Som en förberedelse inför generaladvokatens icke-bindande rådgivande yttrande den 19 december ca kl. 9.45 i Luxemburg har vi sammanställt följande förberedelsedokument. Målet har varit anhängigt i 6,5 år, rör komplexa lagar om integritet i EU och övervakning i USA och har varit föremål för fyra förhandlingar i olika domstolar. Det är därför mycket komplext.
I. Ärendets bakgrund
Övervakning i USA. Som Edward Snowdens avslöjanden bekräftade är många stora amerikanska internetföretag (i detta fall Facebook) skyldiga att låta den amerikanska regeringen få tillgång till europeiska användaruppgifter i stor skala för "utländska underrättelseändamål" (inklusive antiterrorism och spionage). En sådan användning av europeiska användares uppgifter kan mycket väl strida mot EU:s och dess medlemsländers nationella intressen (t.ex. när USA:s sanktioner mot EU-företag verkställs eller när EU-medborgare och EU-regeringar spioneras på).
"Safe Harbor"-fallet 2015. Baserat på dessa fakta lämnade Schrems 2013 in ett klagomål mot Facebook till den irländska dataskyddsmyndigheten ("DPC"). Dataskyddsmyndigheten avvisade först klagomålet som "oseriöst och obefogat". Schrems överklagade DPC:s beslut och vann slutligen: I det fallet, C-362/14 Schremsbekräftade EU-domstolen (" Europeiska unionens domstol", EU:s högsta domstol) hans uppfattning och slog fast att massövervakning strider mot de grundläggande rättigheterna i EU. EU-domstolen underkände det tidigare "Safe Harbor"-systemet som underlättade dataöverföringar mellan EU och USA. Detta system ersattes snarast med "Privacy Shield"-systemet 2016. Schrems: "Privacy Shield är en uppdaterad version av det olagliga"Safe Harbor". Ingenting i USA:s övervakningslagar ändrades eller åtgärdades."
Standardavtalsklausuler ("SCC"). Efter EU-domstolens första beslut om "Safe Harbor" hävdade Facebook att man inte skulle använda "Privacy Shield" utan så kallade "Standardavtalsklausuler" (SCC).
SCC är ett avtal mellan ett EU-företag (här Facebook Ireland) och ett företag utanför EU (här Facebook Inc, i Kalifornien) där det utländska företaget lovar att respektera européernas integritet. Lagen accepterar att sådana avtal i tillräcklig utsträckning skyddar europeiska uppgifter när de överförs till utlandet.
Kärnproblem: EU:s integritetslagstiftning kolliderar med USA:s övervakningslagstiftning. Enligt EU:s integritetslagstiftning ("GDPR") och SCC är en "dataexport" till ett tredje land endast laglig om det exporterande företaget (i detta fall Facebook Ireland Ltd) kan garantera "adekvat skydd " i USA. I praktiken visade sig detta vara omöjligt, eftersom USA:s övervakningslagar (t.ex. FISA 702 och EO 12.333) leder till att den amerikanska regeringen "massbehandlar" av personuppgifter för övervakningsändamål. Schrems: "Enkelt uttryckt: EU:s lagstiftning kräver integritet, medan USA:s lagstiftning kräver massövervakning. Frågan är vad som händer när ett EU-företag följer amerikansk lag i stället för EU-lag?"
Schrems ansökan och den irländska dataskyddsmyndighetens reaktion. Mot bakgrund av situationen ovan och EU-domstolens avgörande i "Safe Harbor"-fallet begärde Schrems 2015 att den irländska dataskyddsmyndigheten skulle använda artikel 4 i SCC-avtalet, som gör det möjligt för dataskyddsmyndigheten att i enskilda fall beordra Facebook att "avbryta" dataöverföringarna. Även om DPC nu höll med Schrems om att USA:s övervakningslagar bryter mot EU-lagstiftningen vidtog de inga direkta åtgärder. Schrems: "Vi bad om en riktad lösning, endast för företag som omfattas av dessa övervakningslagar. DPC kunde ha utfärdat ett sådant beslut inom en dag."
Irländska DPC vill ogiltigförklara SCC. DPC följde dock inte Schrems begäran utan lämnade istället in en stämningsansökan mot Facebook och Schrems till Irish High Court i syfte att återförvisa målet till EU-domstolen - denna gång om SCC:s giltighet. Irish High Court har tillmötesgått DPC:s begäran och ställt elva frågor till EU-domstolen, trots motstånd från Schrems och Facebook (som båda motsatte sig hänskjutandet av olika skäl). Gerard Rudden (från ARQ Solicitors, som företräder Schrems): "Min klient bad om en riktad lösning för företag som omfattas av USA:s massövervakningslagar. DPC kunde ha fattat ett sådant beslut för länge sedan. Istället, efter 7 år och två hänskjutanden till EU-domstolen, har vi fortfarande inte fått något formellt beslut från DPC."
noyb.eu schrems har drivit målet på pro bono-basis och får stöd av ett team av jurister från Irland, USA och Luxemburg. Målet stöds också av den europeiska ideella organisationen noyb.eudär han också är hedersordförande. Schrems företräds av Eoin McCullhan, som anlitats av Ahern Rudden Quigley Solicitors. Professor Herwig Hofmann stödde målet i frågor som rörde europeisk rätt. Ashley Gorski från American Civil Liberties Union (ACLU.org) har bistått som expertvittne om amerikansk övervakningslagstiftning.
II. Möjliga utfall
Skillnaden mellan den allmänna domstolens yttrande och den slutliga domen är mycket sannolik. Målet väckte elva delvis sammanhängande frågor med många ytterligare problem som följer med varje fråga. Till skillnad från i många andra fall finns det inget binärt svar att förvänta sig. Yttrandet och den slutliga domen kan både utveckla vissa frågor ytterligare och förbli tysta på andra punkter. Schrems: "Det här målet har elva sammanhängande frågor. Det är mycket osannolikt att vi kommer att få ett enda tydligt "ja eller nej"-svar från generaladvokaten. Med tanke på de många alternativen är det ännu mindre troligt att domarna kommer att närma sig dessa elva frågor på samma sätt i sin slutliga dom."
Utöver de många olika alternativen i det här fallet kunde den muntliga förhandlingen i målet ha varit en indikator på något olika åsikter mellan generaladvokaten och domarna. Schrems: "Under domstolsförhandlingen ställde generaladvokaten frågor i en helt annan riktning än domarna. Domarna verkade vara mycket mer kritiska till amerikansk lag och EU-kommissionens bedömning än generaladvokaten. Jag förväntar mig därför att den slutliga domen kan komma att ge ett striktare integritetsskydd än torsdagens förslag till avgörande."
Långsiktig lösning behövs. På lång sikt kommer den grundläggande konflikten mellan EU:s integritetslagar och USA:s övervakningslagar med största sannolikhet inte att lösas i det här fallet. Schrems: "Om USA vill behandla uppgifter om utlänningar måste landet ge utlänningar åtminstone samma grundläggande integritetsskydd. Just nu beter sig USA lite som om Schweiz skulle säga 'förvara allt ditt guld hos oss, men du har faktiskt inga rättigheter när det väl är här'. Om det är så, vem i hela världen kommer då att anförtro sina uppgifter till USA?"
III. Parternas ståndpunkt i "huvudtvisten"
När en dataskyddsmyndighet anser att en mottagare av uppgifter har rättsliga förpliktelser i ett tredjeland som inte överensstämmer med EU-lagstiftningen (som i detta fall) uppstår frågan hur detta dilemma ska lösas. De tre parterna i förfarandet föreslog tre olika svar:
|
|
Irländska DPC |
Max Schrems |
|
|
USA:s övervakning strider inte mot EU-lagstiftningen ("inget problem att lösa") |
Nej |
Nej, nej, nej |
Nej Ja |
|
Artikel 4 i SCC gör det möjligt att avbryta ("riktad lösning" för FISA-företag) |
Nej Nej |
Nej Ja |
Ja, om det skulle uppstå ett problem |
|
SCC är ogiltiga globalt ("radikal lösning") |
Ja, om |
Nej, nej, nej |
Nej, nej, nej |
- Facebook anser att premissen för frågan är felaktig, eftersom amerikansk övervakning är förenlig med EU-rätten (av olika skäl) och målet inte regleras av EU-rätten.
- Schrems anser att artikel 4 i SCC tillåter DPC att avbryta dataflöden i enskilda fall, men att DPC inte använder sig av denna "riktade lösning" enligt lagen.
- DPC ser ett "systematiskt" problem som bör leda till att SCC ogiltigförklaras globalt och det bör inte åligga DPC att agera i varje enskilt fall.
IV. Vanliga frågor och vanliga missförstånd
- Försökte inte Schrems ta bort standardavtalsklausulerna?
Schrems har aldrig hävdat att standardavtalsklausulerna skulle vara ogiltiga. Av alla parter och alla inlägg i EU-domstolen var det endast DPC som ansåg att standardavtalsklausulerna skulle ogiltigförklaras. Alla (EU:s institutioner, medlemsstaterna, lobbygrupper, Facebook och Schrems) anser att standardavtalen inte är ogiltiga.
- Blockerar inte EU bara frihandel?
Det finns två lagar som leder till denna krock mellan jurisdiktioner: (1) USA:s övervakningslagar som tillåter massövervakning av utlänningar och spionage utan godkännande av enskild domstol och (2) den europeiska grundläggande rätten till privatliv. Det är högst rationellt att förbjuda dataflöden till ett utländskt territorium om dessa data kan komma att missbrukas. USA har liknande farhågor när det gäller appar som "TikTok" eller 5G-hårdvara från Huawei.
- Innebär inte det här fallet att du inte längre kan skicka e-post till USA?
Förenklat kan man säga att GDPR talar om två typer av dataflöden: (1) Nödvändiga dataflöden (som e-post eller att boka ett hotell utomlands), för vilka det finns undantag i artikel 49 i GDPR och (2) fall av "outsourcing" av databehandling till ett tredjeland, som inte är strikt nödvändiga. Även om SCC skulle ogiltigförklaras skulle detta endast få konsekvenser för den andra kategorin av fall, där inget "undantag" gäller.
För e-postmeddelanden skulle detta innebära att en Gmail-brevlåda som helhet inte längre får utlokaliseras till USA, men att enskilda e-postmeddelanden som går till en amerikansk vän eller kollega fortfarande kommer att levereras (precis som e-postmeddelanden skickas till Kina, Ryssland eller till och med Nordkorea idag).
- Gäller detta fall alla dataflöden till USA?
Enligt Schrems argumentation är kärnfrågan begränsad till företag som omfattas av en särskild övervakningslag som kallas "FISA 702". Denna lag gäller endast för "leverantörer av elektroniska kommunikationstjänster" (som Facebook, Google eller Microsoft), men inte för "traditionella företag" som flygbolag, hotell, handel, finans och liknande.
En annan fråga rör ett övervakningstillstånd kallat "EO 12.333", som ger USA rätt att bedriva övervakning inom alla affärssektorer, inklusive transatlantiska kablar utanför USA. Detta är främst relevant för bedömningen av "Privacy Shield".
Sammantaget är ett avbrytande av dataöverföringar enligt SCC-avtalen endast nödvändigt för företag som omfattas av FISA 702, som infördes 2007. Problemet kan lösas genom att denna lag ändras i USA.
- Stämde Schrems Facebook två gånger?
Schrems lämnade in det ursprungliga klagomålet till datainspektionen 2013, men datainspektionen har avbrutit förfarandet och lämnat in en stämningsansökan mot Facebook och Schrems. De är svarande och har inte inlett detta (andra) hänskjutande till EU-domstolen. Faktum är att Schrems och Facebook båda har motsatt sig hänskjutandet till EU-domstolen av olika skäl.
- Vad har detta mål att göra med "Privacy Shield"?
Facebook har tagit upp "Privacy Shield" i målet, eftersom de hävdar att Europeiska kommissionen har godkänt amerikanska övervakningslagar i Privacy Shield och att denna bedömning också bör vara bindande när amerikanska övervakningslagar bedöms enligt SCC. Schrems har hävdat att denna bedömning är sakligt felaktig och att Privacy Shield därför är ogiltig.
Det är oklart om generaladvokaten kommer att ta upp något av dessa argument, men domarna ställde intensiva frågor till Europeiska kommissionen om Privacy Shield under den muntliga förhandlingen.
- Varför säger du att SCC är okej, men inte Privacy Shield?
SCC är ett generiskt verktyg för cirka 200 länder i världen. Det handlar inte om USA:s övervakningslagar. Om det finns en motstridig lag ger artikel 4 i SCC DPC möjlighet att stoppa dataöverföringen. SCC har därför ett svar på det problem som domstolen har att ta ställning till. I beslutet om Privacy Shield ansåg Europeiska kommissionen uttryckligen att amerikansk övervakningslagstiftning är förenlig med EU-lagstiftningen, vilket vi i grunden inte håller med om.
- Vad anser ni att DPC borde ha gjort?
Enligt artikel 4 i SCC-avtalet kan varje dataskyddsmyndighet (som DPC) stoppa dataöverföringar om SCC-avtalet inte efterlevs i praktiken. Facebook Ireland var medvetet om NSA:s övervakning åtminstone sedan 2013, men har inte vidtagit några åtgärder för att stoppa eller begränsa dataöverföringarna. I sådana fall måste tillsynsmyndigheten träda in och vidta åtgärder.
- Hur kan företag efterleva ett gynnsamt utslag?
För det första måste de identifiera om någon av deras uppgifter går till en amerikansk "leverantör av elektroniska kommunikationstjänster" som omfattas av FISA 702. De flesta traditionella branscher omfattas inte av dessa övervakningslagar, men stora teknikföretag som många av oss använder (som Facebook, Google, Amazon eller Microsoft) gör det.
Även om uppgifter överförs till en av dessa leverantörer kan de flesta väsentliga uppgifter (t.ex. e-post, direktmeddelanden eller bokningsuppgifter) fortfarande överföras enligt så kallade "undantag" i GDPR. När det gäller ren "outsourcing" kan europeiska företag dock behöva hitta alternativ utanför USA.
