Verklaring van Max Schrems een jaar na het "Schrems II"-arrest van het Hof van Justitie van de Europese Unie
Een jaar geleden werd het zogenoemde "Schrems II"-arrest baanbrekend genoemd, hoewel het de tweede keer was dat het HvJEU gegevensoverdrachten tussen de EU en de VS onwettig verklaarde - op basis van EU-wetgeving die in feite al sinds 1995 bestaat. Het afgelopen jaar lijken de betrokken partijen zich vooral bezig te hebben gehouden met afleidingsmanoeuvres en vingerwijzen, waarbij zij de verantwoordelijkheid op elkaar hebben afgeschoven.
Slechts een fractie van de Europese bedrijven heeft ingezien dat het onderliggende conflict tussen de gegevensbescherming in de EU en de overlevingswetgeving in de VS niet op korte termijn zal worden opgelost, en is overgestapt op het onderbrengen van persoonsgegevens in Europa of andere veilige regio's, in plaats van zich bezig te houden met een eindeloze nalevingsnachtmerrie over de wetgeving in de VS. Andere Europese bedrijven klagen regelmatig over een gebrek aan "richtsnoeren", ondanks twee duidelijke arresten. Wanneer er richtsnoeren worden gegeven, zoals de recente EDPB-richtsnoeren, voeren velen aan dat het "onrealistisch" is om de voorschriften van de wet te volgen.
Een horde juristen uit de sector en Amerikaanse cloud providers probeerden deze leemte op te vullen met "keep calm and carry on" pseuo-richtlijnen en ontwikkelden het afgelopen jaar in toenemende mate grove juridische theorieën. Deze variëren van het bestaan van een "risicogebaseerde aanpak" (die niet aanwezig is in het relevante deel van de GDPR) tot de suggestie van niet-functionele "aanvullende maatregelen" (zoals het hebben van hekken rond datacentra). In plaats van te investeren in veilige IT-systemen, investeren deze belanghebbenden uit de particuliere sector in PR-inspanningen die de naleving van de GDPR veinzen. Het zal interessant zijn om te zien of bedrijven en klanten in de EU compensatie zullen eisen als blijkt dat deze beloften niet meer dan lucht blijken te zijn.
De gegevensbeschermingsautoriteiten hebben grotendeels een afwachtende houding aangenomen. Op enkele uitzonderingen na hebben de gegevensbeschermingsautoriteiten tot dusver geen onderzoeken ingesteld of beslissingen genomen. Van de 101 modelklachten die noyb na het arrest heeft ingediend, is er nog geen enkele afgehandeld, ondanks de oprichting van een taskforce door de gegevensbeschermingsautoriteiten. De oorspronkelijke klacht over Facebook, die in 2013 werd ingediend, liep vertraging op door een onnodig tweede onderzoek door de Ierse gegevensbeschermingscommissie, waardoor noyb nog een rechtszaak tegen de gegevensbeschermingsautoriteit moest aanspannen, die in januari 2021 werd geschikt. We verwachten nu snel beslissingen.
De Europese Commissie vertroebelt de wateren door nieuwe doorgifte-instrumenten uit te vaardigen, zoals"standaardcontractbepalingen", die een duidelijke zeggenschap over de doorgifte tussen de EU en de VS zorgvuldig omzeilen en advocaten uit de sector in staat stellen nieuwe nalevingstheorieën te blijven spinnen en langetermijnoplossingen te vermijden. Terzelfder tijd lijkt de Commissie niet te geloven in een tijdige oplossing met de VS.
In tegenstelling tot haar Europese tegenhanger kondigt de regering van de VS met genoegen regelmatig vermeende "vooruitgang" aan in de onderhandelingen over een nieuwe overeenkomst. Er lijkt echter weinig of geen animo te zijn om het probleem bij de wortel aan te pakken: de buitensporige toezichtwetten van de VS. Tenzij de Amerikaanse industrie in Washington zwaar lobbyt om de bescherming van buitenlandse klanten te verbeteren, is het onwaarschijnlijk dat de Amerikaanse surveillancewetten zullen veranderen. In gesprekken die ik heb gevoerd, was de Amerikaanse industrie vrij duidelijk: zonder de dreiging van een strenge handhaving in de EU of een massale uittocht van EU-klanten zal de Amerikaanse industrie haar politieke kapitaal in Washington niet besteden aan de strijd voor privacybescherming voor buitenlanders.
De situatie komt ontegensprekelijk neer op een cirkel van spelers die grotendeels stilstaan. Aan de andere kant, als een van deze spelers in beweging komt, kan dat snel een domino-effect teweegbrengen in de richting van een oplossing op lange termijn.
Persoonlijk ben ik van mening dat een langetermijnoplossing alleen kan bestaan in een of andere vorm van "no spy"-overeenkomst tussen democratische landen die het mensenrecht op privacy van gebruikers beschermt, ongeacht locatie en nationaliteit. We komen er misschien niet binnen een paar maanden, maar mogelijk wel binnen tien jaar, aangezien een wereldwijd internet wereldwijde bescherming nodig heeft om te kunnen functioneren zoals gebruikers en bedrijven dat wensen.
Het noyb-team en vele anderen zullen blijven werken aan zo'n langetermijnoplossing.
Max Schrems