Dataskyddsmyndigheter måste stoppa dataöverföringar om grundläggande rättigheter kränks.
Allvarliga tvivel om Privacy Shield. Generaladvokaten tillämpar Europakonventionen i stället för CFR.
Schrems: "Yttrandet följer nästan alla våra argument"
Max Schrems (ordförande för noyb.eu och part i målet) första reaktion på generaladvokatens förslag till avgörande: "Jag är generellt sett glad över generaladvokatens förslag till avgörande. Yttrandet ligger i linje med våra juridiska argument. Detta är ett hårt slag mot den irländska dataskyddsmyndigheten och Facebook samt ett mycket viktigt steg för användarnas integritet. Detsomär ett problem är att generaladvokaten föreslår en lägre nivå av integritetsskydd för "nationell säkerhet" enligt Europakonventionen, inte EU:s stadga om de grundläggande rättigheterna."
Allvarliga tvivel om Privacy Shield. En fråga som delvis berördes av de elva frågorna från den irländska högsta domstolen var vilken roll det nya avtalet om dataöverföring mellan EU och USA, kallat "Privacy Shield", spelar. Schrems uttryckte allvarliga farhågor om giltigheten av Privacy Shield, som nu upprepas av generaladvokaten. Schrems: "Efter "Safe Harbor"-domen antog Europeiska kommissionen medvetet ett ogiltigt beslut igen - i vetskap om att det kommer att ta två eller tre år innan domstolen får möjlighet att ogiltigförklara det en andra gång. Det ska bli mycket intressant att se om domstolen kommer att ta upp denna fråga i sitt slutliga beslut eller vänta på att ett annat mål ska nå domstolen."
Schrems: "Jag är också mycket glad över att AG har intagit en tydlig ståndpunkt i fråga om Privacy Shield Ombudsperson. En ren 'postlåda' på USA:s utrikesdepartement kan omöjligen ersätta en domstol, vilket krävs enligt domstolens första dom." Med tanke på att ombudsmannen är den centrala pelaren i "Privacy Shield"-systemet är det svårt att förstå varför AG inte sa det uppenbara, nämligen att Privacy Shield inte ger ett tillräckligt skydd för EU-uppgifter och därför måste ogiltigförklaras.
AG: DPC bör göra sitt jobb. I mer än sex år har Schrems och noyb försökt få den irländska dataskyddskommissionären (DPC) att vidta riktade åtgärder mot Facebook med anledning av NSA:s spionskandal, men DPC har hittat oändliga skäl att inte tillämpa lagen. Schrems: "Generaladvokaten säger nu återigen till den irländska dataskyddsmyndigheten att den bara ska göra sitt jobb."
Det är mycket möjligt att dataskyddsmyndigheten också måste stå för rättegångskostnaderna för hela detta fall, som kan uppgå till 10 miljoner euro. Schrems: "De irländska skattebetalarna kan trots allt bli tvungna att betala upp till 10 miljoner euro i rättegångskostnader för att dataskyddsmyndigheten fördröjt ärendet i Facebooks intresse."
Myndigheter har skyldighet att agera. Ett annat mycket viktigt inslag är att generaladvokaten klargör att dataskyddsmyndigheterna har en lagstadgad skyldighet att vidta åtgärder. Schrems: "Förnärvarande ärdet många dataskyddsmyndigheter som helt enkelt tittar åt andra hållet när de får rapporter om överträdelser eller helt enkelt inte hanterar klagomål. Detta är ett stort steg för efterlevnaden av GDPR."
SCC kan stanna kvar. Generaladvokaten delade inte DPC:s uppfattning att SCC:erna skulle ogiltigförklaras globalt. Alla andra parter i förfarandet (inklusive Schrems) har inte uttryckt någon oro över SCC:erna. Generaladvokaten förklarade för DPC att SCC har en inbyggd s.k. "tryckventil" (artikel 4 SCC) som gör det möjligt för DPC att avbryta dataflöden närhelst det finns ett problem med amerikansk lag. Schrems: "Yttrandet klargör att DPC har lösningen på det här fallet i sina egna händer: Hon kan beordra Facebook att stoppa överföringarna i morgon. Istället vände hon sig till EU-domstolen för att ogiltigförklara hela systemet. Det är som att ropa på den europeiska brandkåren, eftersom man inte vet hur man själv ska blåsa ut ett ljus."
AG tillämpar sekretessprövning utanför EU. I Europa finns det två organ för grundläggande rättigheter: För det första Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som har varit i kraft sedan 1953 och omfattar 47 länder, däribland alla EU:s medlemsländer, men även Ryssland och Turkiet. För det andra stadgan om de grundläggande rättigheterna (CFR) från 2000, som endast gäller inom EU och som i allmänhet garanterar en högre skyddsnivå. EU har inte anslutit sig till Europakonventionen. AG tillämpar nu den mycket lägre standarden enligt Europakonventionen, trots att EU-domstolen har tillämpat stadgan om de grundläggande rättigheterna i den första domen i detta mål.
Schrems: "Överraskande nog följer yttrandet den extremt övervakningsvänliga rättspraxisen enligt Europakonventionen, som EU inte ens har anslutit sig till, i stället för EU-domstolens tydliga rättspraxis. Detta strider mot all logik och mot domstolens tidigare rättspraxis. AG har tidigare haft en mer "avslappnad" inställning till övervakningsärenden än domstolen. Jag är tveksam till att domarna kommer att ansluta sig till den uppfattningen."
Inget slut på datakonflikten mellan USA och EU. Fallet i sig kan inte överbrygga den djupare konflikten mellan EU:s och USA:s lagstiftning. Schrems: "På lång sikt hoppas jag att den amerikanska lagstiftaren kommer att inse att ingen utländsk kund kommer att lita på den amerikanska industrin om det inte finns något starkt integritetsskydd i USA. Man kan inte säga 'anförtro oss alla dina uppgifter, men i själva verket har du inga rättigheter'." USA har liknande farhågor när det gäller kinesisk 5G-hårdvara från Huawei eller appar som TikTok.
Praktisk inverkan: Mer integritet för EU:s konsumenter, stora problem för vissa amerikanska företag. Om domstolen följer dagens yttrande och tillämpar ett "målinriktat tillvägagångssätt" skulle det inte få någon inverkan på de flesta dataöverföringar inom EU. EU:s dataskyddsmyndigheter kan dock stoppa överföringar till amerikanska företag som omfattas av FISA 702 ("leverantörer av elektroniska kommunikationstjänster"). Detta inkluderar företag som Facebook, Google, Microsoft, Amazon Web Services eller Yahoo.
Schrems: "Alla kommer fortfarande att kunna ha alla nödvändiga dataflöden med USA, som att skicka e-post eller boka ett hotell i USA. Vissa EU-företag kommer kanske inte längre att kunna använda vissa amerikanska leverantörer för outsourcing, eftersom USA:s övervakningslagar kräver att dessa företag lämnar ut uppgifter till NSA. Detta är också ett ekonomiskt problem för USA, eftersom utländska intäkter kommer att gå någon annanstans. Det är verkligen USA:s uppgift att se till att utlänningar har ett grundläggande integritetsskydd. Annars kommer ingen att anförtro amerikanska företag sina uppgifter."
noyb.eu Fallet stöds av den europeiska icke-vinstdrivande organisationen noyb.eunoyb. eu finansieras av mer än 3 000 stödjande medlemmar och arbetar med strategiska rättstvister för att genomdriva den grundläggande rätten till dataskydd i praktiken.
Schrems har drivit målet på pro bono-basis och får stöd av ett team av jurister från Irland, USA och Luxemburg. Schrems företräds av Eoin McCullhan, som anlitats av Ahern Rudden Quigley Solicitors. Prof. Herwig Hofmann stödde målet i europarättsliga frågor. Ashley Gorski från American Civil Liberties Union (ACLU.org) har bistått som expertvittne om amerikansk övervakningslagstiftning.
Ytterligare information
noyb.eu Kolla på @noybeu och @maxschrems för fler uppdateringar
+43 660 2678622; media@noyb.eu
Irland: Gerard Rudden Gerard Rudden, ARQ Solicitors ( företräder Schrems)
+353 1 661 6102; gerard.rudden@arqsolicitors.com
Om amerikansk lagstiftning: Ashley Gorski, ACLU; media@aclu.org
