Europeiska kommissionen ger dataöverföringar mellan EU och USA en tredje omgång i EU-domstolen

Nytt transatlantiskt ramverk för dataskydd i stort sett en kopia av "Privacy Shield". noyb kommer att utmana beslutet.

Europeiska kommissionens tredje försök att få till stånd ett stabilt avtal om dataöverföringar mellan EU och USA kommer sannolikt att återföras till EU-domstolen inom några månader. Det påstått "nya" transatlantiska ramverket för dataskydd är i stort sett en kopia av den misslyckade "Privacy Shield". Trots EU-kommissionens PR-insatser har det inte skett någon större förändring i amerikansk lagstiftning eller i EU:s förhållningssätt. Det grundläggande problemet med FISA 702 togs inte upp av USA, eftersom USA fortfarande anser att endast amerikanska personer är värda konstitutionella rättigheter.

• Jämförelse av förändringarna i USA:s lagstiftning sedan 2014:
  • "Gamla" PPD-28 (2014)
  • "Nytt" EO 14086, som ersätter PPD-28 (2022)
• Jämförelse med tidigare PR-insatser:
  • "Rebuilding Trust in EU-US Data Flows" och "Umbrella" från 2013
  • Pressmeddelande om "skölden för skydd av privatlivet" från 2016
  • Vanliga frågor från media om skölden för skydd av privatlivet från 2016
  • Ensidig "principöverenskommelse" mellan Biden och von der Leyen från 2022
• Europeiska kommissionens utkast till beslut om adekvat skyddsnivå (december 2022)

Bakgrund. 2013 avslöjade Edward Snowden att USA:s regering använde "big tech"-företag och program som"PRISM" eller"Upstream" enligt FISA 702 och EO 12.333 för att spionera på resten av världen utan att det behövdes sannolika skäl eller rättsligt godkännande. Detta var inte begränsat till brottslighet eller terrorism, utan omfattade även spionage på USA:s "partner". Sedan en EU-lag från 1995 får personuppgifter i allmänhet inte skickas utanför EU om det inte finns ett "väsentligen likvärdigt" skydd i destinationslandet. Den amerikanska industrin förlitade sig i hög grad på ett beslut från EU-kommissionen kallat "Safe Harbor" som förklarade USA "i allt väsentligt likvärdigt" år 2000. EU-domstolen ogiltigförklarade kommissionens beslut i C-362/14 ("Schrems I") 2015, med tanke på de invasiva amerikanska övervakningslagarna. År 2016 antog EU-kommissionen i stort sett samma beslut om dataöverföringar mellan EU och USA igen, under det nya namnet "Privacy Shield", som ogiltigförklarades av EU-domstolen i C-311/18 ("Schrems II") 2020 på i stort sett samma grunder.

Ursulas och Joes "magiska" trick. Efter ogiltigförklaringen av "Privacy Shield" gjordes få framsteg i förhandlingarna mellan EU och USA. USA insisterade på att uppgifter från EU även fortsättningsvis skulle omfattas av amerikansk massövervakning och att personer "utanför USA" inte skulle ha samma skydd som personer i USA. Efter mer än 1,5 år av stillastående har USA enligt uppgift använt kriget i Ukraina för att sätta press på EU när det gäller att dela med sig av personuppgifter. Strax därefter träffades Joe Biden och Ursula von der Leyen den 25 mars 2022. Samma dag har de två plötsligt "löst" det som juristerna inte kunnat lösa och presenterat en"principöverenskommelse", en one pager som i huvudsak innehöll två "trick" som borde lugna allmänheten:

• För det första fann EU-domstolen att massövervakningen enligt FISA 702 inte var "proportionerlig " i den mening som avses i artikel 52 i EU:s stadga om de grundläggande rättigheterna (CFR). Den "nya" amerikanska exekutiva ordern 14086 (som i stort sett motsvarar PPD-28 från 2014) skulle nu innehålla ordet "proportionerlig". "Tricket" här: USA kommer att tillskriva ordet "proportionerlig" en annan innebörd än EU-domstolen. EO 14086 förklarar att FISA 702 bulkövervakning är "proportionerlig" enligt en hemlig "amerikansk tolkning" av ordet och i strid med EU-domstolens två avgöranden. På så sätt kunde EU och USA hävda att de var överens om samma ord ("proportionerlig") - även när det inte finns någon överenskommelse om ordets innebörd.
• Fördet andra fann EU-domstolen att prövning via Privacy Shields "ombudsperson" inte ens på långt när var förenlig med artikel 47 CFR - trots att ombudspersonen 2016 i kommissionens PR-arbete hyllades som en "oberoende" form av " prövning inom området nationell säkerhet". "Tricket" när det gäller prövning: ombudsmannamekanismen döptes om och delades upp i ett ombud för skydd av medborgerliga fri- och rättigheter (CLPO) och en så kallad "domstol" (som inte är en domstol, utan ett delvis oberoende verkställande organ). Även om det finns vissa mindre förbättringar jämfört med ombudsmannen, kommer den enskilde inte att ha någon direkt kontakt med de nya organen (de måste skicka ett klagomål till en dataskyddsmyndighet i EU och inte bli hörda av USA) och de kommer att ge exakt samma svar som den tidigare "ombudsmannen". Enligt EO 14086 måste CLPO och domstolen under alla omständigheter svara genom att säga"Utan att bekräfta eller förneka att den klagande var föremål för USA:s signalspaningsverksamhet, identifierade granskningen antingen inte några överträdelser eller så utfärdade domstolen för prövning av dataskydd ett beslut som krävde lämpliga åtgärder" (se här). Denna "domstols" "dom" är därför känd redan innan ett ärende har väckts. Det finns många ytterligare problem med mekanismen, som till stor del kommer att säkerställa att klagomål inte ens kommer att tas upp till prövning. Det förefaller otänkbart att EG-domstolen skulle acceptera detta som "rättslig prövning" enligt artikel 47 i CFR.
• Slutligen har USA vägrat att reformera FISA 702 för att ge personer utanför USA ett rimligt integritetsskydd. Det råder enighet på båda sidor av Atlanten om att FISA 702 och EO 12.333 kränker de grundläggande rättigheterna enligt det fjärde tillägget i USA och artiklarna 7, 8 och 47 CFR i EU - men USA fortsätter att insistera på att personer som inte är medborgare i USA inte har några konstitutionella rättigheter i USA - och att en kränkning av deras rätt till privatliv därför inte omfattas av det fjärde tillägget.
• FISA 702 kommer att behöva förlängas till slutet av 2023, eftersom det finns en "solnedgångsklausul" i amerikansk lag. Detta skulle ha varit ett perfekt tillfälle att förbättra den amerikanska lagstiftningen, men med tanke på det nya avtalet med EU kommer det inte att finnas någon större anledning för USA att reformera FISA 702.

Sammantaget är det nya "Trans-Atlantic Data Privacy Framework" en kopia av Privacy Shield (från 2016), som i sin tur var en kopia av "Safe Harbor" (från 2000). Med tanke på att detta tillvägagångssätt har misslyckats två gånger tidigare fanns det ingen rättslig grund för kursändringen - den enda logiken med att ha ett avtal var politisk.

Max Schrems, ordförande i noyb:"Det sägs att definitionen av galenskap är att göra samma sak om och om igen och förvänta sig ett annat resultat. Precis som 'Privacy Shield' är den senaste överenskommelsen inte baserad på materiella förändringar, utan på politiska intressen. Än en gång verkar den nuvarande kommissionen tro att röran kommer att bli nästa kommissions problem. FISA 702 måste förlängas av USA i år, men i och med tillkännagivandet av den nya överenskommelsen har EU förlorat all makt att få till stånd en reform av FISA 702."

Lura mig tre gånger? Redan i kölvattnet av Snowdens avslöjanden 2013 meddelade EU-kommissionen att man skulle "återuppbygga" förtroendet och"göra Safe Harbor säkrare" och ta fram ett"paraplyavtal". 2016 fick journalister veta att "Privacy Shield" skulle innebära att "USA för första gången har gett EU en skriftlig försäkran ", att det skulle finnas "tydliga begränsningar, skyddsåtgärder och tillsynsmekanismer " och till och med "ingen urskillningslös massövervakning ". Inget av dessa påståenden och system har visat sig vara stabilt när det ställts inför EU-domstolen. I den nuvarande versionen av kommissionens PR-insatser är det samma (ständigt upprepade) påståenden som används.

Max Schrems:"Vi har nu haft 'hamnar', 'paraplyer', 'sköldar' och 'ramverk' - men ingen väsentlig förändring av den amerikanska övervakningslagstiftningen. Dagens pressmeddelanden är nästan en bokstavlig kopia av dem från de senaste 23 åren. Att bara tillkännage att något är "nytt", "robust" eller "effektivt" räcker inte inför EG-domstolen. Vi skulle behöva ändringar i USA:s övervakningslagar för att få detta att fungera - och det har vi helt enkelt inte."

Utmaning till EU-domstolen redo att lämnas in. Alla vars personuppgifter kommer att överföras enligt det nya avtalet kan lämna in en utmaning till dataskyddsmyndigheter eller domstolar. noyb har förberett olika processuella alternativ för att föra tillbaka det nya avtalet till EU-domstolen. Vi förväntar oss att det nya systemet kommer att implementeras av de första företagen inom de närmaste månaderna, vilket kommer att öppna vägen för en utmaning av en person vars uppgifter överförs enligt det nya instrumentet. Det är inte osannolikt att ett bestridande skulle nå EU-domstolen i slutet av 2023 eller början av 2024. EU-domstolen skulle då även ha möjlighet att tillfälligt upphäva "ramverket" under den tid som förfarandet pågår. Ett slutligt beslut från EU-domstolen skulle sannolikt komma 2024 eller 2025. Oavsett om en sådan utmaning blir framgångsrik kommer detta att skapa klarhet i det "transatlantiska ramverket för dataskydd" inom cirka två år.

Max Schrems: "Vi har olika alternativ för en utmaning redan i byrålådan, även om vi är trötta på denna juridiska pingpong. För närvarande räknar vi med att ärendet kommer att vara tillbaka i EG-domstolen i början av nästa år. Domstolen skulle då till och med kunna upphäva det nya avtalet medan den granskar innehållet i det. För rättssäkerhetens och rättsstatens skull kommer vi då att få svar på om kommissionens små förbättringar var tillräckliga eller inte. Under de senaste 23 åren har alla avtal mellan EU och USA förklarats ogiltiga retroaktivt, vilket har gjort alla tidigare dataöverföringar från företag olagliga - nu verkar vi bara vilja lägga till ytterligare två år av denna ping-pong."

EU-kommissionen visar föga intresse för rättsstatsprincipen och medborgarnas integritet. Detta tredje försök att få igenom i stort sett samma olagliga beslut väcker också frågor om EU-kommissionens roll som väktare av EU-fördragen. Istället för att upprätthålla "rättsstatsprincipen" antar kommissionen helt enkelt ett ogiltigt beslut om och om igen, trots tydliga domar från EU-domstolen. Trots stor upprördhet i EU efter Snowdens avslöjanden och upprepade uppmaningar från Europaparlamentet att vidta åtgärder verkar kommissionen prioritera de diplomatiska förbindelserna med USA och affärspressen på båda sidor av Atlanten framför européernas rättigheter och EU-rättens krav.

Max Schrems:"Kommissionen är tänkt att vara "fördragens väktare" och "rättsstatens försvarare". Den älskar den rollen när det gäller medlemsstater som bryter mot EU-lagstiftningen. Nu ignorerar kommissionen själv helt enkelt domstolen för tredje gången."