I grund och botten handlar det här fallet om en lagkonflikt mellan USA:s övervakningslagar som kräver övervakning och EU:s dataskyddslagar som kräver integritet.
Sedan 2013 har detta mål om USA:s massövervakning och EU-företag som bidrar till den pågått. Det har varit uppe i irländska High Court och EU-domstolen två gånger och även gjort ett kort besök i irländska Supreme Court. Ärendets historia är i många avseenden unik.
Bakgrund
I grunden handlar det här målet om en lagkonflikt mellan USA:s övervakningslagar som kräver övervakning och EU:s dataskyddslagar som kräver integritet.
Problem: USA:s övervakningslagar
År 2013 avslöjade Edward Snowden att amerikanska underrättelsetjänster har tillgång till europeiska användares personuppgifter med hjälp av övervakningsprogram som PRISM. Denna tillgång underlättades av en amerikansk lag som inte är känd för att användas för att tillåta så omfattande övervakning, kallad 50 U.S.C. §1881a (eller FISA 702). FISA 702 antogs 2008 och innebar en grundläggande utvidgning av de amerikanska myndigheternas möjligheter till övervakning och tillgång till data. Samtidigt med denna utvidgning samlades allt fler personuppgifter in av amerikanska leverantörer av elektroniska kommunikationstjänster (som Apple, Microsoft, Facebook, Google och Yahoo). Sammantaget ledde detta till en alltmer skadlig inverkan på de europeiska användarnas integritet.
Enligt FISA 702 kan amerikanska "leverantörer av elektroniska kommunikationstjänster" (enligt definitionen i 50 U.S.C. §1881(4)) tvingas att ge amerikanska säkerhetsmyndigheter tillgång till personuppgifter om "icke-amerikanska personer", vilket definieras som alla som inte är amerikanska medborgare eller permanent bosatta i USA. Övervakningsorderna enligt denna lag behöver inte vara specifika för ett enskilt mål, utan tillåter snarare ett heltäckande övervakningsprogram som PRISM eller Upstream. Det finns inget individualiserat rättsligt godkännande för personer som inte är amerikanska medborgare. FISA 702 tillåter också övervakning för ganska breda syften, såsom "information som ... rör ... USA:s utrikespolitik"(se 50 U.S.C. §1801(e)).
Det finns också amerikanska övervakningsbefogenheter som baseras på "den amerikanska presidentens inneboende makt" och som definieras ytterligare i en verkställande order(EO 12.333), medan andra delar beskrivs i Presidential Policy Directive 28(PPD-28). Båda är interna order inom den verkställande makten som inte skapar några skyldigheter eller rättigheter för privata enheter, men som möjliggör övervakning av icke-amerikanska personer.
I de dokument som Edward Snowden avslöjade listades ett antal amerikanska företag som tillhandahåller data till den amerikanska regeringen för övervakningsprogram som PRISM eller Upstream enligt dessa bestämmelser, däribland Apple, Microsoft, Facebook, Google och Yahoo.
Reaktion: GDPR begränsar dataöverföringar
Den europeiska integritetslagstiftningen (tidigare direktiv 95/46 och nu GDPR) bygger på idén om ett fritt flöde av personuppgifter, men endast inom en sfär som skyddar användarnas integritet. Om personuppgifter endast skyddades inom EU men kunde överföras utanför EU:s jurisdiktion utan några begränsningar, skulle den höga skyddsnivå för personuppgifter som krävs inom EU lätt kunna undergrävas.
EU-lagstiftningen har dock alltid samtidigt föreskrivit undantag från denna princip om begränsning av överföringar, t.ex. när personuppgifter nödvändigtvis måste överföras (t.ex. när man bokar en tjänst utomlands eller när man skickar ett e-postmeddelande) eller när en användare frivilligt samtycker till en överföring. Dessa undantag för icke-strukturella överföringar är för närvarande kodifierade i artikel 49 i GDPR.
Dessutom erkänner EU-lagstiftningen att det kan finnas situationer där företag utanför EU tillhandahåller en likvärdig skyddsnivå för personuppgifter. I vissa länder liknar den nationella lagstiftningen EU-lagstiftningen (t.ex. Schweiz, Israel, Kanada eller Japan), och i andra länder kan företag frivilligt förbinda sig att följa EU:s principer genom att underteckna civilrättsliga avtal, t.ex. standardavtalsklausuler, bindande företagsregler eller EU-US Privacy Shield. De sistnämnda rättsliga grunderna återfinns i artiklarna 46-48 i GDPR och används i stor utsträckning i situationer som bäst beskrivs som "outsourcing" av företags behandling av personuppgifter till länder utanför EU.
Eftersom USA inte har någon omnibuslag eller federal integritetslag måste amerikanska företag förlita sig på något av dessa avtalsalternativ i artiklarna 46-48 i GDPR för outsourcing. För företag som omfattas av amerikansk övervakningslagstiftning är det dock omöjligt i praktiken att använda dessa avtalsalternativ, eftersom amerikansk lagstiftning kräver att de bryter mot sina skyldigheter enligt EU-lagstiftningen. Detta problem är kärnan i alla ärenden mellan Schrems, den irländska dataskyddsmyndigheten och Facebook, eftersom Facebook helt klart omfattas av USA:s övervakningslagar och deltog i program som PRISM, samtidigt som företaget motsägelsefullt undertecknade SCC, Safe Harbor och nu Privacy Shield (beslutet om dataöverföring mellan EU och USA som ersätter Safe Harbor).
Första hänskjutandet till EU-domstolen 2013-2015 ("Safe Harbor")
Förfarande inför den irländska dataskyddskommissionären (DPC)
Efter Snowdens avslöjanden lämnade Schrems (som då var en österrikisk juriststudent) in ett klagomål mot Facebook Ireland Ltd till den irländska dataskyddsmyndigheten (DPC). I klagomålet hävdades att enligt Safe Harbor-beslutet mellan EU och USA 2000/520/EG (ett verkställande beslut som fattades av Europeiska kommissionen år 2000) får Schrems personuppgifter inte skickas från Facebook Ireland Ltd (som betjänar Facebook-användare utanför USA och Kanada) till Facebook Inc (det amerikanska moderbolaget), eftersom Facebook måste ge den amerikanska säkerhetsmyndigheten tillgång till sådana uppgifter.
Den irländska dataskyddsmyndigheten avvisade Schrems klagomål som "oseriöst och obefogat" och hävdade att Facebook förlitade sig på Safe Harbor-beslutet för att genomföra sina dataöverföringar till USA. Enligt DPC:s uppfattning hade Europeiska kommissionen godtagit att amerikansk lag är adekvat i beslutet från 2000 (8 år innan 50 U.S.C. § 1881a antogs) och att DPC var absolut bundet av kommissionens beslut.
Domstolsprövning mot DPC
I oktober 2013 ansökte Schrems om rättslig prövning av DPC:s beslut och hävdade att DPC kunde använda sig av en "nödklausul" i Safe Harbor-beslutet för att avbryta dataöverföringen och att Safe Harbor-beslutet under alla omständigheter var ogiltigt. I en dom av den 18. 6. 2014 [2014] IEHC 310, avbröt Irish High Court förfarandet och hänsköt målet till Europeiska unionens domstol (EU-domstolen). Irish High Court var i stort sett enig om att det föreligger "massövervakning" enligt amerikansk rätt, men ansåg att den inte kunde fatta ett slutligt beslut i Schrems fall utan att först pröva Safe Harbor-beslutets giltighet. Enligt EU-rätten är det endast EU-domstolen som kan avgöra giltigheten av EU-rättsakter såsom Safe Harbor-beslutet, vilket innebar att den irländska High Court var tvungen att hänskjuta målet till EU-domstolen.
EU-domstolens dom av den 6 oktober 2015 (C-362/14)
I en banbrytande dom (C-362/14 Schrems) förklarade EU-domstolen Safe Harbor-beslutet ogiltigt, i stort sett i enlighet med Schrems argument. Domstolen ansåg att ett tredjeland som USA måste tillhandahålla en skyddsnivå som är"väsentligen likvärdig" med den som föreskrivs i EU-rätten och att"lagstiftning som tillåter offentliga myndigheter att få tillgång till uppgifter på allmän basis" kränkte kärnan i EU:s grundläggande rätt till privatliv enligt artikel 7 i EU:s stadga om degrundläggande rättigheterna. På samma sätt kränker avsaknaden av rättslig prövning i USA för personer som inte är medborgare i USA den grundläggande rätten till domstolsprövning enligt artikel 47 i CFR.
Efter EU-domstolens dom avslutade Irish High Court förfarandet vid de irländska domstolarna, eftersom DPC lovat att snabbt genomföra EU-domstolens beslut.
Andra hänvisningen till EU-domstolen under 2015-20 (SCC och Privacy Shield)
Information om att Facebook faktiskt förlitade sig på SCC
Till Schrems stora förvåning informerade DPC honom i november 2015 om att EU-domstolens dom avseende Safe Harbor-beslutet var irrelevant för hans ursprungliga klagomål, eftersom Facebook i själva verket alltid hade förlitat sig på de så kallade "Standard Contractual Clauses" (SCC) för att göra sina dataöverföringar. DPC hade inte lämnat ut denna information till Schrems, vilket fick honom att tro att Facebook hade förlitat sig på Safe Harbor, trots att han fått denna information från Facebook redan i ett e-postsvar på klagomålet 2013.
Schrems omformulerade därför sitt klagomål så att det nu omfattade SCC och varje annan rättslig grund för överföring av uppgifter som Facebook kunde åberopa och lämnade ett uppdaterat klagomål till DPC den 1 december 2015. Schrems hävdade att DPC borde använda artikel 4 i SCC-beslutet för att avbryta överföringar, eftersom artikel 4 ger DPC möjlighet att avbryta dataöverföringar om användarnas grundläggande rättigheter kränks.
DPC:s stämningsansökan mot Facebook och Schrems
I stället för att snabbt avgöra ärendet lämnade DPC överraskande in en stämningsansökan mot Facebook Ireland Ltd och Schrems kort efter att ha inlett sin "undersökning" av det omformulerade klagomålet som involverade de två parterna. Enligt DPC:s uppfattning var de två parterna de "naturliga svarandena" i detta mål och DPC tvingades uppmana High Court att göra en ny hänskjutning till EU-domstolen. Schrems har bestritt målet och hävdat att DPC endast kan hänskjuta målet till EU-domstolen en andra gång när alla fakta och frågor har utretts.
Flera parter har ansökt om att få ansluta sig som amicus (neutrala hjälpare till domstolen) till målet; den amerikanska regeringen, EPIC.org och två industrilobbygrupper anslöt sig till det.
I stämningsansökan hävdade DPC att man inte bara skulle instämma i Schrems oro över USA:s övervakningslagar, utan att man därutöver hade allvarliga betänkligheter över giltigheten av de SCC som Facebook använder. DPC ansåg att SCC inte tillhandahåller en laglig mekanism för att överföra data om ett tredjeland som USA har antagit lagar som strider mot SCC. Facebook och Schrems hade inget att invända mot SCC i sig och var överens om att artikel 4 i SCC-beslutet (EU) 2010/87 i ett sådant fall skulle möjliggöra en lösning.
I motsats till Schrems och DPC såg Facebook inga problem med USA:s övervakningslagar och ansåg att EU inte har jurisdiktion över frågor som rör "nationell säkerhet". Facebook åberopade också Europeiska kommissionens beslut (EU) 2016/1250 om Privacy Shield, som ersatte det ogiltigförklarade Safe Harbor-beslutet. I detta beslut konstaterade EU-kommissionen att det inte finns någon konflikt mellan USA:s övervakningslagar och EU:s grundläggande rättigheter. Enligt Facebook måste denna slutsats i Privacy Shield-beslutet även gälla för överföringar enligt SCC. Schrems ansåg att Privacy Shield-beslutet i sig är ogiltigt eftersom det i grunden ger en felaktig bild av USA:s övervakningslagar och därför inte kan ligga till grund för en tolkning av SCC.
Efter flera processuella steg och mer än fem veckors utfrågningar med flera expertvittnen om amerikansk övervakningslagstiftning erkände den irländska High Court förekomsten av amerikanska myndigheters massövervakningsprogram. I en dom av den 3 oktober 2017 [2017] IEHC 545 sammanfattade den irländska High Court alla faktiska omständigheter och framhöll att USA genomför "massbehandling" av personuppgifter, t.ex. genom att filtrera hela den internettrafik som flödar genom delar av internets ryggrad. Den 13 april 2018 hänsköt domstolen elva tolkningsfrågor till EU-domstolen för avgörande. Frågorna var till stor del utarbetade av DPC.
Efter hänvisningen vände sig Facebook till Irish Supreme Court i ett försök att stoppa High Courts hänvisning, men överklagandet avslogs slutligen den 31 maj 2019.
Förfarandet vid EU-domstolen (C-311/18)
Den 30 augusti 2018 skulle parterna ha inkommit med skriftliga yttranden.
Den 19 juli 2019 prövade EU-domstolen målet i stor avdelning (domstolens största sammansättning med 15 domare) och hörde de tre parterna, de fyra amicus, Europeiska kommissionen, Europaparlamentet, Europeiska dataskyddsstyrelsen (EDPB) och ett stort antal regeringar i EU:s medlemsstater. Domarnas frågor var särskilt inriktade på frågor som rörde USA:s övervakningslagar och giltigheten av Privacy Shield-beslutet.
Den 19 december 2019 lämnade domstolens generaladvokat sitt icke-bindande förslag till avgörande i målet och anslöt sig i stort sett till Schrems ståndpunkt. Enligt yttrandet är USA:s övervakningslagar oförenliga med EU:s grundläggande rättigheter, men lösningen på oförenligheten ligger i att DPC beordrar att dataöverföringarna ska avbrytas enligt artikel 4 i SCC:s beslut. Även om AG uttryckligen kritiserade Privacy Shield-beslutet ansåg han att frågan om dess giltighet inte utgör en integrerad del av målet.
Den 16 juli 2020 meddelade EU-domstolen sitt beslut "Schrems II", i vilket den helt gick på den klagandes linje, ogiltigförklarade "Privacy Shield"-beslutet, krävde att DPC måste stoppa dataöverföringarna och slog fast att USA:s övervakningslagar strider mot artikel 7 (rätten till privatliv), 8 (rätten till dataskydd) och 47 (rätten till prövning) i Europeiska unionens stadga om de grundläggande rättigheterna.