SCHREMS VS FACEBOOK: DAVID BEATS GOLIATH

Facebook telt wereldwijd meer dan 2,45 miljard gebruikers en een duizelingwekkende hoeveelheid persoonlijke gegevens. Nochtans is vrijwel iedereen zich ervan bewust dat deze gegevens niets ‘persoonlijks’ meer hebben zodra ze in het bezit zijn van deze Amerikaanse reus. Privacy bestaat gewoonweg niet op Facebook. Dat is waarom Max Schrems, een jonge Oostenrijkse advocaat, het al acht jaar lang opneemt tegen de techreus. Hij pleit voor echte privacybescherming en een gelijkwaardige behandeling van persoonsgegevens in Europa en de Verenigde Staten.

SCHREMS VS FACEBOOK:  DAVID BEATS GOLIATH

TERUG NAAR 2011

We schrijven 2011. Max Schrems realiseert zich dat Facebook een op zijn zachtst gezegd ‘minder correcte interpretatie’ van de wet hanteert. Hij vraagt om een kopie van alle gegevens die het Facebook over hem heeft. Wat hij terugkrijgt? Een bestand van 1222 pagina’s, waaronder data die hij had gedeletet en persoonlijke gegevens die hij niet zelf aan Facebook had doorgegeven.

Max dient een klacht in bij de Ierse gegevensbeschermingsautoriteit voor 22 inbreuken, maar krijgt uiteindelijk het deksel op de neus: de autoriteit weigert formeel te reageren of Facebook’s praktijken legaal zijn of niet. Het zal nog twee jaar duren voordat Facebook opnieuw met de vinger wordt gewezen. Dit na onthullingen over de surveillancepraktijken van de NSA (National Security Agency).

SAFE HARBOR ONGELDIG

Safe Harbor is een overeenkomst die in 2000 werd ondertekend tussen de Europese Commissie en het Amerikaanse Ministerie van Handel. In het kader van die afspraak is de overdracht van gegevens richting de VS enkel toegestaan als er een ‘adequaat beschermingsniveau’ gewaarborgd is. Na Schrems volgen meer klachten, tegen Apple en Facebook in Ierland, maar ook tegen Skype in Luxemburg, en Yahoo in Duitsland. De klacht tegen Facebook gaat hogerop naar het Hof van Justitie van de Europese Unie. Een baanbrekend arrest maakt Safe Harbor in 2015 ongeldig.

Dit is het ‘Tsjernobylmoment van het privacydebat’, om de woorden van Max Schrems te gebruiken. Na de beslissing van het Hof was er geen raamovereenkomst meer. Dit betekende de facto rechtsonzekerheid voor Amerikaanse bedrijven. Daarom knoopte het Europees Parlement de heronderhandelingen over Safe Harbor, die sinds 2014 gaande waren, weer aan. Uiteindelijk mondde dit uit in de bekende Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 in werking trad.

EN TOEN?

Een van de principes van de AVG is dat men persoonsgegevens niet mag doorgeven aan een land dat niet hetzelfde beschermingsniveau biedt. De AVG bepaalt echter ook dat de Europese Commissie in bepaalde gevallen kan besluiten om dit principe terzijde te schuiven. Dit was het geval tijdens de implementatie van Safe Harbor. Het opstellen van ‘standaardclausules’ werd ook gezien als een manier om gegevens toch te kunnen overdragen aan een derde land.

Na de goedkeuring van de Europese verordening zijn veel inspanningen geleverd, maar de soms vage formuleringen waren vatbaar voor interpretatie. Ook het probleem van de Amerikaanse toezichtwetten was hiermee niet opgelost. De opvolger van Safe Harbor, Privacy Shield, trad op 1 augustus 2016 in werking, maar was wederom niet de oplossing. Privacy Shield bood onvoldoende garanties tegen het willekeurig verzamelen van gegevens en de inmenging van Amerikaanse spionagediensten. Sommige gekozen termen waren nog steeds vaag en ‘het algemeen belang en het naleven van de Amerikaanse wetgeving’ werd nog steeds te vaak ingeroepen om gegevensverzameling en verregaand toezicht te rechtvaardigen.

JURIDISCHE BESLISSINGEN

In december 2019 werd in Schrems II, de tweede grote rechtszaak van Schrems vs Facebook, reikhalzend uitgekeken naar de conclusie van Henrik Saugmandsgaard Øe, de advocaat- generaal van het Europees Hof. In deze zaak kwam ook de kwestie ter sprake van het delen van gegevens en de bescherming ervan in het kader van de relatie tussen Facebook Ierland en Facebook US. De conclusie van de advocaat-generaal was dat het delen van gegevens buiten de Europese Unie op basis van contractuele standaardclausules op zich niet onrechtmatig is, mits de partij die gegevens exporteert ‘respect voor de fundamentele belangen van Europese burgers’ kan waarborgen. Het Hof oordeelde in een eerdere uitspraak echter dat dit niet het geval was voor de Verenigde Staten, omdat de VS geen vergelijkbare beschermingsmaatregelen biedt als Europa.

DE LAATSTE UPDATE

Op 16 juli 2020 nam het Hof haar besluit en verklaarde ze het EU-VS Privacy Shield ongeldig. De contractuele standaardclausules bestaan nog wel. Maar de partij die de gegevens exporteert moet verplicht nagaan of het land van bestemming evenwaardige beschermingsgaranties biedt. In haar arrest oordeelde het Hof dat, aangezien de contractuele standaardclausules niet echt konden worden toegepast en de overgedragen gegevens ipso facto voldoende beschermd waren, het aan de toezichthoudende autoriteiten is om dergelijke bepalingen op te schorten of te verbieden. De rechtbank vond enerzijds dat Facebook en soortgelijke bedrijven zich niet achter dergelijke clausules mogen verschuilen en anderzijds dat toezichthouders een actieve rol moeten spelen en concrete maatregelen moeten nemen in lijn met de AVG. Het Hof maakte ook duidelijk dat de onderwerping aan Amerikaanse wetten in strijd is met de grondrechten die van toepassing zijn binnen de Europese Unie en dit dus de facto verhindert dat beschermingsgaranties door de VS te allen tijde worden nageleefd.

CONCLUSIES

De recente uitspraak van het Hof heeft belangrijke gevolgen voor Europese bedrijven die gebruikmaken van Amerikaanse leveranciers. Een bedrijf dat bijvoorbeeld SaaS-software gebruikt met een CRM dat wordt gehost of beheerd in de VS, kan zich niet langer beroepen op contractuele standaardclausules om de naleving van de AVG te rechtvaardigen. Het is essentieel dat deze clausules in de praktijk gerespecteerd worden, wat echter maar al te zelden het geval is, gezien het aantal Amerikaanse bedrijven dat onderhevig is aan toezichtwetten. Bedrijven die onder de Amerikaanse toezichtwetten vallen, kunnen zich niet beroepen op de contractuele optie van de standaardclausules waarin de AVG voorziet wanneer Amerikaanse wetgeving alsnog kan dwingen om die bepalingen te overtreden. Het is voor Europese spelers ongetwijfeld eenvoudiger en veilige om samen te werken met andere Europese bedrijven, die dezelfde regels respecteren en dezelfde waarden hebben: bedrijven die het recht op privacy respecteren!