[17:15 kritiek van Schrems opgenomen met reacties]
Ook noodzakelijke overdracht van data naar de VS en andere landen op grond van artikel 49 van de AVG mag doorgaan: als individuen toestemming geven – het bekende vinkje bij een verklaring die niemand leest; of als de doorgifte ‘noodzakelijk is wegens gewichtige redenen van algemeen belang’. In de praktijk kan het overgrote deel van de Amerikaanse verwerking van Europese data op de korte termijn nog doorgaan.
Dat is de uitkomst van het arrest ECLI:EU:C:2020:559 van het HvjEU vandaag, dat door juristen in het algemeen als een mijlpaal in de jurisprudentie voor databescherming wordt gezien. Immers, nadat de Safe Harbour overeenkomst tussen de EU en de VS in 2015 al was afgeschoten, blijkt ook de opvolger een wassen neus.
Winst of verlies Schrems?
Nadat de advocaat-generaal van het Hof van Justitie van de Europese Unie in december 2019 tot zijn advies was gekomen, stelden we vast dat Max Schrems had verloren. Dat was onjuist volgens een boze Schrems en enkele juristen die ons kapittelden. Volgens de voorlichter van het HvjEU was onze constatering juist.
Immers, de zaak ging over de vraag of de Ierse toezichthouder de verwerking van persoonsgegevens door Facebook terecht goedkeurde op grond van de modelcontracten. De opvatting van advocaat-generaal Saugmandsgaard Øe kwam erop neer dat Facebook terecht een beroep doet op het modelcontract van de EU voor overheveling van data naar ‘veilige havens’ buiten de EU waartoe de VS te rekenen is.
Ook in de uitspraak van het Hof blijft het besluit 2010/87 van de Europese Commissie betreffende ‘Standard contractual clauses’ (SCC’s) voor dataoverdracht tussen EU-lidstaten en niet-lidstaten overeind. Echter, het besluit 2016/1250 betreffende de toepassing van het EU-VS privacyschild gaat naar de prullenbak. De advocaat-generaal vond het niet nodig om zich daarover uit te spreken, de rechters doen dat wel. Deze overeenkomst met de VS biedt onvoldoende waarborgen voor Europeanen dat hun data veilig zijn. De VS wordt daarmee een ‘derde land’ als alle andere.
Over de juiste toepassing van modelcontracten moeten nationale toezichthouders zich buigen in geval van klachten. Een derde land dat de Europese data verwerkt moet een ‘passend beschermingsniveau’ waarborgen. De toezichthouders moeten toetsen of dat derde land, dus de VS, conform nationale wetgeving of internationale toezeggingen afdoende bescherming biedt. Is dit niet het geval dan moet het bedrijf in kwestie, zeg Facebook, waarborgen dat de buitenlandse dataverwerking conform de Europese regels is, dus de AVG respecteert.
Vooralsnog kunnen Amerikaanse bedrijven zich vaak op de AVG beroepen om door te gaan met Europese dataverwerking op Amerikaanse servers, zo geeft Schrems toe. Echter, de kans is klein dat ze de nationale toets op voldoende waarborgen zullen doorstaan.
‘Berichtgeving weer onjuist’
Ook nu is Schrems het oneens met de verslaggeving. In een bericht laat hij weten: ‘Unfortunately, many reports (even the BBC) claim that data flows continue to be legal after SCCs and that Facebook could continue to use them. This is unfortunately incorrect.
The CJEU has made it clear in its ruling that even within the SCCs a data flow must be stopped if a US company falls under this surveillance law. This applies to practically all IT companies (such as Microsoft, Apple, Google or Facebook) that all fall under FISA 702.’
Naar de letter van het arrest is de berichtgeving van de BBC juist en voel ik me ook niet geroepen om dit artikel aan te passen. Zo laat ook de chef-jurist van Microsoft, Julie Brill weten, dat de dataoverdracht in de Microsoft-cloud op grond van de SCC’s gewoon doorgaat.
Echter, als de modelcontracten of SCC’s geldig worden verklaard maar de grondslagen waarop ze zijn gesloten niet, dan hebben Amerikaanse bedrijven wel een probleem en kan Schrems de facto zijn gelijk claimen. Alleen is het zover nog niet. Zo bevestigt Brill wel degelijk dat het arrest problemen oplevert en ze opteert voor overleg met de Europese Commissie en beperking van toepassing van de Amerikaanse vorderingswetgeving voor data. Zie ook de commentaren bij dit artikel van Bart Schermer en Simon Hania.
In zijn arrest van vandaag stelt het Hof vast de modelcontracten op zichzelf deugen, maar de waarborgen van het Privacy Shield niet. De doorgifte moet getoetst worden aan de privacyverordening AVG, ook nu opnieuw door de Ierse DPA. In die zin is het arrest een stap in de richting van een uiteindelijke overwinning van Schrems die meent dat de Amerikaanse wetgeving voor opsporing en inlichtingendiensten te grote risico’s inhouden voor de Europese persoonsgegevens. In een eerste reactie stelt hij vast dat de modelcontracten in feite illegaal worden toegepast omdat de onderliggende waarborgen niet deugen.
Bureaucratische molen
Het is een kwestie van tijd dat bij alle 27 toezichthouders in de EU klachten worden ingediend over de modelcontracten. Die moeten allemaal gaan onderzoeken of de Amerikaanse wetgeving voldoende waarborgen biedt. Zo niet, dan moeten of Facebook en andere partijen kunnen garanderen dat ze zelf in de VS het beschermingsniveau van de AVG kunnen bieden.
De kans hierop is klein, maar het duurt een poosje met heel veel dure advocatenuren alvorens het zover is. Indien de dataoverdracht wordt verboden, kunnen de VS besluiten om voor burgers van de EU dezelfde waarborgen voor privacy te bieden als voor de eigen burgers. Er zou op grond daarvan een nieuw Privacy Shield of – schild opgetuigd kunnen worden. Dat zou de derde overeenkomst worden want het privacyschild en voorganger Safe Harbour sneuvelden.
Mocht die overeenkomst er niet komen, dan kunnen Amerikaanse bedrijven proberen om andere waarborgen te bieden. Ze kunnen besluiten om de Europese dataverwerking binnen Europese grenzen te houden. (Ze hebben hier grote dataparken en er is nog een ‘geheime partij’ die in de Flevopolder een gigantisch datacentrum wil neerzetten.)
Hoogste rechter in Ierland
Max Schrems, de Oostenrijkse jurist die de acties tegen met name Facebook leidt, had bij de Ierse toezichthouder op de privacy (DPA Ireland) een klacht ingediend over het verwerken van zijn persoonsgegevens door Facebook Ireland via servers van Facebook Inc. in de Verenigde Staten. Hij eiste een verbod omdat zijn data in de VS niet veilig zouden zijn. Deze klacht is afgewezen, door Schrems geherformuleerd en opnieuw afgewezen.
Het Ierse High Court die de zaak kreeg voorgelegd vroeg de Europese rechter of besluit 2010/87 (modelcontracten) en besluit 2016/1250 (privacyschild) geldig zijn, want de Ierse toezichthouder beriep zich ook op het laatste als waarborg op grond waarvan dat modelcontract door Facebook kon worden afgesloten.
Overigens verwerken ook China, Saoedi-Arabië en tal van dictaturen Europese persoonsgegevens zonder dat de Europese Commissie of toezichthouders een strobreed in de weg leggen. Het zou een stunt zijn als ze zouden verbieden dat bijvoorbeeld een Alibaba of andere Chinese winkels dat nog mogen doen omdat onze persoonsgegevens daar niet veilig zijn.
De ECJ heeft het mechanisme van een standard contractual clause als zodanig niet onwettig verklaard. Dus het mechanisme blijft bestaan (in tegenstelling tot het privacy shield dat dus in zijn geheel onwettig is verklaard). Je kan dus nog gewoon SCCs gebruiken. SCCs zijn een contract tussen een buitenlandse partij en een Europese partij (de verwerkingsverantwoordelijke) waarbij de buitenlandse partij aan de Europese partij toezegt de gegevens conform de AVG standaarden te verwerken.
MAAR Het Europese Hof heeft met zoveel woorden gezegd dat de VS niet de garanties biedt die wij als Europa willen hebben (vandaar ook het onwettig verklaren van het Privacy Shield). Je kan als individueel Amerikaans bedrijf alsnog wel die garanties bieden via de SCCs, maar dat kan je zeer waarschijnlijk niet hard maken omdat de Amerikaanse autoriteiten toegang kunnen krijgen tot jouw data als ze dat willen (op grond van FISA 702). Je weet dus eigenlijk van te voren al dat je contractbreuk gaat moeten plegen als het er op aankomt. Als je weet dat jouw wetgeving ervoor zorgt dat je je niet aan de eisen uit de SCCs kunt houden, dan mag je ze niet tekenen. Voor je bestaande SCCs moet je dit melden aan je Europese wederpartij die dan de verwerking kan (moet) opschorten.
Zelfde geldt omgekeerd: je kan als Europees bedrijf niet meer met goed fatsoen SCCs tekenen met een Amerikaans bedrijf omdat het Amerikaanse bedrijf niet waar kan maken wat de SCCs vereisen. Met andere woorden: het Europese bedrijf is in overtreding van de AVG als ze SCCs gebruiken als doorgifte mechanisme naar de VS.
In theorie is het mechanisme nog te gebruiken voor de VS en zouden Facebook en de rest van Europa door kunnen gaan zolang ze niet zijn verwittigd door de Amerikaanse wederpartij en na Schrems 2 doen of hun neus bloedt, maar praktisch gezien lijkt me dat niet echt realistisch. Iedereen moet nu wel snappen dat SCCs met de VS niet geldig meer zijn. In die zin heeft Schrems dus gelijk. Wellicht dat je nog iets in technische zin kan doen (versleuteld gegevens opslaan in de VS, waardoor de autoriteiten er niet bij kunnen), maar ook dat is lastig.
Het wachten is dan ook op toezichthouders die dit daadwerkelijk willen handhaven… Ik denk dat zij ook wel snappen dat dit grote economische gevolgen kan hebben. Mijn vermoeden is dat de VS en de EU snel een nieuwe deal gaan sluiten en dat hangende dat proces de toezichthouders niet zullen handhaven… maar dat gaan we zien.
In alle discussie omtrent het EU-US Privacy Shield en de Standard Contractual Clauses is het belangrijk het “hoe" en “wat" niet te verwarren. Privacy Shield en SCCs zijn “slechts” middelen: het “hoe". Het Europees Hof wijst hier in zeker zin nog eens op. Het doel van de wetgever, het ”wat" is om burgers in Europa een niveau van bescherming te bieden voor hun gegevens dat onafhankelijk is van waar hun gegevens zich in de wereld bevinden.
De term daarbij is “in essentie gelijkwaardig” (essentially equivalent). Die bescherming valt volgens de AVG in artikel 46.1 uiteen in drie elementen: “passende waarborgen”, “afdwingbare rechten” en doeltreffende rechtsmiddelen” en daar wijst het Hof ook nadrukkelijk op.
Vergelijk: Als je gaat duiken, teken je niet alleen een contract met de natuur: je draagt een masker, draagt zuurstof en oefent nauwgezet de veiligheidsprotocollen uit. Het equivalent daarvan is wat het Hof van Justitie de bedrijven in de EU eraan herinnert als ze je gegevens onder water naar andere landen, zoals de VS, sturen.
En dan laat het EHJ het aan de EC over om gelokaliseerde veiligheidsprotocollen te definiëren en te bepalen hoe de juiste uitrusting eruit moet zien, terwijl de gegevensbeschermingsautoriteiten de taak hebben om ter plaatse te controleren hoe veilig uw gegevens eigenlijk zijn wanneer ze onder water en daarbuiten zijn. Hoe bedrijven daadwerkelijk leren duiken blijft een vraagteken.
De wetgever en het Hof herkennen en erkennen daarbij dat verschillende landen verschillende omgevingen bieden om met dat waar te kunnen maken of juist niet. Wetgever en het Hof herkennen ook dat niet alles in handen van bedrijven ligt, maar dat zij wel hun stinkende best moeten doen voor dat hoge niveau voor gegevens van Europeanen. De AVG biedt daarvoor diverse opties, in artikel 46.2. Het Hof zegt dat contractuele afspraken, met name volgens de Standard Contractual Clauses in principe wel kunnen, maar dat je ze niet “blind” mag toepassen: je moet goed kijken naar de context en de risico's in het licht van de drie genoemde elementen en dan per geval beoordelen of je dan “in essentie gelijkwaardige” bescherming biedt. Echt beoordelen wat de situatie is en concluderen of het goed genoeg is dus.
Het Hof sluit zeker niet uit dat het mogelijk is via aanvulling op de SCCs wel op een juist niveau te komen als een eerste beoordeling negatief blijkt. De vraag is dan: hoe dan? Een belangrijke rol daarbij zal weggelegd zijn voor de Europese Commissie om andere landen als het ware te “keuren” en extra clausules toe te voegen voor landen waar dat nodig is.
Bedrijven kunnen op basis van hun eigen situatie wellicht zelf ook extra maatregelen nemen om het algehele niveau van bescherming op te krikken als de eerste beoordeling onvoldoende uitpakt. Immer als je extra waarborgen inbouwt (één van de drie elementen) kan het goed zijn dat je minder goed werkende rechtsmiddelen (een andere element) in het buitenland in de praktijk gecompenseerd hebt, omdat de kans dat ze nodig zijn verwaarloosbaar wordt.
Denk bijvoorbeeld aan het, onder contractuele dwang, laten inzetten van allerlei vormen van hoogwaardige encryptie, die massa surveillance tegengaat. Je kunt ook denken aan scherpe interne procedures voor verzoeken van opsporingsautoriteiten en transparantie over de uitvoering daarvan. Hier valt nog veel te winnen en ook te innoveren.
Kortom: ik denk dat er nog heel wat technische en organisatorische mogelijkheden zijn om een essentieel gelijkwaardig niveau te creëren, daar waar een buitenland niet of nog niet zelf de staatsrechtelijke en juridische infrastructuur kent zoals we die in Europa hebben.