Idag har ett tioårigt (2013 - 2023) ärende om Metas inblandning i USA:s massövervakning lett till ett första direkt beslut. Meta måste stoppa alla ytterligare överföringar av europeiska personuppgifter till USA, med tanke på att Meta omfattas av amerikanska övervakningslagar (som FISA 702). EDPB hade till stor del upphävt den irländska dataskyddsmyndighetens beslut och insisterade på ett rekordhögt bötesbelopp och att tidigare överförda uppgifter måste återföras till EU.
Stort slag för Meta. Ända sedan Edward Snowdens avslöjanden om amerikansk big tech som hjälpte NSA: s massövervakningsapparat var Facebook (nu Meta) föremål för tvister i Irland. Under tio år har Meta inte vidtagit några materiella försiktighetsåtgärder, utan helt enkelt ignorerat Europeiska unionens domstol (CJEU) och Europeiska dataskyddsstyrelsen (EDPB). Nu måste Meta inte bara betala en rekordstor böter på 1,2 miljarder euro, utan också återlämna alla personuppgifter till sina datacenter i EU.
Max Schrems: "Vi är glada över att se detta beslut efter tio års rättstvist. Bötesbeloppet kunde ha varit mycket högre, med tanke på att det maximala bötesbeloppet är mer än 4 miljarder och Meta medvetet har brutit mot lagen för att göra vinst i tio år. Om inte USA: s övervakningslagar fixas måste Meta i grunden omstrukturera sina system."
FISA 702 föremål för ny auktorisation. Den nuvarande konflikten mellan EU:s integritetslagar och USA:s övervakningslagar är också ett problem för alla andra stora amerikanska molnleverantörer, t.ex. Microsoft, Google eller Amazon. Den underliggande amerikanska övervakningslagen (FISA 702) måste godkännas på nytt senast i december 2023. Aptiten på väsentliga förändringar kan vara större för amerikanska big tech-företag, nu när de första stora böterna från EU:s dataskyddsmyndigheter har kommit. Många beslut från Frankrike, Italien italien och Österrike ansåg att användningen av amerikanska tjänster var olaglig, men utdömde inte några större böter.
Max Schrems: "Den enklaste lösningen skulle vara rimliga begränsningar i USA:s övervakningslagar. Det finns en förståelse på båda sidor av Atlanten för att vi behöver sannolika skäl och rättsligt godkännande av övervakning. Det skulle vara dags att ge dessa grundläggande skydd till EU-kunder hos amerikanska molnleverantörer. Alla andra stora amerikanska molnleverantörer, som Amazon, Google eller Microsoft, skulle kunna drabbas av ett liknande beslut enligt EU-lagstiftningen."
Tidigare överträdelser - framgångsrik överklagan osannolik. Vi förväntar oss att Meta kommer att lämna in ett överklagande till de irländska och eventuellt de europeiska domstolarna, men chanserna att få detta beslut väsentligt upphävt är låga: EU-domstolen har redan beslutat att det inte fanns någon giltig rättslig grund för dataöverföringar mellan EU och USA i två fall mellan 2007 och 2023. Det finns inte heller någon möjlighet för ett nytt avtal att legalisera tidigare lagöverträdelser.
Max Schrems: "Meta kommer att överklaga detta beslut, men det finns ingen verklig chans att få detta beslut materiellt upphävt. Tidigare överträdelser kan inte övervinnas genom ett nytt avtal mellan EU och USA. Meta kan i bästa fall fördröja betalningen av böterna för lite."
Framtida överföringar: Metas förhoppningar om ett nytt avtal mellan EU och USA på skakig grund. För alla framtida överföringar hoppas Meta nu att byta till ett nytt EU-USA-avtal om dataöverföring. Den nya överenskommelsen har redan mött hård kritik från Europaparlamentetmen kommer sannolikt att träda i kraft efter sommaren. Dessa förhoppningar kan dock snart krossas. Det är inte osannolikt att det nya avtalet kommer att ogiltigförklaras av EU-domstolen - precis som de två tidigare dataavtalen mellan EU och USA ("Privacy Shield" och "Safe Harbor"). Sådana ogiltigförklaringar har retroaktiv verkan.
Max Schrems: "Meta planerar att förlita sig på det nya avtalet för överföringar framöver, men detta är sannolikt inte en permanent lösning. Enligt min mening har det nya avtalet kanske en tioprocentig chans att inte dödas av EU-domstolen. Om inte amerikanska övervakningslagar fixas kommer Meta sannolikt att behöva behålla EU-data i EU."
Tio år, tre domstolsförhandlingar och miljontals kronor i rättegångskostnader. Den irländska DPC:s roll i detta förfarande är exceptionell, eftersom den konsekvent har försökt hindra ärendet från att gå vidare. 2013 avvisade den det ursprungliga klagomålet som "oseriöst" - vilket krävde att Schrems skulle gå hela vägen till EU-domstolen. DPC ansåg sedan att man inte kunde vidta åtgärder eftersom Meta använde sig av så kallade "standardavtalsklausuler", vilket återigen avvisades av EU-domstolen, som meddelade DPC att man måste vidta åtgärder. Slutligen försökte DPC skydda Meta från böter och radering av uppgifter som redan överförts, bara för att bli underkänd av EDPB. Sammantaget ledde dessa förfaranden till kostnader på mer än 10 miljoner euro - böterna kommer dock att gå till den irländska staten.
Max Schrems: "Det tog oss tio år av rättstvister mot det irländska dataskyddsmyndigheten för att komma fram till detta resultat. Vi var tvungna att inleda tre förfaranden mot DPC och riskerade miljontals kronor i rättegångskostnader. Den irländska tillsynsmyndigheten har gjort allt för att undvika detta beslut, men har konsekvent underkänts av de europeiska domstolarna och institutionerna. Det är ganska absurt att rekordböterna kommer att gå till Irland - den EU-medlemsstat som gjorde allt för att se till att dessa böter inte utfärdas."
Implementeringsperiod, inget överhängande stopp för tjänster. Tidigare spred Facebook / Meta ryktet om att det skulle sluta tillhandahålla tjänster i Europa. Med tanke på att Europa är den överlägset största inkomstkällan utanför USA och Meta redan har byggt lokala datacenter i EU, är dessa meddelanden knappast trovärdiga. Den långsiktiga lösningen verkar vara någon form av "federerat socialt nätverk" där de flesta personuppgifter skulle stanna i EU, medan endast "nödvändiga" överföringar skulle fortsätta - till exempel när en europé skickar ett direktmeddelande till en amerikansk vän. Även om Meta bara fick en kort implementeringsperiod för att komma med en lösning kände man till den rättsliga situationen i tio år och delgavs redan 2022 ett utkast till beslut.
Max Schrems: "Facebooks tomma hot om att de kommer att stoppa tjänster i Europa är skrattretande. Det är den överlägset största marknaden för dem utanför USA. Ett potentiellt alternativ framöver skulle vara ett "federerat" socialt nätverk, där europeiska data stannar i deras datacenter i Europa, såvida inte användarna chattar med en amerikansk vän, till exempel."
Ytterligare ligitation kan följa. Pågående grupptalan i Nederländerna. Enligt en nyligen avkunnad dom från EU-domstolen kan användare också kräva emotionella skadestånd för mindre kränkningar av deras dataskyddsrättigheter - t.ex. att de utsätts för massövervakning i USA. Detta kommer att leda till krav som vida kan överstiga dagens straff. Till exempel den nederländska konsumenträttsorganisationen Consumentenbond för närvarande nederländska Facebook-användare för att väcka talan om dataöverföringar mellan EU och USA. Utan att användarna begär en rättvis kompensation kommer vi inte att se någon verklig förändring. Myndigheterna är för närvarande inte särskilt aktiva när det gäller att genomdriva GDPR, så konsumenträttsorganisationer och användare måste vidta åtgärder. Av den anledningen uppmuntrar vi alla Facebook-användare i Nederländerna att registrera sina anspråk på eventuella skadestånd. Dessutom måste EU:s direktiv om kollektiva prövningar implementeras i sommar, vilket för första gången kommer att möjliggöra kollektiva åtgärder från europeiska användare för brott mot GDPR.
Max Schrems: "Detta beslut kan leda till civilrättsliga tvister mot Meta i Europa. I sommar implementerar EU också ett nytt system för "grupptalan", som kan användas för GDPR-överträdelser."
