Europees Hof van Justitie - Safe Harbor agreement EU-VS ongeldig

Geschreven door Lexalert

Het Hof verklaart de beschikking van de Commissie dat de Verenigde Staten een passend niveau van bescherming van doorgegeven persoonsgegevens waarborgen, ongeldig

De richtlijn over de verwerking van persoonsgegevens  bepaalt dat dergelijke gegevens in beginsel alleen naar een derde land mogen worden doorgegeven, wanneer het derde land in kwestie waarborgen voor een passend niveau van bescherming van die gegevens biedt. De Commissie kan, nog steeds volgens de richtlijn, constateren dat een derde land, op grond van zijn nationale wetgeving of internationale verbintenissen, waarborgen voor een passend beschermingsniveau biedt. Tot slot bepaalt de richtlijn dat elke lidstaat een of meer autoriteiten  aanwijst  die  worden  belast  met  het  toezicht  op  de  toepassing  op  zijn grondgebied van de nationale bepalingen ter uitvoering van de richtlijn („nationale toezichthoudende autoriteiten”).

Maximillian Schrems, die de Oostenrijkse nationaliteit heeft, maakt sinds 2008 gebruik van Facebook. Zoals bij de andere abonnees die in de Unie wonen, worden de gegevens die Schrems op Facebook aanlevert, vanuit de Ierse dochteronderneming van Facebook geheel of gedeeltelijk doorgegeven aan servers die zich op het grondgebied van de Verenigde Staten bevinden, waar zij worden verwerkt. Schrems heeft bij de Ierse toezichthouder een klacht ingediend, omdat uit de onthullingen van Edward Snowden van 2013 over de activiteiten van de inlichtingendiensten van de Verenigde Staten (met name de National Security Agency of „NSA”) is gebleken dat het recht en de praktijk in de Verenigde Staten onvoldoende bescherming tegen surveillance van de naar dat land doorgegeven gegevens door overheidsinstanties biedt. De Ierse autoriteit heeft de klacht afgewezen, met name op grond dat de Commissie in haar beschikking van 26 juli 2000 tot het oordeel was gekomen dat de Verenigde Staten in het kader van de zogenoemde regeling van de „veilige havens” waarborgen voor een passend niveau van bescherming van de doorgegeven gegevens bieden.

De High Court of Ireland (het Iers hooggerechtshof), waarbij de zaak aanhangig werd gemaakt, wilde vernemen of deze beschikking van de Commissie tot gevolg had dat een nationale toezichthouder een klacht dat een derde land geen waarborgen voor een passend beschermingsniveau bood, niet mocht onderzoeken en ook niet, voor zover nodig, de opschorting van de omstreden gegevensdoorgifte mocht gelasten.

In  zijn  arrest  van  vandaag  komt  het  Hof  tot  het  oordeel  dat  het  bestaan  van  een beschikking van de Commissie waarbij wordt geconstateerd dat een derde land waarborgen voor een passend niveau van bescherming van de doorgegeven persoonsgegevens biedt, de bevoegdheden van de nationale toezichthouders op grond van het Handvest van de grondrechten van de Europese Unie en de richtlijn, niet teniet kan doen of beperken. Het Hof legt in dat verband de nadruk op het door het Handvest gewaarborgde recht op bescherming van persoonsgegevens en de taak die de nationale toezichthouders op grond van dat Handvest hebben.

Het Hof oordeelt om te beginnen dat geen enkele bepaling van de richtlijn het de nationale autoriteiten belet om toezicht te houden op doorgiften van persoonsgegevens naar derde landen die voorwerp van een beschikking van de Commissie zijn geweest. Zelfs in het geval van een beschikking van de Commissie zijn de nationale toezichthoudende autoriteiten waarbij een verzoek is ingediend, verplicht om in volledige onafhankelijkheid te onderzoeken of de doorgifte van de gegevens van een persoon naar een derde land in overeenstemming is met de vereisten van de richtlijn. Niettemin herinnert het Hof eraan dat het als enige bevoegd is om de ongeldigheid van een handeling van de Unie vast te stellen. Wanneer een nationale autoriteit of de persoon die zich tot de nationale autoriteit heeft gewend, van mening is dat een beschikking van de Commissie ongeldig is, moet deze autoriteiten of deze persoon zich tot de nationale rechter kunnen wenden, zodat die, wanneer hij eveneens twijfelt over de geldigheid van de beschikking van de Commissie, de zaak naar het Hof van Justitie kan verwijzen. Het is dus in laatste instantie aan het Hof om te beslissen of een Commissiebeschikking geldig is of niet.

Vervolgens gaat het Hof de geldigheid van de beschikking van de Commissie van 26 juli 2000 na. Het Hof herinnert er in dat verband aan dat de Commissie had moeten constateren dat  de Verenigde Staten daadwerkelijk,  op grond van  hun nationale  wetgeving  of  hun internationale verbintenissen, waarborgen boden voor een niveau van bescherming van de grondrechten dat in grote lijnen overeenkwam met dat binnen de Unie op grond van de richtlijn, gelezen in samenhang met het Handvest. Het Hof wijst erop dat de Commissie geen dergelijke constatering heeft gedaan, maar slechts de regeling van de veilige havens heeft onderzocht.

Zonder dat het Hof hoefde na te gaan of deze regeling waarborgen biedt voor een beschermingsniveau dat in grote lijnen overeenkomt met dat binnen de Unie, wijst het erop dat deze regeling alleen van toepassing is op Amerikaanse ondernemingen die deze hebben onderschreven, zonder dat de overheidsinstanties van de Verenigde Staten zelf daaraan onderworpen zijn. Bovendien hebben de vereisten inzake de nationale veiligheid, het openbaar  belang  en  de  rechtshandhaving  in  de  Verenigde  Staten  voorrang  boven  de regeling van de veilige havens, zodat de Amerikaanse ondernemingen in geval van een conflict met die eisen verplicht zijn om zonder beperking van de beschermingsregels in die regeling af te wijken. Op grond van de Amerikaanse regeling van de veilige havens zijn dus inmengingen in de grondrechten van personen door de Amerikaanse overheidsinstanties mogelijk, waarbij de beschikking van de Commissie niet vermeldt of er in de Verenigde Staten regels bestaan die dergelijke inmengingen moeten beperken of dat er doeltreffende rechtsbescherming tegen die inmengingen is.

Het Hof oordeelt dat voor die analyse van de regeling steun kan worden gevonden in twee mededelingen  van  de  Commissie,  waaruit  met  name  blijkt  dat  de  autoriteiten  van  de Verenigde Staten zich toegang konden verschaffen tot de persoonsgegevens die vanuit de lidstaten naar dat land werden doorgegeven en deze konden verwerken op een wijze die onverenigbaar was met met name het doel waarvoor zij werden doorgegeven en verder ging dan strikt noodzakelijk en evenredig was voor de bescherming van de nationale veiligheid. Ook heeft de Commissie geconstateerd dat er voor de betrokkenen geen administratieve of gerechtelijke beroepsmogelijkheden waren, onder meer om toegang tot de betreffende gegevens te verkrijgen of om deze te doen rectificeren of wissen.

Ten aanzien van het beschermingsniveau dat in grote lijnen overeenstemt met de grondrechten en fundamentele vrijheden die binnen de Unie worden gegarandeerd, stelt het Hof vast dat een regeling naar Unierecht niet beperkt is tot het strikt noodzakelijke, wanneer zij algemeen toestaat dat alle persoonsgegevens van alle personen van wie de gegevens vanuit de Unie naar de Verenigde Staten worden doorgegeven, worden bewaard, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel en zonder dat wordt voorzien in objectieve criteria ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan. Het Hof voegt daaraan toe dat een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie, moet worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven.

Ook wijst het Hof erop dat een regeling die niet in enige beroepsmogelijkheid voor de justitiabelen voorziet om toegang tot de hem betreffende persoonsgegevens te verkrijgen, of rectificatie of verwijdering van die gegevens, de wezenlijke inhoud van het grondrecht op een effectieve voorziening in rechte aantast, aangezien een dergelijke mogelijkheid inherent is aan het bestaan van een rechtsstaat.

Tot slot stelt het Hof vast dat de beschikking van de Commissie van 26 juli 2000 aan de nationale toezichthouders hun bevoegdheden ontneemt wanneer een persoon de verenigbaarheid van de beschikking met de bescherming van het privéleven en de grondrechten en fundamentele vrijheden van personen in twijfel trekt. Het Hof is van oordeel dat de Commissie niet de bevoegdheid had om de bevoegdheden van de nationale toezichthoudende autoriteiten in te perken.

Om die redenen verklaart  het  Hof  de beschikking  van de Commissie van 26 juli 2000 ongeldig. Dit arrest heeft tot gevolg dat de Ierse toezichthouder verplicht is om de klacht van Schrems met de nodige voortvarendheid en zorgvuldigheid te onderzoeken en dat het aan hem  is om aan het einde van  zijn  onderzoek te beslissen of  de doorgifte van de gegevens van de Europese abonnees van Facebook naar de Verenigde Staten moet worden opgeschort op grond dat dit land geen waarborgen voor een passend niveau van bescherming van persoonsgegevens biedt.