Maandag heeft het Amerikaanse Hooggerechtshof in de zaak Trump v. Slaughter beslist dat de Amerikaanse Federal Trade Commission („FTC”) mogelijk niet langer onafhankelijk is. Sinds 2000 vertrouwt de EU op de „onafhankelijke” FTC als handhavingsinstantie van de EU-VS-overeenkomsten inzake persoonsgegevens. Volgens het EU-verdragsrecht moet een dergelijk toezicht onafhankelijk zijn. In de huidige overeenkomst tussen de EU en de VS verwijst de Europese Commissie maar liefst 259 (!) keer naar de onafhankelijke FTC. Max Schrems: “Aangezien er in de VS geen onafhankelijke autoriteiten meer zijn, roepen we de Europese Commissie op om het adequaatheidsbesluit inzake de VS op ordelijke wijze in te trekken.”
- Uitvoeringsbesluit EU 2023/1795 van de Commissie betreffende het EU-VS-kader voor gegevensbescherming (EUR-Lex)
- Uitspraak van het Hooggerechtshof van de VS in de zaak Trump tegen Slaughter
- noyb Brief aan de Europese Commissie
Het EU-VS-kader voor gegevensbescherming. Sinds 1995 verbiedt de EU in het algemeen de export van persoonsgegevens naar derde landen, om te waarborgen dat de EU-privacyregels niet kunnen worden omzeild door gegevens simpelweg naar het buitenland te sturen. Hoewel er uitzonderingen gelden voor noodzakelijke doorgiften – variërend van het boeken van een hotel tot complexe transacties – hebben veel EU-bedrijven de verwerking van persoonsgegevens simpelweg uitbesteed aan Amerikaanse cloudproviders. Sinds 2000 heeft de Europese Commissie herhaaldelijk aanvaard dat de VS een „adequaat“ land is wat betreft de bescherming van persoonsgegevens – waardoor een vrije gegevensstroom tussen de EU en de VS mogelijk werd. Het Europees Hof van Justitie (EHvJ) heeft de twee eerdere besluiten van de Commissie in de zogenaamde „Schrems I”-arrest (waarmee „Safe Harbour“ ten val werd gebracht) en “Schrems II” (waardoor het “Privacy Shield” ten val kwam), vanwege de Amerikaanse surveillancewetten en het gebrek aan rechtsmiddelen in de VS. Desondanks heeft de Europese Commissie in 2023 een derde overeenkomst tussen de EU en de VS gesloten, genaamd het “EU-VS-kader voor gegevensbescherming”, dat grotendeels een kopie was van de eerder nietig verklaarde overeenkomsten.
EU-vereiste voor een onafhankelijke gegevensbeschermingsautoriteit. EU-verdragsrecht(dus het „constitutionele“ kader van de EU), namelijk artikel 16, lid 2, VWEU en artikel 8, lid 3, van het Handvest van de grondrechten, vereist dat het toezicht op gegevensbeschermingskwesties wordt uitgeoefend door een „onafhankelijke“ autoriteit. Aangezien derde landen over „in wezen gelijkwaardige“ beschermingsmaatregelen moeten beschikken, is het noodzakelijk dat elk derde land dat wil profiteren van het vrije verkeer van persoonsgegevens vanuit de EU, ook dergelijke beschermingsmaatregelen biedt. Tot nu toe hebben de VS de „onafhankelijke“ FTC aangewezen als Amerikaanse toezichthouder op het gebied van privacy om te voldoen aan de EU-eis van onafhankelijk toezicht. De EU heeft op haar beurt maar liefst 259 (!) keer een beroep gedaan op de FTC in haar besluit over de gegevensstroom tussen de EU en de VS.
Max Schrems: „Cruciaal is dat het constitutionele kader van de EU onafhankelijk toezicht vereist. De enige manier om dit te veranderen zou een unanieme stemming van alle EU-lidstaten zijn om de EU-verdragen te wijzigen.”
De eis van een onafhankelijke rechterlijke instantie. Bovendienbenadrukte het Hof van Justitie van de Europese Unie (CJEU) ook dat de VS een onafhankelijk rechtsmiddel zouden moeten bieden in zaken betreffende overheidssurveillance. Omdat de VS er niet in slaagden relevante wetgeving aan te nemen, heeft de regering-Biden een „Data Protection Review Court”. Hoewel het een „rechtbank“ wordt genoemd, is het in feite een uitvoerend orgaan binnen het Amerikaanse ministerie van Justitie. Het is alleen „onafhankelijk“ via een uitvoeringsbesluit (EO) van voormalig president Biden, dat op elk moment door Trump kan worden gewijzigd en niet bindend is voor de president.
Het „Slaughter“-arrest: unitair (Trump) uitvoerend gezag. Ineen ommezwaai van 180° ten opzichte van de jurisprudentie heeft de conservatieve meerderheid in het Amerikaanse Hooggerechtshof nu beslist dat de onafhankelijkheid van de FTC ongrondwettelijk is. Dit volgt uit een „unitaire“ theorie, volgens welke de Amerikaanse president zeggenschap moet hebben over alle Amerikaanse uitvoerende organen moet hebben, en heeft alle Amerikaanse wetten die verschillende instanties onafhankelijk maken, ongrondwettelijk verklaard. Aangezien de EU in bijna alle gevallen vertrouwde op de „onafhankelijkheid“ van de FTC als toezichthouder op het gebied van privacy, is de gehele structuur van het EU-VS-kader voor gegevensbescherming zojuist ingestort.
Max Schrems: „Zelfs volgens de logica van de Europese Commissie is de basis voor elke overeenkomst inzake gegevensoverdracht tussen de EU en de VS verdwenen. We roepen de Commissie op om een ordelijke uitstap uit de Amerikaanse cloud in gang te zetten – wat niet eenvoudig is, maar helaas onvermijdelijk. De Commissie heeft onder druk van de industrie een juridisch kaartenhuis gebouwd; nu dat duidelijk instort, moet zij haar verantwoordelijkheid nemen.”
De gevolgen zijn niet onbeperkt. Zelfsals alle grondslagen van het besluit van de Europese Commissie zijn weggevallen, blijft het besluit formeel van kracht totdat de Europese Commissie het intrekt of het Hof van Justitie het nietig verklaart. Er is dus geen onmiddellijk effect. De AVG regelde bovendien alleen de doorgifte van persoonsgegevens. Niet-persoonsgegevens kunnen vrij blijven stromen. Verder artikel 49 van de AVG noodzakelijke gegevensoverdrachten naar elk derde land toe. Het staat echter niet toe om gegevens structureel vanuit de EU naar het buitenland te verplaatsen, als dit niet strikt noodzakelijk is.
Ook de standaardcontractbepalingen (SCC’s) en bindende bedrijfsregels (BCR’s) worden hierdoor beïnvloed. Hoewel sommige bedrijven misschien niet rechtstreeks vertrouwen op het EU-VS-kader en in plaats daarvan formeel gebruikmaken van SCC’s en BCR’s, baseren zij zich doorgaans ook op een „effectbeoordeling“ die op haar beurt weer steunt op voorheen onafhankelijke Amerikaanse uitvoerende instanties, zoals de PCLOB of de Data Protection Review Court. De uitspraak van het Hooggerechtshof heeft daarom doorgaans ook gevolgen voor hen, zelfs als zij niet op de FTC vertrouwen. In tegenstelling tot verwerkingsverantwoordelijken die zich baseren op een formeel besluit van de Commissie, moeten zij hun beoordeling onmiddellijk bijwerken – en logischerwijs tot de conclusie komen dat gegevensoverdrachten niet langer rechtmatig zijn.
Volgende stappen: de Commissie moet de EU-VS-overeenkomst intrekken. noyb heeft een formele brief aan de Europese Commissie , waarin de Commissie wordt verzocht de nodige stappen te ondernemen om de EU-VS-gegevensovereenkomst op een ordelijke manier in te trekken. Politiek gezien hebben veel EU-lidstaten al stappen gezet in de richting van een benadering van „digitale soevereiniteit“ en verklaard zich los te koppelen van Amerikaanse dienstverleners. Ook sommige Amerikaanse dienstverleners zetten stappen in de richting van een afzonderlijke gegevensverwerking voor de EU. Aangezien de VS echter nog steeds enorme druk uitoefenen op de EU om de stroom van persoonsgegevens in stand te houden, zal noyb zal de komende weken ook een rechtszaak aanspannen, met als doel het Hof van Justitie van de Europese Unie (CJEU) in staat te stellen de huidige overeenkomst nietig te verklaren. Een dergelijke rechtszaak duurt echter doorgaans 2 tot 3 jaar voordat er een definitieve uitspraak wordt gedaan.
