Sinds de onthullingen van Snowden weten we dat de VS zich bezighoudt met massasurveillance van EU-gebruikers door persoonlijke gegevens op te halen bij Big Tech in de VS. De "Privacy and Civil Liberties Oversight Board" (PCLOB) is de belangrijkste Amerikaanse toezichthouder voor deze wetten. Amerikaanse media melden nudat Democratische leden van de PCLOB zijn verwijderd en dat hun e-mailaccounts zijn afgesloten. Dit brengt het aantal benoemde leden onder de drempel om de PCLOB te laten functioneren. Het feit dat de president van de VS eenvoudigweg mensen heeft verwijderd uit een (naar verluidt) onafhankelijke autoriteit, doet vragen rijzen over de onafhankelijkheid van alle andere uitvoerende beroepsinstanties in de VS.
De Europese Unie heeft vertrouwd op deze Amerikaanse commissies en tribunalen om te vinden dat de VS "adequate" bescherming van persoonsgegevens biedt. Vertrouwend op de PCLOB en andere mechanismen, staat de EU Commissie toe dat Europese persoonlijke gegevens vrij naar de VS stromen in het zogenaamde "Transatlantic Data Privacy Framework" (TADPF). De PCLOB is het enige relevante "toezichthoudende" element van de overeenkomst. Andere elementen fungeren slechts als beroepsinstanties. Duizenden bedrijven, overheidsinstellingen of scholen in de EU vertrouwen op deze bepalingen. Zonder de TADPF zouden ze onmiddellijk moeten stoppen met het gebruik van Amerikaanse cloudproviders zoals Apple, Google, Microsoft of Amazon.
- Achtergrond bij de saga over gegevensoverdracht tussen de EU en de VS
- TADPF-informatie-PDF door de EU
- TADPF-programmapagina van de Amerikaanse regering
- TADPF-besluit (EU) 2023/1795
- HVJEU: Schrems I en Schrems II
- Verslag over de verwijdering van PCLOB-leden
Het EU-VS-systeem voor gegevensoverdracht - een mix van EU- en VS-wetgeving. In het algemeen verbiedt de EU-wetgeving sinds 1995 het exporteren van persoonsgegevens naar landen buiten de EU, tenzij er een absolute noodzaak is (bijv. bij het versturen van een e-mail naar een niet-EU-land). Gegevens kunnen naar het buitenland worden verzonden als het niet-EU-land een "in wezen gelijkwaardige" bescherming van de persoonsgegevens van Europeanen biedt. De VS daarentegen heeft zeer sterke wetten voor massasurveillance (bijv. FISA702 of EO 12.333), waardoor de Amerikaanse overheid toegang heeft tot alle gegevens die zijn opgeslagen bij Amazon, Meta, Microsoft, Google en elk ander Amerikaans Big Tech bedrijf zonder waarschijnlijke oorzaak of individuele gerechtelijke toestemming. Daarom heeft het Europese Hof van Justitie twee keer geoordeeld(Schrems I en Schrems II) dat de Amerikaanse wet niet "in wezen gelijkwaardig" is. Ursula von der Leyen heeft echter aangedrongen op een derde overeenkomst tussen de EU en de VS, het zogenaamde "Transatlantic Data Privacy Framework" (TADPF).
TADPF is op zand gebouwd. Op 10.7.2023 vaardigde de Europese Commissie Uitvoeringsbesluit (EU) 2023/1795 uit, waarmee het TADPF formeel werd aangenomen. Hierdoor kon elk bedrijf in de EU vrijelijk gegevens overdragen aan Amerikaanse providers, ondanks de Amerikaanse surveillancewetten. De Europese Commissie baseerde zich op (zeer twijfelachtige) uitvoerende orders of brieven van de Amerikaanse regering, waaronder de PCLOB, om vast te stellen dat de VS "in wezen gelijkwaardig" is. Deze elementen zijn echter niet terug te vinden in Amerikaanse wetten en gecodificeerde wetgeving, omdat er in het Amerikaanse Congres geen meerderheid was om dergelijke wetten aan te nemen. Er is lange tijd kritiek geweest op het feit dat de volgende president van de VS deze beschermingen met een pennenstreek om zeep zou kunnen helpen. Dit scenario ligt nu in het verschiet. In haar beslissing noemde de Europese Commissie maar liefst 31 keer de PCLOB om uit te leggen waarom de VS "in wezen gelijkwaardige" bescherming heeft. De PCLOB is de enige algemene "toezichthoudende" instantie die controleert of Amerikaanse diensten zich daadwerkelijk houden aan wetten, bevelen en andere beloften. Andere elementen van de Amerikaanse wetgeving, zoals verschillende verhaalmechanismen, vereisen dat een eiser actief wordt. De VS heeft traditioneel de toegang tot deze organen geblokkeerd via verschillende "staande" regels, waardoor er in principe nooit rechtszaken worden toegelaten. Dit betekent dat de PCLOB het enige relevante toezichtmechanisme is waarop de TADPF zich baseerde.
Max Schrems:"Deze deal was altijd al op zand gebouwd, maar de EU-bedrijfslobby en de Europese Commissie wilden hem toch. In plaats van stabiele wettelijke beperkingen stemde de EU in met uitvoerende beloften die binnen enkele seconden ongedaan kunnen worden gemaakt. Nu de eerste Trump-golven deze deal raken, worden veel bedrijven in de EU al snel in een juridisch ongewisse gebracht. De PCLOB zelf is slechts één puzzelstukje, en zolang deze slechts tijdelijk niet functioneert, is er een argument dat de deal niet slechter is dan voorheen. De richting die dit uitgaat in de eerste week van het presidentschap van Trump ziet er echter niet goed uit. We houden nauwlettend in de gaten of dit een tijdelijk probleem is of dat de PCLOB voorgoed om zeep wordt geholpen."
Onafhankelijkheid van uitvoerende organen in twijfel getrokken. Anders dan gegevensbeschermingsautoriteiten in de EU, zijn de meeste Amerikaanse toezichtsorganen creaties van de uitvoerende macht en dus niet onafhankelijk. Onafhankelijkheid wordt vaak alleen verleend door de president, maar kan op elk moment worden herroepen of terzijde worden geschoven. Veel van deze vreemde juridische concepten zijn het gevolg van het structurele onvermogen om echte wetgeving aan te nemen in de VS. In plaats daarvan worden hele juridische gebieden slechts geregeld door presidentiële bevelen. Het feit dat de president van de VS nu probeert om mensen eenvoudigweg te verwijderen, doet de vraag rijzen of het idee van (zogenaamd) "onafhankelijke" uitvoerende organen vanaf het begin feitelijk wel verdedigbaar was. Veel andere elementen van de TADPF, zoals het Data Protection Review Court hebben nog zwakkere wettelijke bescherming dan de PCLOB.
Max Schrems:"Er waren veel vragen over de onafhankelijkheid van deze toezichtsmechanismen. Helaas lijkt het erop dat ze misschien niet eens de test van alleen de eerste dagen van een Trump-presidentschap zullen doorstaan. Dit is het verschil tussen solide wettelijke bescherming en wishful thinking. De Europese Commissie heeft zich uitsluitend op het laatste gebaseerd."
45 dagen voor volgende crunch point. In een van de eerste Executive Orders die Trump maandag ondertekende, bepaalde hij dat alle nationale veiligheidsbesluiten van Biden (inclusief de relevante besluiten waar de EU-VS-overdrachten op steunen) binnen 45 dagen moeten worden herzien en mogelijk geschrapt. Dit betekent dat verdere elementen waar het TADPF zich op baseerde binnen enkele dagen kunnen instorten. Aangezien de hele deal gebaseerd is op uitvoerende besluiten van Biden, zou Trump alle belangrijke elementen van de deal met één handtekening kunnen schrappen - wat zou leiden tot onmiddellijke illegale gegevensoverdrachten tussen de EU en de VS.
Max Schrems:"Ik kan me nauwelijks voorstellen dat een Uitvoerend Besluit van Biden dat door de EU aan de VS is opgedrongen en dat Amerikaanse spionage in het buitenland reguleert, de 'America First'-logica van Trump zou kunnen overleven. Het probleem is dat niet alleen Amerikaanse Big Tech, maar vooral normale EU-bedrijven allemaal vertrouwen op dit systeem van instabiele executive orders om te beargumenteren dat het gebruik van Amerikaanse cloudsystemen legaal is in de EU."
Commissie manoeuvreert EU-bedrijven naar afgrond. Ondanks alle feiten en kritiek van het Europees Parlement en de EU-autoriteiten voor gegevensbescherming, heeft de Europese Commissie consequent volgehouden dat de TADPF solide en gezond is. De lobby van het EU-bedrijfsleven drong aan op een deal - hoe onstabiel of maf ook. Evenzo wilde Big Tech uit de VS op de EU-markt blijven zonder technische beperkingen met betrekking tot de toegang van de Amerikaanse overheid. Nu kan iedereen, van grote banken en hele nationale schoolsystemen tot veel kleine bedrijven, wakker worden in een juridische situatie waarin het gebruik van Amerikaanse cloudproducten binnenkort illegaal is.
Gegevensoverdracht tussen EU en VS voorlopig legaal - maar bereid je voor. Een besluit van de Amerikaanse regering maakt Amerikaanse gegevensoverdrachten niet meteen illegaal. Het besluit van de Europese Commissie is over het algemeen legaal zolang het in de boeken staat en niet nietig is verklaard door de Commissie zelf of het Hof van Justitie. Dus zelfs als de materiële bevinding onjuist wordt, blijft de beslissing formeel bestaan totdat deze ongedaan wordt gemaakt. Maar als belangrijke elementen waarop de EU zich heeft gebaseerd niet functioneren, zal de EU de overeenkomst nietig moeten verklaren.
Max Schrems: "Hoewel de argumenten voor de overeenkomst tussen de EU en de VS uit elkaar lijken te vallen, kunnen bedrijven op de overeenkomst vertrouwen zolang deze niet formeel nietig wordt verklaard. Gezien de ontwikkelingen in de VS is het voor bedrijven en andere organisaties echter belangrijker dan ooit om een 'host in Europe'-noodplan te hebben."
Europese Commissie in een lastig parket. De Europese Commissie heeft zichzelf in een lastig parket gemanoeuvreerd, niet alleen vanuit geloofwaardigheidsperspectief, maar ook vanuit diplomatiek perspectief. Als ze nu snel reageert en het TADPF nietig verklaart, zal de Amerikaanse tech-oligarchie roepen dat de EU de Amerikaanse Big Tech "belazert". De regering-Trump kan dit als een reden zien om een eerste grote ruzie met de EU te beginnen. Het lijkt echter ook problematisch om geen actie te ondernemen en EU-bedrijven, overheidsinstanties en andere organisaties die gegevens naar de VS sturen, niet officieel te waarschuwen. De toekomst van de TADPF zou wel eens van zeer korte duur kunnen zijn.
EU-versie van het Amerikaanse TikTok-debat? Terwijl de VS lange tijd de Europese angst bagatelliseerde dat persoonlijke gegevens naar de VS zouden stromen en gebruikt zouden worden voor massasurveillance, draaide de VS plotseling bij toen zijn eigen gegevens door TikTok werden verzameld. Aan de ene kant zou een verbod op of een verplichte overname van Amerikaanse Big Tech in Europa juridisch onmogelijk zijn. Amerikaanse bedrijven zouden beschermd zijn tegen de EU die een "TikTok-verbod" uitvaardigt. Tegelijkertijd is de verplichting om EU-gegevens uit de handen van de Amerikaanse overheid te houden al sinds 1995 de standaard onder EU-wetgeving. Het zou ook de wet zijn zodra de Europese Commissie de overeenkomst tussen de EU en de VS annuleert. Big Tech in de VS zou dan hun datacenters in de EU moeten beschermen tegen toegang door hun Amerikaanse moederbedrijven.
