Vandaag heeft het Hof van Justitie van de Europese Unie het Privacy Shield besluit ongeldig verklaard. Privacy Shield is de naam van de afspraken die Europa met de VS heeft gemaakt over naleving van de Europese privacy-regels als persoonsgegevens van Europese burgers in de VS worden opgeslagen.

De zaak is aanhangig gemaakt door een Oostenrijker, Max Schrems, die de Ierse privacy-toezichthouder heeft verzocht Facebook te verbieden om zijn persoonsgegevens naar de servers van het bedrijf in de VS door te geven omdat zijn persoonsgegevens in de VS onvoldoende worden beschermd. Dat beschermingsniveau is voor alle Europese burgers van belang.

Het Hof is onder meer van oordeel dat het beschermingsniveau in de VS onvoldoende is. De Amerikaanse regels inzake nationale veiligheid, het algemeen belang en de naleving van de hun wetgeving hebben voorrang, waardoor inmenging mogelijk wordt in de grondrechten van de personen van wie persoonsgegevens naar de Verenigde Staten worden doorgegeven. Onder meer kunnen grondrechten worden geschonden door middel van de Amerikaanse surveillanceprogramma’s. Ook de rechtsbescherming wordt onvoldoende geacht.

Uit het persbericht van het Hof:

Ten slotte toetst het Hof de geldigheid van besluit 2016/1250 aan de eisen van de AVG, gelezen tegen de achtergrond van de bepalingen van het Handvest die de eerbiediging van het privéleven en van het familie- en gezinsleven, de bescherming van persoonsgegevens en het recht op een doeltreffende voorziening in rechte waarborgen. Het constateert dat dit besluit, net als besluit 2000/520, bepaalt dat de eisen inzake nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving voorrang hebben, waardoor inmenging mogelijk wordt in de grondrechten van de personen van wie persoonsgegevens naar de Verenigde Staten worden doorgegeven. Volgens het Hof zijn de door de Commissie in besluit 2016/1250 beoordeelde beperkingen op de bescherming van persoonsgegevens die voortvloeien uit de interne regeling van de Verenigde Staten inzake de toegang tot en het gebruik door de Amerikaanse overheidsinstanties van dergelijke gegevens die vanuit de Unie naar de Verenigde Staten worden doorgegeven, niet zodanig afgebakend dat wordt voldaan aan eisen die in grote lijnen overeenkomen met die welke in het Unierecht door het evenredigheidsbeginsel worden gesteld, aangezien de op deze interne regeling gebaseerde surveillanceprogramma’s niet tot het strikt noodzakelijke zijn beperkt. Op basis van de constateringen in dit besluit merkt het Hof op dat voor sommige surveillanceprogramma’s op geen enkele wijze uit die regeling blijkt dat er beperkingen gelden voor de daarin vervatte bevoegdheid tot uitvoering van die programma’s of dat er garanties bestaan voor niet-Amerikanen die potentieel in het oog worden gehouden. Het Hof voegt hieraan toe dat die regeling weliswaar eisen stelt die door de Amerikaanse autoriteiten moeten worden nageleefd bij de uitvoering van surveillanceprogramma’s, maar dat aan de betrokkenen geen voor de rechter afdwingbare rechten tegenover de Amerikaanse autoriteiten worden toegekend.

Wat de vereiste rechterlijke bescherming betreft, oordeelt het Hof dat, anders dan de Commissie in besluit 2016/1250 heeft overwogen, het in dit besluit bedoelde ombudsmanmechanisme aan deze personen geen mogelijkheid biedt om in beroep te gaan bij een orgaan dat waarborgen biedt die in grote lijnen overeenkomen met die welke door het Unierecht worden vereist, en die zowel de onafhankelijkheid van de ombudsman waarin dit mechanisme voorziet, als het bestaan van regels die de ombudsman de bevoegdheid verlenen om besluiten te nemen die bindend zijn voor de Amerikaanse inlichtingendiensten, kunnen verzekeren. Om al deze redenen verklaart het Hof besluit 2016/1250 ongeldig.

De uitspraak heeft grote gevolgen voor internationaal opererende ondernemingen die persoonsgegevens van Europeanen in de VS opslaan.

Uitspraak:

• Persbericht Hof, in het Nederlands, in het Engels.
• Uitspraak: Nederlands, Engels.
• Overzichtspagina zaak C-311/18.

Informatie bij noyb, de organisatie van Schrems:

NOYB team, (c) 2018 noyb

• CJEU invalidates “Privacy Shield” in US Surveillance case. SCCs cannot be used by Facebook and similar companies, 16 juli 2020.
• Fact check: Facebook can no longer rely on SCC, 16 juli 2020.
• Most common misunderstandings in reporting on the CJEU case, 15 juli 2020

BREAKING: The EU’s Court of Justice has just invalidated the “Privacy Shield” data sharing system between the EU and the US, because of overreaching US surveillance. All details available here: https://t.co/Q5Mr19flmf #PRISM #FISA702 #Privacy #PrivacyShield #SCCs #GDPR #CJEU pic.twitter.com/BBkDXvXEcG

— noyb (@NOYBeu) July 16, 2020

Enige artikelen over de uitspraak:

• Europees hof verklaart Privacyschild-verdrag met VS ongeldig, security.nl
• Europe’s top court strikes down flagship EU-US data transfer mechanism, TechCrunch

Eerste reacties op twitter

Mensenrechten gelden alleen voor Amerikanen (en dan zelfs niet altijd):

Following the Schrems II ruling, U.S. official told reporters this afternoon that changes to the U.S. surveillance regime are likely not “advisable or possible” at this stage

— Vincent Manancourt (@vmanancourt) July 16, 2020

Iemand die de uitspraak al gelezen heeft, de uitspraak is voer voor privacy-juristen:

After having studied #SchremsII (full judgment), the following aspects are noteworthy (thread): First, CJEU discusses whether EU law applies based on material scope (Art. 2 GDPR) and does not discuss territorial scope (Art. 3) – its relationship with transfers remains mysterious

— Laura Drechsler (@DrechslerLaura) July 16, 2020

En wat komt er na Privacy Shield?

I hope a possible replacement won’t have the same horrible loopholes to evade enforcement as Privacy Shield. https://t.co/axjl6SU3nd

— Floor (@floorter) July 16, 2020

Aanvulling 24 juli 2020
Er is al weer meer geschreven, een greep:

• Lokke Moerel, Hoogleraar over ‘baanbrekende’ EU-uitspraak delen persoonsdata: te grote opgave voor bedrijven.
• Daniel Solove, Schrems II: Reflections on the Decision and Next Steps.
• Axel Arnbak, Privacy voor Europese data buiten de EU komt niet van Europese politiek, maar van multinationals.
• Martin Abrams, Time for a Global Treaty.

Noyb geeft tips:

How should EU companies start their “case by case” analysis when using a US provider/partner? ⁦‪@NOYBeu‬⁩ has put together a free “Model Request Form” that EU controllers can use to take swift action! >>>

Overheid:
EDPS Statement following the Court of Justice ruling in Case C-311/18 Data Protection Commissioner v Facebook Ireland Ltd and Maximilian Schrems (“Schrems II”) | European Data Protection Supervisor

The #EDPS has released a Statement following the #ECJ court ruling in Case C-311/18 Data Protection Commissioner v Facebook Ireland Ltd and Maximilian Schrems (“Schrems II”). As a supervisory authority of the #EUIs, the EDPS is carefully analysing the consequences of the judgment on the contracts concluded by EU institutions, bodies, offices and agencies. The EDPS trusts that the United States will deploy all possible efforts and means to move towards a comprehensive data protection and privacy legal framework, which genuinely meets the requirements for adequate safeguards reaffirmed by the Court.