“Akkoord” over een nieuw Privacy Shield, of Schrems III op komst? (Sirius Legal)

Privacy & Gegevensbescherming | 5 april 2022

Auteur: Bart Van den Brande (Sirius Legal)

Al draagt de aap een gouden ring, het is en blijft een lelijk ding…

Tot eenieders verbazing lazen we vorige week in het kader van het bezoek van Joe Biden aan Brussel dat de VS en de EU “een princiepsakkoord” gesloten zouden hebben over “een nieuw wettelijk kader voor GDPR-conforme doorgifte van persoonsgegevens uit de EU naar de Verenigde Staten.”

Verbazend omdat alle indicaties tot op heden aangaven dat zo’n akkoord érg veraf was. Het juridische water tussen de EU en de VS is immers zeer diep: daar waar Europa absolute confidentialiteit van persoonsgegevens van haar burgers wil kunnen garanderen, gelden in de VS strenge interne veiligheidswetten die Amerikaanse geheime diensten als de NSA eigenlijk altijd toegang (kunnen) geven tot quasi alle Europese persoonsgegevens die verwerkt worden door Amerikaanse bedrijven. Die fundamentele verschillen in privacy-aanpak leidden in het verleden tot het Schrems I arrest, het Schrems II arrest en recent nog tot aanzienlijke boetes voor Oostenrijkse en Franse bedrijven die Google Analytics gebruikten zonder te voldoen aan Europa’s strenge data-exportregels.

De eerste vaststelling is dat het hier om een puur politiek akkoord gaat. Er is zelfs nog geen uitgeschreven tekstvoorstel. Dat voorstel uitschrijven kan nog maanden duren en in elk geval is het (onafhankelijke) advies van de European Data Protection Board nodig en zal er voldoende politieke steun vanuit het Europees Parlement moeten komen. De kans dat dat zonder slag of stoot gebeurt is érg klein…

De vraag is dus of hier werkelijk een oplossing voor transcontinentale data-uitwisseling voorligt, of dat het -om het met de woorden van Max Schrems zelf te zeggen- “lipstick on a pig” en een lege politieke intentieverklaring blijft en meteen ook het pad naar een Schrems III arrest van het Europees Hof van Justitie is ingezet…

Schrems I? Schrems II? Data export?

Heel wat technologiebedrijven zitten in de Verenigde Staten en er is dan ook heel wat data-export of export van persoonsgegevens van de EU naar de VS. Omdat de privacywetgeving in de VS echter absoluut niet hetzelfde “adequate” niveau haalt als de strenge vereisten die GDPR in de EU vooropstelt, is de VS nooit op de korte lijst met “veilige landen” geplaatst door de EU.

Om ervoor te zorgen dat Amerikaanse bedrijven toch handel konden blijven voeren met partners in de EU heeft men al geruime tijd geleden een ander en specifiek systeem opgezet voor gegevensuitwisseling tussen Europa en de Verenigde Staten. Dat systeem heette achtereenvolgens het Safe Harbor systeem en later het Privacy Shield en voorkwam dat Amerikaanse bedrijven een overeenkomst met standaard contractclausules moesten afsluiten met hun klanten in de EU telkens er gegevens aan hen doorgegeven moesten worden, bijvoorbeeld omdat die op hun servers bewaard of verwerkt moesten worden. Safe Harbor en het Privacy Shield zorgen ervoor dat Amerikaanse bedrijven geacht worden een adequaat niveau van veiligheid voor persoonsgegevens te kunnen garanderen als zij aan een aantal strikte voorwaarden voldoen en daartoe in de VS gecertificeerd worden. Het is dus niet de Amerikaanse wetgeving, maar wel het veiligheidsniveau aangeboden door Amerikaanse bedrijven dat “adequaat” is.

De eerste versie van dit systeem, Safe Harbor, werd in 2015 al succesvol aangevallen door Max Schrems, die van oordeel was dat geen enkel Amerikaans bedrijf een “adequaat” niveau van veiligheid voor persoonsgegevens kan garanderen omdat de Amerikaanse wetgeving aan Amerikaanse inlichtingendiensten vergaande rechten verleent om persoonsgegevens te monitoren en te analyseren. Deze klacht leidde er uiteindelijk toe dat het Safe Harbor systeem ongeldig werd verklaard en werd vervangen door een gelijkaardig systeem dat onder de naam Privacy Shield ging.

Ook dat tweede EU-VS akkoord, het zogenaamde “Privacy Shield”, werd op initiatief van opnieuw Max Schrems in 2020 onderuit gehaald. Het Europees Hof besliste -zeer terecht overigens- dat ook deze regeling niet kon zorgen voor een beschermingsniveau dat gelijkwaardig is aan het beschermingsniveau dat bestaat binnen de EU. Opnieuw was de reden daarvoor de vergaande inmenging van Amerikaanse inlichtingendiensten, die systematisch en op grote schaal data monitoren uit bijvoorbeeld e-mails en cloudopslagdiensten op basis van bijvoorbeeld de Foreign Intelligence Surveillance Act of Executive Order 12333 of nog de Presidential Policy Directive. Het Hof verklaarde het Privacy Shield dan ook -terecht- ongeldig in 2020.

Sindsdien is data export naar de VS een groot juridisch probleem voor Europese bedrijven en het risico op erg hoge boetes in de voorbije 2 jaar meer dan reëel gebleken. Recent nog werden Oostenrijkse en Franse bedrijven veroordeeld omdat ze door het gebruik van Google Analytics op hun website persoonsgegevens delen met Google in de VS zonder daarvoor over een gepaste rechtsgrond te beschikken.

Een nieuw “princiepsakkoord?

Maar nu is er dus blijkbaar een nieuw “princiepsakkoord” -of althans een soort van vage politieke intentieverklaring– bereikt tussen de VS en de Europese Commissie. De eerste en onmiddellijke vaststelling daarbij is dat het om een princiepsakkoord gaat en nog lang niet over een uitgewerkt verdrag of overeenkomst. Daarvoor moeten binnen de Europese instellingen nog heel wat watertjes doorzwommen worden. Zowel de (onafhankelijke) European Data Protection Board als het Europees Parlement moeten hun zegen geven eens er een effectief inhoudelijk uitgewerkt voorstel zal voorliggen. Voor we dat punt bereiken, zal er nog aardig wat tijd verstrijken en in tussentijd blijven Europese bedrijven die met Amerikaanse leveranciers werken (Google, Facebook, Amazon, Microsoft, Mailchimp, …) met een levensgroot probleem van potentieel illegale data export buiten de EU. De euforische reacties vanuit de digitale industrie, bijvoorbeeld bij de Amerikaanse Computer and Communications Industry Association (CCIA), zijn dus toch wel erg voorbarig.

Inhoudelijk lijkt de korte tekst die vandaag voorligt, erop te wijzen dat de VS wel degelijk (beperkte) stappen willen nemen om de Europese bezorgdheden weg te nemen die de aanleiding waren voor het Schrems II arrest in juli 2020, maar dat ze vooralsnog niet de bereidheid hebben om écht fundamentele juridische aanpassingen door te voeren.

Voor zover vandaag bekend (we hebben eigenlijk enkel de persbriefings van het Witte Huis om ons op te baseren voorlopig), is de bedoeling om een systeem te bouwen dat “de privacy van persoonsgegevens van EU-burgers kan waarborgen en een nieuw mechanisme te creëren voor EU-burgers om hun rechten af te dwingen als ze menen het voorwerp te zijn van ongeoorloofde inzage in hun persoonsgegevens door Amerikaanse inlichtingendiensten”. Dat zou moeten leiden tot een soort van “Privacy Shield 2.0”, op basis van dezelfde bouwstenen als het in 2020 vernietigde Privacy Shield.

Specifiek zou dit betekenen dat:

Europese persoonsgegevens mogen alleen verzameld worden als dat “nodig is om legitieme nationale veiligheidsdoelstellingen te verwezenlijken”, en “mag geen onevenredige impact hebben op de bescherming van de persoonlijke levenssfeer en burgerlijke vrijheden” (Maar dat is vandaag eigenlijk ook al het geval, hier verandert op het eerste zicht weinig of niets. Bovendien is dit wel érg vaag als uitgangspunt voor een echt akkoord dat Schrems-proof moet zijn…)
EU-burgers kunnen terecht bij een onafhankelijke Data Protection Review Court, die onafhankelijk werkt van de Amerikaanse overheid
Amerikaanse inlichtingendiensten moeten procedures aannemen die zorgen voor een betere bescherming van privacy en burgerlijke vrijheden.
De mechanismen van het oude Privacy Shield blijven overeind: Amerikaanse bedrijven moeten zich aanmelden voor het Privacy Shield bij de Amerikaanse overheid en moeten aan een aantal minimumvereisten voldoen. De Amerikaanse overheid houdt hierop toezicht en al wie op de lijst van “Privacy Shield erkende” bedrijven staat, mag Europese data verwerken.

Schrems III in de maak?

De eerste politieke reacties waren positief, maar tegelijk uitten heel wat juristen al meteen bedenkingen en ook privacy activisten als NOYB en Max Schrems reageerden onmiddellijk zeer kritisch. Max Schrems omschreef het “Privacy Shield 2.0” meteen al als “lipstick on a pig“.

We kunnen Max Schrems zijn reactie niet kwalijk nemen. Het voorgelegde “akkoord” oogt immers inderdaad zeer dunnetjes en getuigt ons inziens van weinig kennis van en respect voor het Europese recht en de werking van de Europese instellingen. We kunnen ons immers niet indenken dat dit voorstel door het Europees Parlement raakt (met zijn soms érg virulente consumentenlobby) of dat het Europees Hof van Justitie plots anders zal gaan denken over FISA en de Cloud Act bij een derde poging om deze “verkocht” te krijgen aan Europese burgers…

Het is in onze ogen verbazend dat de VS en de Europese Raad op basis van deze vage uitgangspunten menen tot een nieuw Privacy Shield te kunnen komen. De fundamentele onderliggende tekortkomingen die hebben geleid tot het Schrems II arrest zijn immers manifest niet weggenomen. Het meest in het oog springende daarbij is het uitblijven van enige wijziging in de Amerikaanse wetgeving, terwijl precies die wetgeving de kern van het hele probleem is gebleken in zowel het Schrems I arrest als in het Schrems II arrest…

Schrems III in the making dus, volgens ons. Of zoals we in de inleiding al zeiden: “al draagt de aap een gouden ring, het is en blijft een lelijk ding” en dat geldt ook voor het “Privacy Shield 2.0” zoals het ons afgelopen week werd voorgesteld. We kunnen enkel hopen dat de toekomst een inhoudelijk beter onderbouwde oplossing baart…