Net als bij andere hoogste rechters komen ook bij het Hof van Justitie in Luxemburg in toenemende mate zaken op het bord met een groot maatschappelijk of economisch gewicht. Soms maar lang niet altijd betreft dat zaken, waar belangrijke landen van buiten de EU of bedrijven die op wereldschaal opereren hun posities moeten verdedigen. Het kan ook gaan om politiek of maatschappelijk gevoelige zaken, zoals de kortgeleden besproken zaak over het Russische aanhoudingsbevel voor een voormalig onderdaan aan Kroatië, die in IJsland politiek asiel had gekregen. Een aan het Hof voorgelegde zaak kan bijvoorbeeld ook betrekking hebben op de regels over de import van Palestijnse producten in de Europese Unie, de beschermde status van een zwervende wolf of de wetenschappelijke onderbouwing van de schade van nieuwe investeringen voor de biodiversiteit (de discussie in Nederland over de luchtvaart en de landbouw). De hierna aan te duiden zaak is ook zo’n voorbeeld.

De feiten in de zaak Schrems / Facebook

In een uitspraak van vlak voor het zomerreces boog het Hof zich over de vraag of de doorgifte van persoonsgegevens van de heer Maximilian Schrems, gebruiker van het sociaal netwerk Facebook, naar de Verenigde Staten, waar de servers van Facebook Inc. stonden, voldoende werden beschermd onder de Amerikaanse wetgeving. Ook deze zaak werd aan het Hof voorgelegd door een nationale rechter, die in een prejudiciële procedure vragen van uitleg en geldigheid van EU recht opstuurde. Hier betrof het de hoogste Ierse rechter. Schrems (Oostenrijkse nationaliteit) had de Ierse toezichthouder DPC voor privacyzaken gevraagd deze doorgifte door Facebook Ierland te verbieden, omdat de waarborgen van AVG onvoldoende waren nageleefd. Hij stelde dat het in de VS geldende recht en de daar gangbare praktijken geen garantie boden voor een passend beschermingsniveau.

Als bekend codificeert de Algemene Verordening Gegevensbescherming sinds 25 mei 2018 in Nederland en in de rest van de Europese Unie de regels over wat persoonsgegevens zijn en wat daar wel of niet mee kan worden gedaan. Dat betreft ook waarborgen, die gelden bij export van data naar landen buiten de EU, die niet aan dezelfde regels zijn gebonden. De verordening bevat een uitgebreide procedurele regeling voor handhaving en toezicht om de vereiste standaard overal te doen toepassen.

Schrems had al eerder hierover bij de Ierse toezichthouder geklaagd tegen Facebook. Dat vond plaats onder de voorganger van de AVG, die ook al bepaalde beschermingsregels bevatte voor verstrekking van gegevens aan derde landen. In een uitspraak uit 2015 had het Hof de toenmalige regeling ongeldig verklaard, die de EU met de Verenigde Staten had gesloten over waarborgen voor burgers en ondernemingen bij doorgift van persoonsgegevens naar de VS. Na deze uitspraak kwam een nieuw onderhandelde overeenkomst onder de naam Privacyschild tot stand met de VS, die in een besluit van de Europese Commissie uit 2015 werd goedgekeurd.

Schrems volhardde in zijn bezwaren en handhaafde zijn Ierse klacht. Hij wees erop dat naar Amerikaans recht Facebook verplicht is om de aan haar doorgegeven persoonsgegevens ter beschikking te stellen aan de Amerikaanse autoriteiten, zoals de NSA, de FBI en de CIA, voor surveillanceprogramma’s gericht op de openbare veiligheid en orde. Verder staan voor EU burgers en ondernemingen onder Amerikaans recht geen vergelijkbare wegen van rechtsbescherming open waarover Amerikaanse onderdanen wel beschikken. Ook de Privacyschildovereenkomst voorziet dan ook niet in een passend beschermingsniveau zoals bedoeld in de AVG. De goedkeuring van die overeenkomst door de Commissie maakte volgens Schrems ook inbreuk op de bepalingen van het EU Handvest voor de grondrechten.

De Ierse toezichthouder neeg ertoe de bezwaren van Schrems te onderschrijven maar stuitte op de goedkeuring van de Privacyschild door de Commissie. De DPC maakte dan ook een procedure aanhangig bij de Ierse High Court met het verzoek prejudiciële vragen aan het Hof voor te leggen over de uitleg van de AVG en de geldigheid van het Commissie besluit. De Ierse rechter stelde 11 vragen aan het Hof.

De passende beschermingswaarborg voor gegevensdoorgifte

Een groot cluster van de antwoorden van het Hof gaat in op de standaard voor een passend beschermingsniveau dat bij de doorgifte van persoonsgegevens in acht moet worden genomen, zowel intern binnen de EU als in het verkeer van die gegevens door een in de EU gevestigde onderneming naar een bestemming buiten de Europese Unie.

Naar aanleiding van een stelling van Facebook en van de Amerikaanse regering antwoordt het Hof dat er geen twijfel over kan bestaan dat de doorgifte van persoonsgegevens om commerciële doeleinden aan een marktdeelnemer in een buiten de EU gelegen land ook binnen de werkingssfeer van de AVG valt, ook al kunnen deze gegevens tijdens of na die doorgifte door de autoriteiten van het betrokken derde land worden verwerkt ten behoeve van de openbare veiligheid, defensie en de veiligheid van de staat.

Het Hof ontleent die standaard voor een passend beschermingsniveau aan de tekst en doelstellingen van de AVG, gelezen in het licht van de bepalingen van EU Handvest voor grondrechten. Daarin komen ook het recht op bescherming van de persoonlijke levenssfeer voor en het recht op de bescherming van gegevens. Een derde belangrijk ankerpunt is het grondrecht op toegang tot de onafhankelijke rechter (art. 47 Handvest). Het moet daarbij gaan om passende waarborgen, afdwingbare rechten en doeltreffende rechtsmiddelen. De doorgiftebepalingen in de AVG beogen de continuïteit van het hoge niveau van bescherming bij doorgifte naar een derde land te waarborgen.

Het toezicht dat de AVG instelt voor de Commissie en de nationale toezichthouders moet dat beschermingsniveau waarborgen. Het Hof spreekt van een consistent en hoog niveau van bescherming van natuurlijke personen dat te allen tijde moet worden gewaarborgd. De standaards die gelden voor de doorgifte van persoonsgegevens naar derde landen moeten in grote lijnen overeenkomen met het beschermingsniveau dat binnen de Unie is gewaarborgd. Het recht van individuen om daarover een klacht in te dienen en beoordeeld te krijgen door een nationale toezichthouder geldt ook, indien de Commissie de beschermingsregeling van dat derde land heeft goedgekeurd dan wel daarover bindende afspraken heeft gemaakt.

De juistheid van de instemming van de Commissie met de EU/VS Privacyschild afspraak

Met de uitleg van de regels over de passende standaard ligt ten slotte de vraag op tafel of de Commissie op goede gronden de heronderhandelde afspraak met de regering van de Verenigde Staten heeft goedgekeurd. De Ierse rechter had daar al twijfel over en had er al enkele vragen aan gewijd. Het Hof concludeert dat de Commissie ten onrechte die regeling heeft aangemerkt als bevattende een passend beschermingsniveau bij de doorgifte van persoonsgegevens via de servers van Facebook in de Verenigde Staten. Ook hierbij is de toetssteen te ontlenen aan de AVG en met name de grondrechten van het EU Handvest.

Op dit punt analyseert het Hof uitvoerig de Amerikaanse regels en het gevoerde beleid. De VS wetgeving legt in onvoldoende mate beperkingen op aan overheidsdiensten om met surveillanceprogramma’s binnengekomen persoonsgegevens te doorzoeken. Regels die aan inlichtingendiensten zijn gesteld zijn lang niet altijd verbindend voor hen. Beleidsrichtlijnen voldoen op de keper beschouwd niet aan de minimale vereisten die binnen de EU worden gehanteerd. Ook op het punt van de rechtsbescherming bestaat er voor dit onderdeel in de Verenigde Staten niet een regeling, inherent aan het bestaan van een rechtsstaat, die in grote lijnen overeenkomt met hetgeen in het Unierecht wordt gewaarborgd.

De Commissie heeft dan ook ten onrechte deze Privacyschildregeling als passende waarborg voor doorgifte geaccepteerd. Het Commissiebesluit moet buiten toepassing worden gelaten. De afspraak over privacywaarborgen met de Verenigde Staten is opnieuw onvoldoende gebleken. Het is aan Facebook zelf een opzet vast te stellen die wel aan de vereiste waarborgen voldoet.