Dat liet de voorlichter van het Hof zojuist in een persbericht weten.
Het besluit 2010/87/EU van de Commissie betreffende bepalingen voor modelcontracten voor de doorgifte van persoonsgegevens van EU-burgers aan bedrijven buiten de EU, zoals Facebook, Google, Amazon en Airbnb is geldig. Ze mogen die ook op servers buiten de EU opslaan en verwerken.
Privacy-advocaat Max Schrems (op Twitter) had de zaak tegen Facebook aanhangig gemaakt en al dagen werd reikhalzend naar de uitspraak uitgezien. De advocaat-generaal heeft zijn oordeel geveld, nu moet het Hof aan de hand daarvan een uitspraak doen. De kans is klein dat die wel positief voor hem uitvalt.
De klacht van Schrems gaat nog terug naar de affaire Snowden. Volgens Schrems legde die bloot dat Europese data in de VS onveilig zijn, want ze zijn toegankelijk voor de inlichtingendiensten.
De mening van advocaat-generaal Saugmandsgaard Øe komt erop neer dat Facebook voldoende waarborgen biedt om een beroep te doen op het contract van de EU voor overheveling van data naar ‘veilige havens’ buiten de EU.
Aanvulling 20 december
Inmiddels staat de hele opinie van de advocaat-generaal online. Na bovenstaand bericht gisteren ontstond direct verwarring over de juistheid. In de first reaction claimde Max Schrems dat de AG van het Hof een voor hem gunstig advies uitbracht en dat hij ‘over het algemeen blij’ is want de AG volgde zijn argumentatie. In een debat op Twitter hield Schrems vol dat Netkwesties verkeerd berichtte, en per mail de redenen uitlegde:
‘It seems some press agencies confused the invalidation SCCs with the duty of the DPC to stop Facebook's data transfers. The AG opinion is clear that (1) the SCCs can stand but (2) if the DPC forms the view that US surveillance laws violate EU fundamental rights (which the DPC did) then it must order Facebook to suspend the data transfers. This second part (the "emergency exit" within the SCCs) means that if the CJEU joins the view of the AG, the DPC must order Facebook to stop the data transfers.’
Dat noopte tot nadere vragen aan het Hof. Dat antwoordde:
‘Well, one can actually say that there is an abstract issue, may be worked through a system of model contracts, laid down in a Commission decision, or not. The AG says, yes, it may, it should not decide on invalidity. Schrems argued invalidity.
The second issue is the concrete assessment of transfers: on this the AG says, the system allows privacy authorities to supervise it and has the obligation to check whether the transfer is ok, whether there are sufficient safeguards in the third country (also the transferor itself has this obligation, here Facebook)). According to the AG, this is how it already works. And yes, a privacy watchdog might have objections.’
Oftewel: Facebook verplaatst legaal Europese persoonsgegevens naar servers in de Verenigde Staten, en dat had Netkwesties terecht als belangrijkste nieuws verwoord. Echter, er is een tweede deel van de uitspraak. Een Europese toezichthouder, in dit geval de Ierse, die vaststelt dat de Europese data niet veilig zijn in de VS, moet Facebook een verbod opleggen voor het overbrengen van data naar de VS. Dan zijn de modelcontracten (SCC’s) niet langer geldig.
Hoe nu verder?
Schrems claimt nu dat de Ierse privacywaakhond reeds vaststelde dat Europese data in de VS niet veilig zijn en dus zal besluiten dat de overdracht naar de VS niet is toegestaan. En dat is dan winst. Als het hof vonnist conform het nu uitgebrachte advies van de AG, dan is het woord aan de Ierse toezichthouder. Of wellicht een andere Europese privacywaakhond, bijvoorbeeld een Duitse of Nederlandse of Oostenrijkse, die dataopslag in de VS schadelijk acht.
De vraag is of die onmiddellijk zal besluiten dat Facebook illegaal Europese persoonsgegevens overhevelt naar de VS. Volgens Amerikaanse wetten zijn bedrijven aldaar verplicht om data af te staan aan overheden zoals de inlichtingendienst NSA. Waarschijnlijk ontstaat daarover een nieuw dispuut.
Stel dat Facebook inderdaad een verbod krijgt op overheveling naar de VS. Facebook kan dan besluiten om de opslag van Europese persoonsdata ergens in de Europese Unie onder te brengen, bijvoorbeeld Nederland of Ierland of Oostenrijk.
Dan kunnen de Amerikaanse diensten er niet meer bij. In dat geval zal een Europese inlichtingen- of politiedienst die vorderen en moet er een legale basis zijn om de gegevens met de NSA te delen. Facebook kan ook besluiten de opslag van Europese data in een land buiten de EU onder te brengen dat de EU wel veilig kan achten.
Onder de streep blijft dit een grotendeels juridische kwestie met nauwelijks betekenis voor de privacy van Europese burgers die Amerikaanse diensten als Facebook gebruiken. Het is zeer de vraag of met territoriale afbakening van dataopslag, waar Schrems nu voor vecht, te voorkomen is dat Europese persoonsgegevens door Amerikaanse diensten wordt gebruikt.
En als dat niet mag, of we daar blij mee moeten zijn op de lange duur. Een ander verhaal is China, de olifant in deze kamer, waar privacy-activisten zich nog niet druk maken. Ofschoon China met data verschrikkelijke onderdrukking pleegt. (Alleen al door dit te schrijven kan later voor de schrijver ervan of zelfs zijn kinderen wellicht problemen in China geven.)
Eenzijdige berichtgeving
Is de kop boven dit artikel onjuist? Nee, maar het is niet het hele verhaal. Vandaar de toegevoegde bovenregel over de claim van Max dat hij heeft gewonnen, wat volgens de woordvoerder van het Hof ook een gekleurde interpretatie is. De berichtgeving gisteren op deze plek was te gehaast.
Overigens was de zaak zo complex dat vrijwel geen medium zich eraan brandde. Reuters werkte met zeven redacteuren aan een bericht over de zaak, en herzag het eveneens in het voordeel van Schrems.