In een recent persbericht (alleen in het Duits) heeft Stefan Brink, commissaris voor gegevensbescherming en vrijheid van informatie van de deelstaat Baden-Württemberg, zijn kritiek geuit op het uitvoeringsbesluit van de Amerikaanse president Joe Biden inzake de doorgifte van gegevens.
Voor alle duidelijkheid: de commissaris is niet de gegevensbeschermingsautoriteit van Baden-Württemberg en zijn standpunten weerspiegelen niet noodzakelijk die van de autoriteit. Hij is echter de eerste privacy-instelling in Europa die commentaar levert op het uitvoeringsbesluit, dus zijn kritiek is het overwegen waard. Maar eerst hebben we wat context nodig.
Laten we het uitzoeken!
De nasleep van Schrems II
We schreven hier al uitgebreid over gegevensoverdrachten, dus hier is het verhaal in een notendop. In 2020 deed het Hof van Justitie van de EU het baanbrekende Schrems II-arrest. Deze uitspraak maakte gegevensoverdracht naar de VS om verschillende redenen lastig voor bedrijven in de EER.
Vóór de uitspraak konden persoonsgegevens naar de VS worden doorgegeven op basis van een kader voor gegevensoverdracht met de naam Privacy Shield. Het Hof van Justitie heeft dit kader in Schrems II ongeldig verklaard, waardoor bedrijven op andere instrumenten moeten vertrouwen om hun gegevens rechtmatig te exporteren.
De meeste bedrijven moeten vertrouwen op standaardcontractbepalingen (SCC's). SCC's zijn een reeks door de Europese Commissie opgestelde juridisch bindende clausules die moeten worden opgenomen in een juridisch bindend contract met de ontvanger van de gegevens. SCC's binden de ontvangende staat echter niet. Dit is problematisch: In de zaak Schrems draait het om Amerikaanse surveillance, en de SCC's kunnen niet voorkomen dat de NSA toegang krijgt tot Europese gegevens.
Het Schrems II-arrest ging ook over SCC's en onderzocht hun geldigheid als mechanisme voor gegevensoverdracht. Het Hof oordeelde dat SCC's een geldig mechanisme zijn voor gegevensoverdrachten, zelfs wanneer het gaat om "onveilige" staten, op voorwaarde dat de voor de verwerking verantwoordelijke effectieve aanvullende waarborgen treft om de gegevens te beschermen. In de praktijk is dat moeilijk en voor bepaalde soorten doorgiften zelfs onmogelijk. Het Hof heeft de SCC's dus in wezen "gespaard", maar veel lastiger gemaakt.
Na Schrems II zijn de Europese gegevensbeschermingsautoriteiten begonnen met een hardere aanpak van gegevensoverdrachten. Drie gegevensbeschermingsautoriteiten hebben Google Analytics in wezen verboden (we hebben hier uitgebreid over geschreven), en de DPC heeft een ontwerpbesluit aangekondigd om de doorgifte van gegevens voor Meta Platforms Ireland stop te zetten. Deze gegevensbeschermingsautoriteiten volgen een gecoördineerde aanpak1, dus de kans is reëel dat anderen hun voorbeeld zullen volgen en dat andere Amerikaanse dienstverleners onder vuur komen te liggen. Dit schept een klimaat van rechtsonzekerheid rond de doorgifte van gegevens in de VS.
Het nieuwe decreet
De recente executive order van Joe Biden is een eerste stap naar een nieuw kader, het zogenaamde Trans-Atlantic Data Privacy Framework. Het bevel voert enkele materiële regels in om de reikwijdte van surveillance te beperken en zet een ingewikkeld systeem op om mensen in de EU2 rechtsmiddelen te bieden.
In de komende maanden zal vrijwel zeker een besluit van de Europese Commissie inzake adequaatheid volgen, waarbij de VS in wezen het groene licht krijgen als "veilig" land voor gegevensoverdrachten. Hierdoor zullen Europese bedrijven persoonsgegevens kunnen doorgeven zonder dat zij SCC's en aanvullende waarborgen hoeven te implementeren.
Bedrijven aan beide zijden van de oceaan hopen dat het nieuwe kader rechtszekerheid zal brengen en een probleemloze doorgifte van gegevens mogelijk zal maken. Het toekomstige besluit inzake adequaatheid zal echter zeker kritisch worden bekeken door het Hof van Justitie. Privacy-ngo noyb bekritiseerde het nieuwe kader en zal het waarschijnlijk aanvechten bij het Hof van Justitie.
Persbericht van de functionaris voor gegevensbescherming
In de komende maanden zal de EDPB een advies over de zaak uitbrengen als onderdeel van de besluitvormingsprocedure voor het besluit inzake adequaatheid. Hoewel het advies van de EDPB niet bindend is, zal het ons meer inzicht geven in de kernpunten van Schrems III.
Ondertussen heeft de commissaris voor gegevensbescherming en vrijheid van informatie van de Duitse deelstaat Baden-Württemberg zijn bezorgdheid geuit over het nieuwe uitvoeringsbesluit. Interessant is dat een aantal van de door de commissaris genoemde kwesties ook door noyb in een recent persbericht naar voren zijn gebracht (dezelfde die we hierboven hebben gelinkt):
- Personen die een klacht indienen, krijgen zeer weinig informatie over de beslissing. Dit kan het in de praktijk moeilijk maken om tegen beslissingen in beroep te gaan.
- Het Data Protection Review Court (dat het laatste woord heeft over elke surveillanceklacht) is een tak van de uitvoerende macht en geen onderdeel van het Amerikaanse rechtssysteem. Het is onduidelijk of het HvJEU dit Hof als onafhankelijk zal beschouwen.
- Het feit dat het uitvoerend bevel proportionaliteit3 vermeldt, betekent niet dat het VS-surveillancesysteem in feite proportioneel is, aangezien het begrip proportionaliteit verschillend kan worden uitgelegd door het Hof van Beroep voor gegevensbescherming en door het Hof van Justitie van de EU.
De commissaris uitte ook andere bezwaren. Zo kunnen uitvoeringsbevelen naar believen door de president worden ingetrokken, wat ze ongeschikt maakt voor de bescherming van individuele rechten. En het is nog onduidelijk hoe het uitvoeringsbevel zal interageren met bestaande surveillancevoorschriften.
Slotopmerkingen
Het uitvoeringsbevel is zeer complex en het zal de privacygemeenschap enige tijd kosten om alles uit te pakken. Het is moeilijk te zeggen hoe een "Schrems III"-zaak zal uitpakken, maar het is nu al duidelijk dat het nieuwe kader in verschillende opzichten potentieel problematisch is. In het algemeen is de toekomst van de doorgifte van gegevens in de VS nog onduidelijk.
Wij, Simple Analytics, houden u via onze privacynieuwsbrief op de hoogte. Als u aan de veilige kant wilt zitten, zijn er privacy-vriendelijke en GDPR-conforme alternatieven voor Google Analytics. Wij zijn er één van. Bekijk gerust wat wij hier bouwen. In tegenstelling tot Google geloven wij in het creëren van een onafhankelijk web dat vriendelijk is voor websitebezoekers. Als dit resoneert met u, voel u dan vrij om ons te proberen.
#1 De beslissingen tegen Google Analytics houden verband met 101 klachten die NGO noyb heeft ingediend over gegevensoverdrachten. De EDPB heeft een taakgroep opgericht om de aanpak van de gegevensbeschermingsautoriteiten op Europees niveau te coördineren [^2]: Het systeem zal toegankelijk zijn voor iedereen in de EU, omdat zij onder de GDPR gegevensbeschermingsrechten genieten ongeacht hun nationaliteit. [^3]: Proportionaliteit is een specifiek begrip in het EU-recht en speelde een belangrijke rol in de Schrems II-beschikking. In dit verband, en als vuistregel, kun je een maatregel (zoals overheidstoezicht) als evenredig beschouwen wanneer deze zowel noodzakelijk is voor een legitiem doel, als niet buitensporig. Zie art. 52, lid 1, van het Handvest van de grondrechten van de Europese Unie.