ABC's ongeldig moeten worden verklaard. Iedereen (EU-instellingen, lidstaten, lobbygroepen, Facebook en de heer Schrems) is van mening dat de AKK's niet ongeldig zijn.
- Blokkeert de EU niet gewoon de vrije handel?
Er zijn twee wetten die leiden tot deze botsing van rechtsgebieden: (1) de Amerikaanse toezichtswetten die massale bewaking van buitenlanders en spionage zonder toestemming van de individuele rechter mogelijk maken en (2) het Europese grondrecht op privacy. Het is zeer rationeel om gegevensstromen naar een buitenlands grondgebied te verbieden als deze gegevens kunnen worden misbruikt. De VS heeft soortgelijke zorgen met betrekking tot apps zoals "TikTok" of 5G-hardware van Huawei.
- Betekent dit niet dat u geen e-mails meer naar de VS kunt sturen?
Eenvoudig gezegd spreekt de GDPR over twee soorten datastromen: (1) Noodzakelijke gegevensstromen (zoals e-mails of het boeken van een hotel in het buitenland), waarvoor in artikel 49 van de GDPR afwijkingen zijn opgenomen en (2) gevallen van "outsourcing" van gegevensverwerking naar een derde land, die niet strikt noodzakelijk zijn. Zelfs als de SCC's ongeldig zouden worden verklaard, zou dit alleen gevolgen hebben voor de tweede categorie van gevallen, waarvoor geen "afwijking" geldt.
Voor e-mails zou dit betekenen dat een Gmail-postbus als geheel misschien niet meer wordt uitbesteed aan de VS, maar dat individuele e-mails die naar een vriend of collega in de VS gaan toch worden bezorgd (net zoals e-mails vandaag de dag naar China, Rusland of zelfs Noord-Korea worden gestuurd).
- Heeft deze zaak betrekking op alle gegevensstromen naar de VS?
Volgens de argumenten van de heer Schrems is de kern van de zaak beperkt tot bedrijven die onder een specifieke toezichtswet vallen die "FISA 702" heet. Deze wet is alleen van toepassing op "aanbieders van elektronische communicatiediensten" (zoals Facebook, Google of Microsoft), maar niet op "traditionele bedrijven" zoals luchtvaartmaatschappijen, hotels, handel, financiën en dergelijke.
Er is nog een andere kwestie in verband met een toezichtvergunning die "EO 12.333" wordt genoemd en die de VS in staat stelt toezicht te houden in alle sectoren van het bedrijfsleven, met inbegrip van trans-Atlantische kabels buiten de Verenigde Staten. Dit is vooral relevant voor de beoordeling van het "Privacy Shield".
In het algemeen is een opschorting van de gegevensoverdracht in het kader van de SCC's alleen nodig voor bedrijven die onder FISA 702 vallen, die in 2007 is ingevoerd. Het probleem kan worden opgelost door deze wet in de VS vast te stellen.
- Heeft de heer Schrems Facebook twee keer aangeklaagd?
Terwijl de heer Schrems de oorspronkelijke klacht in 2013 bij de DPC heeft ingediend, heeft de DPC deze procedure gepauzeerd en een rechtszaak tegen Facebook en de heer Schrems aangespannen. Zij zijn gedaagden en hebben deze (tweede) verwijzing naar het HvJEU niet in gang gezet. Schrems en Facebook hebben zich beide om verschillende redenen tegen de verwijzing naar het HvJEU verzet.
- Wat heeft deze zaak te maken met het "Privacy Shield"?
Facebook heeft het "privacyschild" in deze zaak aan de orde gesteld, omdat zij stellen dat de Europese Commissie de Amerikaanse toezichtswetten in het privacyschild heeft goedgekeurd en deze beoordeling ook bindend zou moeten zijn wanneer de Amerikaanse toezichtswetten in het kader van de SCC's worden beoordeeld. De heer Schrems heeft aangevoerd dat deze beoordeling feitelijk onjuist is en dat het privacyschild daarom ongeldig is.
Het is onduidelijk of de advocaat-generaal een van beide argumenten zal aanspreken, de rechters hebben de Europese Commissie tijdens de hoorzitting intensief ondervraagd over het privacyschild.
- Waarom zegt u dat de VCA's in orde zijn, maar het privacyschild niet?
Het VCA is een generiek instrument voor ongeveer 200 landen in de wereld. Het houdt zich niet bezig met de Amerikaanse toezichtswetten. Als er een conflicterende wet is, staat artikel 4 van de VCA's toe dat de gegevensbeschermingsautoriteit de gegevensoverdracht stopt. De SCC's hebben dus een antwoord op het probleem voor het Hof. In het besluit over het privacyscherm heeft de Europese Commissie uitdrukkelijk gesteld dat de Amerikaanse toezichtswetgeving in overeenstemming is met de EU-wetgeving, waarmee wij het fundamenteel oneens zijn.
- Wat had de DPC volgens u moeten doen?
Op grond van artikel 4 van de SCC's kan elke gegevensbeschermingsautoriteit (zoals de gegevensbeschermingsautoriteit) de doorgifte van gegevens stopzetten indien de SCC's niet daadwerkelijk worden nageleefd. Facebook Ierland was op de hoogte van het toezicht door de nationale toezichthoudende autoriteiten sinds ten minste 2013, maar heeft geen maatregelen genomen om de doorgifte van gegevens tegen te houden of te beperken. In dergelijke gevallen moet de toezichthouder ingrijpen en actie ondernemen.
- Hoe kunnen bedrijven voldoen aan een gunstige uitspraak?
Ten eerste zouden zij moeten nagaan of hun gegevens naar een Amerikaanse "electronic communication service provider" gaan die onder FISA 702 valt. De meeste traditionele industrieën vallen niet onder deze toezichtswetten, maar grote technische bedrijven die velen van ons gebruiken (zoals Facebook, Google, Amazon of Microsoft) wel.
Zelfs als de gegevens naar een van deze aanbieders gaan, kunnen de meeste essentiële gegevensoverdrachten (bijvoorbeeld het verzenden van e-mails, directe berichten of boekingsgegevens) nog steeds worden overgedragen op grond van zogenaamde "afwijkingen" in de GDPR. In het geval van een loutere "outsourcing" moeten Europese bedrijven echter wellicht op zoek gaan naar alternatieven buiten de VS.
