Wat stond ook alweer centraal in deze zaak?
“Schrems II” is de tweede zaak van Maximilian Schrems, de bekende Oostenrijkse privacy activist, over de verwerking van zijn persoonsgegevens door Facebook Ireland. Meer in het bijzonder; over het feit dat Facebook Ireland zijn persoonsgegevens verstrekte aan moederbedrijf Facebook, Inc. in de VS, waar volgens Schrems geen passend beschermingsniveau bestaat voor persoonsgegevens en waar zijn privacy dus niet voldoende wordt gewaarborgd.
Op grond van de Europese privacyregelgeving (voorheen de Privacyrichtlijn, nu de Algemene Verordening Gegevensbescherming (AVG)), geldt dat persoonsgegevens niet zomaar mogen worden doorgegeven aan personen of organisaties die gevestigd zijn in landen buiten de Europese Economische Ruimte (derde landen). Dit mag alleen indien het door de AVG gewaarborgde beveiligingsniveau voor persoonsgegevens niet wordt ondermijnd in die derde landen. De AVG noemt een aantal mogelijkheden om dit te bewerkstelligen, waarvan er twee ter discussie staan in de zaak Schrems II: de doorgifte op basis van een ‘adequaatheidsbesluit’ (in dit geval: over het Privacy Shield verdrag tussen de EU en de VS, op basis waarvan persoonsgegevens doorgegeven kunnen worden vanuit de EU naar de VS2) en de doorgifte op basis van ‘standaardbepalingen’ (ook wel bekend als de SCC).
Eerder al, in 2015, had Schrems een andere mogelijkheid voor doorgifte onderuitgehaald; het Safe Harbor regime (de voorloper van Privacy Shield). In de baanbrekende uitspraak “Schrems I”3, was het Hof met Schrems van oordeel dat Safe Harbor geen passende waarborgen bood voor de bescherming van zijn persoonsgegevens in de VS. ‘Schrems I’ had tot gevolg dat Facebook (net als talloze andere organisaties) geen persoonsgegevens meer kon doorgeven aan de VS op basis van Safe Harbor, en dus op zoek moest naar een alternatieve manier, in overeenstemming met de Europese privacywetgeving. Facebook kwam uit op het gebruik van de SCCs.
Prejudiciële vragen
Intussen lag de klacht van Schrems opnieuw ter beoordeling voor bij de Ierse privacy-toezichthouder (na terugverwijzing van de zaak door het Hof). Nu Safe Harbor ongeldig was verklaard, had Schrems zijn klacht geherformuleerd. Hij stelde nu (kort samengevat) dat de VS geen adequate bescherming bood voor zijn persoonsgegevens, en dat zijn gegevens dus niet rechtsgeldig konden worden doorgegeven aan Facebook, Inc. De Ierse privacy-toezichthouder meende dat hij met zijn klacht de geldigheid van de SCCs in twijfel trok.
Op 4 mei 2018 (drie weken vóór de inwerkingtreding van de AVG) heeft het Ierse hooggerechtshof, waar de zaak inmiddels was beland, hierover elf prejudiciële vragen gesteld aan het Hof. De meest prangende vraag: bieden de SCCs voldoende waarborgen om een passend beschermingsniveau te bieden? Nu Facebook, Inc. intussen ook gecertificeerd was onder het Privacy Shield regime, heeft het gerechtshof ook gevraagd naar een oordeel over de geldigheid van het Privacy Shield.
Wat oordeelt het Hof?
AAllereerst valt op dat het Hof de geldigheid van de SCCs en het Privacy Shield toetst aan de AVG, hoewel de prejudiciële vragen werden gesteld voordat de AVG in werking trad en de klacht van Schrems nog zag op de Privacyrichtlijn. Het Hof geeft hiervoor als uitleg dat de eindbeslissing op de klacht van Schrems nog niet is genomen, en dat de verdere beoordeling van de klacht dus onder de AVG zal moeten plaatsvinden.4
SCCs
Over de geldigheid van de SCCs oordeelt het Hof - kort samengevat - dat het bestaan van een dergelijk modelcontract moet zorgen voor een beschermingsniveau dat in grote lijnen overeenkomt (dat ‘essentialy equivalent’ is) met het beschermingsniveau binnen de Europese Unie (EU). Het Hof geeft aan dat bij de beoordeling van dit beschermingsniveau rekening moet worden gehouden met (i) de contractuele bepalingen zelf (dus de inhoud van de SCCs), en (ii) de relevante aspecten van het rechtsstelsel van het derde land waar de gegevens naartoe gaan (zoals de eventuele toegang door overheidsinstanties). Opvallend is dat het Hof daarbij expliciet verwijst naar de criteria genoemd in artikel 45 lid 2 AVG (de criteria die de Europese Commissie in acht moet nemen bij het nemen van een adequaatheidsbesluit).5
Het Hof stelt vervolgens vast dat de SCCs in voldoende mate waarborgen dat een door de AVG vereist beschermingsniveau wordt geboden. Zo kan de doorgifte van persoonsgegevens worden opgeschort of verboden ingeval de bepalingen van de SCCs worden geschonden of niet kunnen worden nageleefd. Indien de verwerkingsverantwoordelijke dan toch persoonsgegevens zou blijven doorgeven, dan is het aan de nationale toezichthoudende autoriteiten om die doorgiften te verbieden of op te schorten (indien het vereiste beschermingsniveau niet op andere wijze kan worden gewaarborgd), aldus het Hof. De SCCs blijven dan ook overeind.
Privacy Shield
Over de geldigheid van het Privacy Shield, zegt het Hof (vergelijkbaar met haar oordeel over Safe Harbor), dat deze regeling niet kan zorgen voor een beschermingsniveau dat in grote lijnen overeenkomt met het beschermingsniveau dat binnen de EU wordt gewaarborgd. Kort gezegd zijn de inmenging van Amerikaanse overheidsorganen en de daar bestaande surveillanceprogramma’s niet tot het strikt noodzakelijke beperkt. Het Hof voegt hieraan toe dat aan de betrokkenen geen voor de rechter afdwingbare rechten tegenover de Amerikaanse autoriteiten worden toegekend. Ook het ombudsmanmechanisme dat in het Privacy Shield verdrag zit vervat, biedt geen afdoende waarborgen voor een noodzakelijk en effectieve rechterlijke bescherming. Het Hof verklaart het adequaatheidsbesluit over het Privacy Shield dan ook ongeldig.6
Wat is het gevolg van de uitspraak?
De uitspraak van het Hof heeft tot gevolg dat organisaties die persoonsgegevens doorgeven aan partijen in de VS, op basis het Privacy Shield regime, niet voldoen aan de AVG. Dit geldt voor toekomstige gegevensstromen, maar óók voor gegevens die in het verleden zijn verstrekt maar nog steeds inzichtelijk of toegankelijk zijn voor een partij in de VS (wat immers ook als doorgifte kwalificeert). Deze organisaties zullen nu zo snel mogelijk moeten zorgen voor alternatieve waarborgen.
Het sluiten van de SCCs is dan een praktisch en voor de hand liggend alternatief. De uitspraak van vandaag leert dat het gebruik van de SCCs mogelijk blijft. Een belangrijke vraag is dan echter of de SCCs wél voor een voldoende beschermingsniveau zorgen bij doorgiften aan de VS of andere derde landen. Deze vraag heeft het Hof niet direct beantwoord. De afweging zal – per geval – door de verwerkingsverantwoordelijken zélf moeten worden gemaakt, mede aan de hand van de criteria uit artikel 45 lid 2 AVG. Dit vereist een analyse van onder meer het rechtsstelsel van het derde land, de rechtsstatelijkheid en eerbiediging van grondrechten, de toegang van overheidsinstanties tot persoonsgegevens, het bestaan van effectieve handhavingsmechanismen voor betrokkenen en het effectief functioneren van toezichthoudende autoriteiten. Ook de aard en omvang van de persoonsgegevens zullen een rol spelen in de afweging. Op grond van de verantwoordingsplicht onder de AVG, zal deze analyse bovendien goed moeten worden gedocumenteerd.
Al met al geen eenvoudige opgave. Hoewel het erger had gekund: zouden de SCCs óók ongeldig zijn verklaard vandaag, was een alternatieve manier om gegevens te kunnen blijven doorgeven niet direct voorhanden geweest. Andere mechanismen voor doorgiften waar de AVG in voorziet, zoals bindende bedrijfsvoorschriften (de ‘Binding Corporate Rules’), een gedragscode of door de nationale toezichthouder vastgestelde (en door de Europese Commissie goedgekeurde) standaardbepalingen, zijn immers niet in een dag geregeld. Dit zou een vacuüm hebben opgeleverd, met als gevolg dat ontelbare gegevensstromen die dagelijks plaatsvinden op basis van de SCCs, per direct hadden moeten stoppen of onrechtmatig waren geworden. Nu ruim 88% van de Europese bedrijven de SCCs schijnen te gebruiken voor hun doorgiften (zo volgt althans uit onderzoek van de IAPP7), zal de uitspraak in ieder geval op dit punt tot een zucht van verlichting leiden.
De, veelal met onderbezetting kampende, toezichthoudende autoriteiten in de EU zullen zuchten om een andere reden. Zij lijken er werk bij te krijgen, nu zij erop moeten toezien dat verwerkingsverantwoordelijken de juiste analyse maken over het beschermingsniveau in derde landen. Of dit wenselijk is, is de vraag. Niet alleen vanwege capaciteitsproblemen, maar met name omdat er eenvoudig een gefragmenteerde aanpak kan ontstaan van de verschillende nationale toezichthouders in de Lidstaten. Dit werkt juridische onzekerheid in de hand; wordt het straks makkelijker om vanuit Duitsland persoonsgegevens door te geven, of is het minder risicovol om dat vanuit Nederland te doen? Het zal de komende jaren duidelijk worden. Net als de vraag of de VS en de EU zich zullen wagen aan een derde poging om tot een adequaat verdrag voor gegevensuitwisseling te komen.
1. Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems, 16 juli 2020, Case C-311/18.
2. Het besluit van de Europese Commissie van 12 juli 2016 dat het EU-US-Privacy Shield verdrag van 2 juli 2016 een passende waarborg biedt voor gegevensdoorgiften: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_e
3. 6 October 2015 (Case C-362/14)
4. Overweging 77 – 79.
5. Overweging 105.
6. Het hof heeft met haar uitspraak de eerder genomen conclusie van advocaat-generaal Saugmandsgaard Øe (Opinion of Advocate General Saugmandsgaard Øe, 19 december 2019, Case c‑311/18) deels gevolgd. Ook de advocaat-generaal concludeerde dat de SCCs in stand konden blijven, en was weliswaar kritisch op het Privacy Shield, maar benadrukte dat het Hof zich niet hoefde uit te laten over de geldigheid ervan. Dat het Hof dat nu toch heeft gedaan, heeft wellicht te maken met de nog aanhangige zaak La Quadrature du Net (La Quadrature du Net and Others v Commission, Case T-738/16). In deze zaak staat de geldigheid van het Privacy Shield specifiek ter discussie en het Hof was er dus niet aan ontkomen om zich daar (alsnog) over te buigen.
7. https://iapp.org/resources/article/iapp-ey-annual-governance-report-2019/