Gegevensoverdracht tussen de EU en de VS
Achtergrond
De kern van deze zaak is dat er sprake is van een rechtsconflict tussen de Amerikaanse toezichtswetten die toezicht eisen en de EU-gegevensbeschermingswetten die privacy vereisen.
Probleem: VS-toezichtswetten
In 2013 maakte Edward Snowden publiekelijk bekend dat Amerikaanse inlichtingendiensten toegang hebben tot de persoonsgegevens van Europese gebruikers met behulp van bewakingsprogramma's zoals PRISM. Deze toegang werd vergemakkelijkt door een Amerikaanse wet waarvan niet bekend is dat deze wordt gebruikt om een dergelijk breed opgezette bewaking, genaamd 50 U.S.C. §1881a (of FISA 702), mogelijk te maken. FISA 702 is in 2008 aangenomen en heeft de mogelijkheden voor toezicht en toegang tot gegevens voor de Amerikaanse autoriteiten fundamenteel uitgebreid. Tegelijkertijd met deze uitbreiding werden steeds meer persoonlijke gegevens verzameld door Amerikaanse aanbieders van elektronische communicatiediensten (zoals Apple, Microsoft, Facebook, Google en Yahoo). In combinatie leidt dit tot een steeds schadelijker wordende impact op de privacy van Europese gebruikers.
Op grond van FISA 702 kunnen Amerikaanse "electronic communication service providers" (zoals gedefinieerd in 50 U.S.C. §1881(4)) worden gedwongen om de Amerikaanse veiligheidsautoriteiten toegang te geven tot de persoonsgegevens van "niet-Amerikaanse personen", die worden gedefinieerd als iedereen die geen Amerikaans staatsburger of permanent ingezetene van de VS is. De bewakingsbevelen op grond van deze wet hoeven niet specifiek te zijn voor een individueel doelwit, maar maken veeleer een heel algemeen bewakingsprogramma zoals PRISM of Upstream mogelijk. Er is geen geïndividualiseerde gerechtelijke goedkeuring voor niet-Amerikaanse personen. FISA 702 staat ook bewaking toe voor vrij brede doeleinden, zoals "informatie die ... betrekking heeft op ... de buitenlandse zaken van de Verenigde Staten" (zie 50 U.S.C. §1801(e)).
Er zijn ook Amerikaanse toezichtbevoegdheden op basis van de "inherente bevoegdheid van de Amerikaanse president" en nader omschreven in een uitvoeringsbesluit (EO 12.333), terwijl andere elementen worden beschreven in de Presidentiële Beleidsrichtlijn 28 (PPD-28). Beide zijn interne orders binnen de uitvoerende macht die geen verplichtingen of rechten voor particuliere entiteiten scheppen, maar het toezicht op niet-Amerikaanse personen mogelijk maken.
In de documenten die Edward Snowden openbaar heeft gemaakt, worden een aantal Amerikaanse bedrijven genoemd die gegevens verstrekken aan de Amerikaanse overheid voor toezichtsprogramma's zoals PRISM of Upstream onder deze bepalingen, waaronder Apple, Microsoft, Facebook, Google en Yahoo.
Reactie: BBPR beperkt de gegevensoverdracht
De Europese privacywetgeving (voorheen Richtlijn 95/46, en nu de GDPR) is gebaseerd op het concept van een vrije stroom van persoonsgegevens, maar alleen binnen een sfeer die de privacy van de gebruiker beschermt. Als persoonsgegevens alleen binnen de Europese Unie worden beschermd, maar zonder enige beperking buiten het rechtsgebied van de EU kunnen worden doorgegeven, kan het hoge niveau van bescherming van persoonsgegevens dat binnen de EU nodig is, gemakkelijk worden ondermijnd.
De EU-wetgeving heeft echter altijd tegelijkertijd voorzien in uitzonderingen op dit beginsel van beperking van de doorgifte, bijvoorbeeld wanneer persoonsgegevens noodzakelijkerwijs moeten worden doorgegeven (bijvoorbeeld bij het boeken van een dienst in het buitenland of bij het verzenden van een e-mail) of wanneer een gebruiker vrijelijk instemt met een doorgifte. Deze uitzonderingen voor niet-structurele doorgiften zijn momenteel gecodificeerd in artikel 49 van de BBPR.
Bovendien erkent de EU-wetgeving dat er situaties kunnen zijn waarin niet-EU-bedrijven een gelijkwaardig niveau van bescherming van persoonsgegevens bieden. In sommige landen is de nationale wetgeving vergelijkbaar met de EU-wetgeving (bijvoorbeeld Zwitserland, Israël, Canada of Japan), en in andere landen kunnen bedrijven zich vrijwillig aan de EU-beginselen houden door civielrechtelijke regelingen te ondertekenen, zoals standaardcontractuele clausules (SCC's), bindende bedrijfsvoorschriften of het EU-VS-privacyschild. Deze laatste rechtsgrondslagen zijn te vinden in de artikelen 46 tot en met 48 van het BBPR en worden grotendeels gebruikt voor situaties die het best kunnen worden omschreven als "outsourcing" van de verwerking van persoonsgegevens door bedrijven naar niet-EU-landen.
Aangezien de VS geen omnibus- of federale privacywetgeving hebben, moeten Amerikaanse bedrijven voor uitbesteding een beroep doen op een van deze contractuele opties in de artikelen 46 tot en met 48 van het GDPR. Voor ondernemingen die onder de Amerikaanse toezichtswetgeving vallen, is het in de praktijk echter onmogelijk om gebruik te maken van deze contractuele mogelijkheden, aangezien de Amerikaanse wetgeving hen verplicht hun verplichtingen uit hoofde van het EU-recht te schenden. Dit probleem vormt de kern van alle zaken tussen de heer Schrems, de Ierse commissaris voor gegevensbescherming (DPC) en Facebook, aangezien Facebook duidelijk onder de toezichtswetten van de VS valt en heeft deelgenomen aan programma's als PRISM, terwijl de ondertekening van SCC's, Safe Harbor en nu Privacy Shield (het besluit over de overdracht van gegevens tussen de EU en de VS ter vervanging van Safe Harbor) tegenstrijdig is.
Eerste verwijzing naar het HJEU in 2013-2015 ("Veilige haven")
Procedure voor de Ierse commissaris voor gegevensbescherming (DPC)
Na de onthullingen van Snowden heeft de heer Schrems (destijds een Oostenrijkse rechtenstudent) een klacht tegen Facebook Ireland Ltd ingediend bij de Ierse commissaris voor gegevensbescherming (DPC). In de klacht werd aangevoerd dat volgens de Beschikking 2000/520/EG betreffende de veilige haven van de EU en de VS (een uitvoerend besluit van de Europese Commissie in 2000) De persoonsgegevens van de heer Schrems mogen niet door Facebook Ireland Ltd (die Facebook-gebruikers buiten de VS en Canada bedient) naar Facebook Inc. worden gestuurd. (de Amerikaanse moedermaatschappij), aangezien Facebook het Amerikaanse National Security Agency toegang moet verlenen tot dergelijke gegevens.
De Ierse gegevensbeschermingsautoriteit verwierp de klacht van de heer Schrems als "lichtzinnig en vexatoir", met het argument dat Facebook zich op het Veiligehavenbesluit baseerde voor het uitvoeren van hun gegevensoverdrachten naar de VS. Volgens de gegevensbeschermingsautoriteit had de Europese Commissie in de beschikking van 2000 (8 jaar voor de goedkeuring van 50 U.S.C. § 1881a) aanvaard dat de Amerikaanse wetgeving adequaat is en dat de gegevensbeschermingsautoriteit absoluut gebonden was aan de beschikking van de Commissie.
Rechterlijke toetsing tegen de gegevensbeschermingsautoriteit
In oktober 2013 diende de heer Schrems een verzoek in tot rechterlijke toetsing van het besluit van de gegevensbeschermingsautoriteit met het argument dat de gegevensbeschermingsautoriteit een "noodclausule" in het Veiligehavenbesluit kon gebruiken om de gegevensoverdracht op te schorten, en dat het Veiligehavenbesluit in ieder geval ongeldig was. In een arrest van 18 oktober 1999 heeft het Hof van Justitie van de Europese Gemeenschappen een uitspraak gedaan over de vraag of het besluit van de gegevensbeschermingscoördinator voor de veiligheid van de zeevaart in overeenstemming is met de bepalingen van de richtlijn. 6. 2014 [2014] IEHC 310 heeft het Ierse Hooggerechtshof de procedure gepauzeerd en de zaak doorverwezen naar het Hof van Justitie van de Europese Unie (HvJEU). Het Ierse High Court was het grotendeels eens met het feit dat er volgens het Amerikaanse recht sprake is van "massatoezicht", maar was van mening dat het geen definitieve beslissing over de zaak van de heer Schrems kon nemen zonder eerst de geldigheid van het Veiligehavenbesluit vast te stellen. Volgens het EU-recht kan alleen het Hof van Justitie van de Europese Unie een uitspraak doen over de geldigheid van EU-besluiten zoals het Veiligehavenbesluit, wat betekent dat het Ierse Hooggerechtshof de zaak moet doorverwijzen naar het Hof van Justitie van de Europese Unie.
Arrest van het Hof van Justitie van de Europese Unie van 6 oktober 2015 (C-362/14)
In een baanbrekend arrest (C-362/14 Schrems) het Hof van Justitie van de Europese Unie heeft het besluit inzake de veilige haven ongeldig verklaard, grotendeels naar aanleiding van de argumenten van de heer Schrems. Het Hof oordeelde dat een derde land zoals de VS een "in wezen gelijkwaardig" beschermingsniveau moet bieden aan het EU-recht en dat "wetgeving die overheidsinstanties toegang verleent op algemene basis" in strijd is met de essentie van het fundamentele recht op privacy van de EU krachtens artikel 7 van het Handvest van de grondrechten van de EU (CFR). Ook het ontbreken van rechtsmiddelen in de VS voor niet-Amerikaanse personen is in strijd met het grondrecht op een rechtsmiddel krachtens artikel 47 van het Handvest van de grondrechten van de EU.
Naar aanleiding van het arrest van het HvJEU heeft het Ierse Hooggerechtshof de procedure voor de Ierse rechtbanken afgesloten, aangezien de gegevensbeschermingsautoriteit heeft toegezegd het besluit van het HvJEU snel te zullen uitvoeren.
Tweede verwijzing naar het HvJEU in 2015-20 (VCA's en privacyschild)
Informatie dat Facebook daadwerkelijk op de SCC's vertrouwde
Tot grote verbazing van de heer Schrems deelde de DPC hem in november 2015 mee dat het arrest van het HvJEU over het besluit inzake de veilige haven niet relevant was voor zijn oorspronkelijke klacht, omdat Facebook in feite altijd had vertrouwd op de zogenaamde "Standard Contractual Clauses" (SCC's) om hun gegevens door te geven. De DPC had deze informatie niet aan de heer Schrems bekendgemaakt, waardoor hij dacht dat Facebook op Safe Harbor had vertrouwd, ondanks het feit dat hij die informatie al in 2013 in een e-mail reactie op de klacht van Facebook had ontvangen.
De heer Schrems heeft zijn klacht dienovereenkomstig geherformuleerd om de SCC's en elke andere rechtsgrond voor gegevensoverdrachten waarop Facebook zich zou kunnen beroepen, op te nemen en heeft de DPC op 1 december 2015 een bijgewerkte klacht voorgelegd. De heer Schrems voerde aan dat de gegevensbeschermingscoördinator artikel 4 van het VCA-besluit moet gebruiken om de doorgifte van gegevens op te schorten, aangezien artikel 4 de gegevensbeschermingscoördinator toestaat de doorgifte van gegevens op te schorten als de fundamentele rechten van de gebruikers worden geschonden.
Rechtszaak door de gegevensbeschermingsautoriteit tegen Facebook en de heer Schrems
In plaats van snel te beslissen over de zaak, heeft de DPC verrassend genoeg een rechtszaak aangespannen tegen Facebook Ireland Ltd en de heer Schrems kort na het begin van het "onderzoek" naar de geherformuleerde klacht waarbij beide partijen betrokken waren. Volgens de gegevensbeschermingsautoriteit waren beide partijen in deze zaak de "natuurlijke verdachten" en moest de gegevensbeschermingsautoriteit het Hooggerechtshof verzoeken om een nieuwe verwijzing naar het Hof van Justitie van de EU. De heer Schrems betwistte de zaak met het argument dat de gegevensbeschermingsautoriteit zich pas voor een tweede maal tot het Hof van Justitie van de EU mag wenden wanneer alle feiten en problemen zijn onderzocht.
Verschillende partijen hebben zich als amicus (neutrale helpers van de rechtbank) bij de zaak aangesloten; de Amerikaanse regering, EPIC.org en twee industriële lobbygroepen hebben zich bij de zaak aangesloten.
In de rechtszaak betoogde de gegevensbeschermingsautoriteit dat zij zich niet alleen aansluit bij het standpunt van de heer Schrems in zijn bezorgdheid over het Amerikaanse toezichtsrecht, maar dat zij zich daarnaast ook ernstig zorgen maakt over de geldigheid van de door Facebook gebruikte SCCs. De gegevensbeschermingscoördinator was van mening dat de SCC's niet voorzien in een rechtmatig mechanisme voor de overdracht van gegevens, indien een derde land zoals de VS wetten heeft aangenomen die in strijd zijn met de SCC's. Facebook en de heer Schrems hadden geen problemen met de SCC's zelf en waren het erover eens dat in een dergelijk geval artikel 4 van het SCC-besluit (EU) 2010/87 een oplossing mogelijk zou maken.
In tegenstelling tot de heer Schrems en de DPC zag Facebook geen probleem met de Amerikaanse toezichtswetten en was hij van mening dat de EU geen bevoegdheid heeft over kwesties van "nationale veiligheid". Facebook baseerde zich ook op het Privacyschildbesluit (EU) 2016/1250 van de Europese Commissie, dat in de plaats kwam van het ongeldige Veiligehavenbesluit. In dit besluit stelde de Europese Commissie vast dat er geen sprake is van een conflict tussen de toezichtswetgeving van de VS en de grondrechten van de EU. Volgens Facebook moet deze bevinding in het besluit over het privacyschild ook gelden voor overdrachten in het kader van de SCC's. De heer Schrems was van mening dat het besluit inzake het privacyschild zelf ongeldig is omdat het een fundamenteel verkeerde voorstelling van zaken geeft van de toezichtswetten van de VS en daarom niet bevoegd is om de VCA's te interpreteren.
Na verschillende procedurele stappen en meer dan vijf weken van hoorzittingen met meerdere deskundige getuigen over de Amerikaanse toezichtswetgeving, erkende het Ierse Hooggerechtshof het bestaan van massasurveillanceprogramma's van de Amerikaanse overheid. In een arrest van 3 oktober 2017 [2017] heeft het Ierse Hooggerechtshof alle feitelijke bevindingen samengevat en benadrukt dat de VS een "massale verwerking" van persoonsgegevens uitvoert, bijvoorbeeld door het volledige internetverkeer te filteren dat door delen van de ruggengraat van het internet stroomt. Op 13 april 2018 heeft het Hof van Justitie elf interpretatieve vragen voorgelegd aan het Hof van Justitie van de Europese Unie om deze vast te stellen. De vragen zijn voor een groot deel opgesteld door de DPC.
Na de verwijzing heeft Facebook zich tot het Ierse Hooggerechtshof gewend in een poging de verwijzing door het Hooggerechtshof tegen te houden, maar het beroep werd uiteindelijk op 31 mei 2019 verworpen.
Procedure voor het Hof van Justitie van de Europese Unie (C-311/18)
Op 30 augustus 2018 moesten de partijen hun schriftelijke opmerkingen indienen.
Op 19 juli 2019 heeft het HvJEU de zaak voor de Grote Kamer (de grootste samenstelling van het Hof, met 15 rechters) gehoord, waarbij de drie partijen, de vier amicus, de Europese Commissie, het Europees Parlement, het Europees Comité voor gegevensbescherming (EDPB) en een groot aantal regeringen van de EU-lidstaten zijn gehoord. De vragen van de rechters hadden met name betrekking op kwesties in verband met de Amerikaanse toezichtswetgeving en de geldigheid van de beslissing over het privacyschild.
Op 19 december 2019 heeft de advocaat-generaal (AG) van het Hof zijn niet-bindende advies uitgebracht over de zaak, waarbij hij zich grotendeels aansloot bij het standpunt van de heer Schrems. Volgens de conclusie zijn de toezichtswetten van de VS onverenigbaar met de grondrechten van de EU, maar de oplossing voor deze onverenigbaarheid ligt in het bevel van de gegevensbeschermingsautoriteit om de doorgifte van gegevens op grond van artikel 4 van de SCC-beschikking op te schorten. Hoewel de AG uitdrukkelijk kritiek had op de Privacy Shield-beschikking, was hij van mening dat de kwestie van de geldigheid ervan geen integrerend deel uitmaakt van de zaak.
De definitieve uitspraak van het Hof van Justitie van de Europese Unie over deze zaken zal op 16 juli 2020 vanaf ongeveer 9.30 uur CET worden gedaan.