Doorgifte van Facebook-gegevens illegaal verklaard

Image of Carlo Cilento

Gepubliceerd op 22 mei 2023 en bijgewerkt op 15 aug 2023 door Carlo Cilento

We verwachtten het, en het gebeurde: Meta werd bevolen om de Amerikaanse gegevensoverdracht voor Facebook stop te zetten. Het bedrijf kreeg ook een boete van 1,2 miljard euro (ja, je leest het goed) voor het overtreden van de GDPR-regels voor gegevensoverdracht.

De Ierse Data Protection Commission (DPC) kondigde de beslissing vandaag aan in een persbericht op haar website. De volledige tekst is beschikbaar op de website van het Europees Comité voor gegevensbescherming, samen met de beslissing van het Comité zelf die tot de boete heeft geleid. Het zal niemand verbazen dat Meta heeft aangekondigd de beslissing aan te vechten.

Deze zaak is echt belangrijk. De beslissing zal waarschijnlijk een grote impact hebben op zaken over gegevensoverdracht op Europees niveau en kan in de nabije toekomst leiden tot een black-out van Facebook in Europa. Met andere woorden, het is de moeite waard om je erin te verdiepen.

Laten we erin duiken!

  1. Het verhaal
  2. De beslissing
  3. Wat gebeurt er nu?
  4. Conclusies

Het verhaal

Het onderzoek van de DPC naar Facebook begon drie jaar geleden en komt voort uit een klacht uit 2013 van Max Schrems (ja, de man van de Schrems I en II beslissingen). Dit besluit heeft een decennium lang verhaal, dus neem een lunchpakket mee (of sla het over - we zullen het je niet kwalijk nemen).

Het begon allemaal toen NSA-klokkenluider Edward Snowden vertrouwelijke bestanden lekte over de activiteiten van het agentschap, waaronder de grootschalige elektronische surveillanceprogramma's Upstream en Prism.

De onthullingen van Snowden waren voor Schrems aanleiding om een klacht in te dienen bij de Oostenrijkse gegevensbeschermingsautoriteit tegen de gegevensoverdracht van Facebook naar de VS. Hij beweerde dat de persoonlijke gegevens die in de VS aan Facebook werden doorgegeven onveilig waren vanwege de massale schaal en het ongedifferentieerde karakter van de elektronische surveillance van buitenlandse gegevens door de Amerikaanse overheid.

De Oostenrijkse autoriteit stuurde de klacht door naar Ierland, waar Facebook (nu Meta) zijn belangrijkste Europese dochteronderneming heeft. Dit was het begin van een eindeloze juridische strijd waarin Facebook op alle mogelijke manieren probeerde een definitieve beslissing uit te stellen. Jarenlang ging de zaak heen en weer tussen de DPC, de Ierse administratieve rechtbanken en het Europese Hof van Justitie.

Het Hof van Justitie deed twee uitspraken met betrekking tot de klacht van Schrems, en beide hadden een zeer belangrijke impact op de Europese privacywetgeving. In 2015 maakte het Schrems I arrest de Safe Harbor overeenkomst ongeldig, die de doorgifte van gegevens tussen de EU en de VS sterk vereenvoudigde. Een nieuwe overeenkomst, bekend als het Privacy Shield, verving later de Safe Harbor, maar het Hof verklaarde deze overeenkomst opnieuw ongeldig in het Schrems II-arrest van 2020.

De Schrems II-uitspraak betekent niet dat persoonsgegevens niet naar de VS kunnen worden verzonden. Het maakt het echter wel ingewikkelder om gegevens rechtmatig over te dragen. Het is een lang verhaal en we hebben het al in detail besproken. Kort samengevat vereist de overdracht van gegevens naar de VS extra waarborgen in vergelijking met andere landen om persoonlijke gegevens te beschermen tegen het risico van toegang door de overheid.

Helaas zijn deze waarborgen moeilijk te implementeren en voor bepaalde diensten, waaronder Facebook en Google Analytics, helemaal onmogelijk. Daarom is het gebruik van bepaalde serviceproviders een schending van de GDPR en bedrijven die op hen vertrouwen, begeven zich op glad ijs met hun gegevensoverdracht.

Na een decennium en twee baanbrekende uitspraken stelde de DPC uiteindelijk een besluit op om de gegevensoverdrachten van Facebook op te schorten en legde dit voor aan de European Data Protection Board (de EU-instelling waar alle gegevensbeschermingsautoriteiten zetelen). Het EDPB schikte de zaak vorige maand en publiceerde vandaag zijn beslissing, samen met de daaropvolgende en definitieve beslissing van het DPC in deze zaak.

Behalve Facebook gebeurde er nog veel meer na Schrems II. Privacy NGO noyb (waarvan Schrems zelf lid is) diende een strategische reeks klachten in tegen Google Analytics in een poging de Europese autoriteiten te bewegen tot een strikte toepassing van de Schrems II uitspraak. Dit leidde ertoe dat verschillende autoriteiten Google Analytics veroordeelden en praktisch verboden in hun lidstaten.

Tussen de Facebook-zaak en de Google Analytics-beslissingen is het niet verrassend dat gegevensoverdracht op dit moment een veelbesproken onderwerp is.

De beslissing

De juridische inhoud van het besluit van de DPC is niets nieuws. De uitgangspunten van de beslissing komen rechtstreeks uit het Schrems II-arrest en waren al verduidelijkt door andere autoriteiten toen het ging over Google Analytics:

  • Ten eerste is de VS geen veilige bestemming voor de doorgifte van gegevens.
  • Ten tweede zijn standaard contractuele clausules (een contractuele waarborg onder de GDPR) onvoldoende om persoonsgegevens te beschermen die worden doorgegeven naar de VS. Contracten met bedrijven lossen het echte probleem niet op, omdat ze de bevoegdheid van de overheid om toezicht te houden niet beperken.
  • ten derde moeten er bij de overdracht van gegevens naar de VS aanvullende waarborgen worden geïmplementeerd bovenop de waarborgen die in het algemeen worden vereist door de GDPR. Dit is de enige manier om persoonlijke gegevens vertrouwelijk te houden.

De DPC oordeelde dat de standaard contractuele clausules voor de gegevensoverdracht (inclusief de nieuwste clausules die in 2021 door de EU-Commissie zijn opgesteld) geen effectieve waarborg bevatten tegen toezicht door de VS. De DPC oordeelde ook dat Meta Ireland geen effectieve aanvullende waarborgen heeft geïmplementeerd voor haar gegevensoverdrachten naar Meta Platforms in de VS. Daarom zijn de gegevensoverdrachten illegaal onder de GDPR.

Hoewel de juridische inhoud van de beslissing geenszins nieuw is, maakt het hoge profiel van de zaak deze zeer belangrijk.

De gedaagden in de Google Analytics-zaken waren bedrijven die de dienst gebruikten op hun website. Ze waren allemaal klein in vergelijking met Meta: een enorme multinational met enorme middelen, veel politieke invloed en een miljoenenomzet in compliance. Zelfs de Amerikaanse overheid mengde zich in de zaak en diende stukken in die de argumenten van Meta ondersteunden.

En toch verloor Meta. Er stonden miljarden aan inkomsten op het spel en toch kon het bedrijf de gegevensoverdracht naar de VS niet beveiligen, ondanks zijn enorme middelen en knowhow. Dit laat er geen twijfel over bestaan dat bepaalde gegevensoverdrachten hoe dan ook niet GDPR-conform kunnen zijn.

De betrokkenheid van de EDPB is ook erg belangrijk in deze zaak. Zoals we al zeiden, was er wat heen en weer gepraat tussen de DPC en de EDPB, net als in het geval van de gerichte reclame van Meta (we schreven er hier over).

Cruciaal is dat geen enkele Europese autoriteit bezwaar maakte tegen het afsluiten van Meta's gegevensoverdrachten. Er was wat onenigheid over de boete (die de DPC niet wilde opleggen) en over andere aspecten van de beslissing, en daarom werd de EDPB erbij betrokken. Toch was iedereen het eens over het cruciale punt: De gegevensoverdrachten van Meta zijn illegaal.

De EDPB kwam dus tot een gemeenschappelijk standpunt over gegevensoverdrachten. Dat betekent dat alle privacyautoriteiten in de EU dat deden, want dat zijn de mensen die in de EDPB zitten.

Dit was van tevoren al duidelijk: zoals we hebben uitgelegd, speelde de EDPB een indirecte rol in de beslissingen over Google Analytics door de reactie op Europees niveau te coördineren. Maar met Meta raakte de EDPB direct betrokken en drong zelfs aan op een boete van tien cijfers. De boodschap is nog nooit zo duidelijk geweest: de speeltijd is voorbij. Nu is het tijd om de GDPR serieus te nemen.

De boete zelf is ook een interessant aspect van de beslissing. Niet alleen omdat hij enorm is, maar ook vanwege de manier waarop hij is berekend. De boete was niet gebaseerd op de wereldwijde jaaromzet van Meta Platforms Ireland, maar op die van de hele Meta groep. De boete voor Meta Platforms Ireland was dus evenredig met de enorme bedragen die de hele groep bedrijven onder Meta verdiende, en daarom is het bedrag zo groot!

Als toezichthouders in de toekomst vasthouden aan deze aanpak, zullen multinationals het nalevingsrisico niet kunnen beperken door zich te beroepen op de relatief kleine omvang van hun Europese dochterondernemingen.

Het is ook de moeite waard om op te merken dat GDPR-boetes "slechts" 4% van de wereldwijde jaaromzet van een bedrijf mogen bedragen. Aan de andere kant staan de nieuwe Digital Services Act en Digital Markets Act van de EU boetes toe van respectievelijk 6% en 10%. Als regelgevers dezelfde aanpak blijven volgen, dan kunnen we in de toekomst een aantal zeer hoge boetes zien.

(Update: de nieuwe EDPB-richtlijnen voor de berekening van boetes bevestigen deze aanpak voor GDPR-overtredingen)

Wat gebeurt er nu?

Meta heeft nu zes maanden de tijd om de gegevensoverdracht te stoppen en de persoonlijke gegevens te wissen die al zijn doorgegeven aan de VS (de tijdlijn is eigenlijk iets ingewikkelder, maar dit is de essentie).

Zoals we nog niet zo lang geleden hebben uitgelegd, betekent dit niet dat Facebook morgen dichtgaat. De mogelijkheid van een black-out van Facebook in Europa is reëel, maar hangt af van een aantal factoren.

De EU en de VS hebben stappen gezet in de richting van een nieuw kader voor gegevensoverdracht (het zogenaamde Trans-Atlantic Data Privacy Framework) tussen de EU en de VS. Op basis van dit raamwerk heeft de EU-Commissie later een adequaatheidsbesluit voor de VS opgesteld, dat wil zeggen een besluit dat een land groen licht geeft als veilige bestemming voor gegevens en dat gegevensoverdracht veel gemakkelijker maakt. Het ontwerp moet nog door de lidstaten worden goedgekeurd en zal waarschijnlijk worden aangenomen (ondanks het overweldigende negatieve advies van het Europees Parlement).

Als het wordt goedgekeurd voor de deadline die is opgelegd door de DPC, zal het adequaatheidsbesluit Meta redden door de bel. Maar dit ziet er lastig uit.

Het nieuwe kader voor gegevensoverdracht is gebaseerd op een complex toezichtsysteem voor Amerikaanse inlichtingenactiviteiten met betrekking tot buitenlandse gegevens. Dit systeem moet volledig geïmplementeerd zijn voordat het passendheidsbesluit kan worden afgerond. De leden van het Data Protection Review Court zijn bijvoorbeeld nog niet benoemd en de EU is nog niet aangewezen als "kwalificerende staat" (dat wil zeggen, een entiteit of internationale organisatie waarop het systeem van toepassing is). Het is moeilijk te zeggen of zes maanden voldoende zullen zijn voor de VS om de implementatie van het systeem af te ronden en voor de Commissie om het besluit over gepastheid af te ronden.

Als de beslissing later wordt genomen, worden de zaken ingewikkelder voor Meta. Het bedrijf is van plan om de beslissing aan te vechten en om uitstel te vragen voor de beslissing van de DPC. Dit zou het bedrijf wat meer tijd kunnen geven.

De gevreesde black-out van Facebook hangt dus uiteindelijk af van de timing van de beslissing over de toereikendheid en de uitkomst van Meta's toekomstige rechtszaken.

Natuurlijk staat er meer op het spel dan alleen Facebook. Talloze Europese bedrijven vertrouwen op Amerikaanse dienstverleners en niet alle vereiste gegevensoverdrachten voldoen aan de GDPR.

De toekomst van de gegevensoverdracht tussen de EU en de VS hangt uiteindelijk af van het Trans-Atlantic Data Privacy Framework. Het beeld is niet al te rooskleurig: het Hof van Justitie van de EU heeft al twee van dergelijke kaders ongeldig verklaard omdat ze Europese gegevens niet voldoende beschermden, en het nieuwe kader zal zeker ook kritisch worden bekeken. Met andere woorden, Schrems III ligt al in het verschiet.

Het is moeilijk te zeggen hoe Schrems III zal uitpakken: het nieuwe kader is zeker een verbetering ten opzichte van het verleden, maar delen ervan kunnen nog steeds problematisch zijn voor het Hof van Justitie. En het helpt zeker niet dat het Europees Parlement met een overweldigende meerderheid tegen het ontwerp heeft gestemd. Hoewel de stem van het Parlement niet bindend is, kan het het Hof aanzetten tot een strenger onderzoek van het nieuwe kader.

Kortom: acht jaar na Schrems I is de toekomst van gegevensoverdracht tussen de EU en de VS nog steeds onzeker.

Conclusies

Het heeft tien jaar langer geduurd dan nodig was, maar we zijn blij dat de privacywetgeving nu eindelijk goed wordt gehandhaafd tegen Meta.

We zijn ook blij dat we jullie over deze zaak kunnen vertellen op onze blog! We hopen dat we, door het juridische jargon tot een minimum te beperken, ons publiek net zo gepassioneerd kunnen maken over privacywetgeving als wij.

Onze passie voor privacy is wat Simple Analytics tot leven heeft gebracht. We vinden dat we allemaal respect moeten hebben voor privacy en moeten proberen meer te doen met minder persoonlijke gegevens. Als het gaat om web analytics, stelt Simple Analytics u in staat om precies dat te doen door u inzichten te geven zonder persoonlijke gegevens te verzamelen. Privacy is onze prioriteit, geen bijzaak.

Wij geloven dat het internet een onafhankelijke plek moet zijn die vriendelijk is voor websitebezoekers. Als dit je aanspreekt, probeer ons dan gerust uit!