Schrems II: Privacy Shield ongeldig verklaard door Hof van Justitie

Doorgifte van persoonsgegevens naar VS op basis van Privacy Shield niet langer toegestaan. 20 juli 2020

Het Hof van Justitie heeft op 16 juli 2020 het EU-US Privacy Shield als basis voor doorgifte van persoonsgegevens naar de VS ongeldig verklaard. Dit heeft direct gevolgen voor de doorgifte van persoonsgegevens aan de 5.383 Privacy Shield gecertificeerde bedrijven.

Een baanbrekende uitspraak

Het Hof van Justitie heeft op 16 juli 2020 het EU-US Privacy Shield als basis voor doorgifte van persoonsgegevens naar de VS ongeldig verklaard. Dit gebeurde in de zogenoemde Schrems II zaak, een baanbrekende uitspraak die een uitdaging betekent voor de doorgifte van persoonsgegevens vanuit de EU naar de VS. De standaardcontractbepalingen (ook wel Standard Contractual Clauses) van de Europese Commissie blijven (vooralsnog) wel geldig.

Doorgifte van persoonsgegevens naar derde landen

Op grond van de Algemene Verordening Gegevensbescherming (‘AVG’) kan doorgifte van persoonsgegevens naar een derde land in beginsel plaatsvinden indien het derde land een passend beschermingsniveau waarborgt. Als een derde land in de nationale wetgeving een passend niveau van gegevensbescherming biedt, kan de Europese Commissie een ‘adequaatheidsbesluit’ nemen. Wanneer voor een derde land geen adequaatheidsbesluit is genomen, kan gekeken worden of er passende waarborgen kunnen worden getroffen, om een voldoende beschermingsniveau ten aanzien van de verwerking van persoonsgegevens te verzekeren. Deze passende waarborgen kunnen bestaan uit:

  • een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties, zoals een overeenkomst of verdrag (art. 46 lid 2 sub a AVG);
  • bindende bedrijfsvoorschriften die afdwingbare rechten toekennen aan betrokkenen waarvan persoonsgegevens worden verwerkt en gelden voor leden van een concern of groep ondernemingen die een gezamenlijke economische activiteit verrichten. Deze bedrijfsvoorschriften moeten wel zijn goedgekeurd door een bevoegde toezichthouder in de EU (art. 47 AVG);
  • standaardcontractbepalingen inzake gegevensbescherming die zijn vastgesteld door de Europese Commissie of Autoriteit Persoonsgegevens (art. 46 lid 2 sub c en d AVG);
  • goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen gecombineerd met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen toe te passen (art.46 lid 2 sub e en f AVG);
  • één van de uitzonderingen zoals geformuleerd in artikel 49 AVG.

Privacy Shield

Het EU-US Privacy Shield gold als een voorbeeld van een adequaatheidsbesluit. Organisaties in de VS die zich hadden gecertificeerd middels het Privacy Shield, zouden een passend beschermingsniveau voor de verwerking van persoonsgegevens bieden. Op basis van de Privacy Shield certificering waren organisaties gerechtigd persoonsgegevens door te geven aan de VS (mits aan alle overige privacywetgeving is voldaan). Het doel van het Privacy Shield was een beschermingsniveau te garanderen dat in grote lijnen overeenkomt met het niveau binnen de EU.

Aanleiding uitspraak

De Oostenrijkse Maximilian Schrems heeft in 2015 in de Schrems I zaak ervoor gezorgd dat het Hof van Justitie de voorganger van het Privacy Shield, het Safe Harbour-regime, ongeldig heeft verklaard. Op grond van dit regime konden persoonsgegevens vanuit de EU worden doorgegeven naar Safe Harbour-gecertificeerde bedrijven in de VS. Aanleiding voor deze uitspraak was de klacht die Schrems indiende bij de Ierse privacy toezichthouder over de doorgifte van persoonsgegevens door Facebook Ierland naar de servers van Facebook in de VS. De klacht was gebaseerd op de onthullingen van Edward Snowden in 2013 over de activiteiten van de Amerikaanse inlichtingendiensten en in het bijzonder de National Security Agency, waaruit bleek dat de wet- en regelgeving in de VS onvoldoende bescherming biedt tegen surveillance van de aan de VS doorgegeven persoonsgegevens door de overheid. In 2016 trad het Privacy Shield, als vervanging van Safe-Harbour regime, in werking. Schrems bleef echter van mening dat ook het Privacy Shield geen passende bescherming bood voor doorgifte van persoonsgegevens aan de VS.

Schrems II zaak

Op basis van de klachten van Schrems heeft de Ierse rechter aan het Hof van Justitie prejudiciële vragen gesteld. Het Hof heeft vervolgens een oordeel geveld over de doorgifte van persoonsgegevens op basis van het Privacy Shield en de Standard Contractual Clauses van de Europese Commissie.

Privacy Shield

Het Hof heeft de geldigheid van het Privacy Shield getoetst aan de eisen van de AVG. Zij constateerde dat het Privacy Shield bepaalt dat de nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving voorrang hebben boven de AVG en het Handvest van de Europese Unie. Het Hof verwijst vervolgens naar een interne regeling van de VS op basis waarvan overheidsinstanties middels surveillanceprogramma’s toegang kunnen verkrijgen tot persoonsgegevens die vanuit de EU zijn doorgegeven, zonder dat deze toegang tot het strikt noodzakelijke is beperkt. Bovendien worden aan de betrokkenen geen voor de rechter afdwingbare rechten tegenover de Amerikaanse autoriteiten toegekend. De aangestelde ombudsman biedt hier ook niet voldoende waarborgen. Kortom, de geboden rechtsbescherming van het Privacy Shield wordt door het Hof niet equivalent geacht aan de rechtsbescherming die wordt geëist door het Europees recht en voldoet niet aan de eisen die de AVG stelt.

Standard Contractual Clauses

Het Hof heeft ook de geldigheid van de Standard Contractual Clauses onderzocht. Voor hun geldigheid is bepalend of de doorgifte van persoonsgegevens op basis van deze standaardbepalingen kan worden opgeschort of worden verboden als ze worden geschonden of niet worden nageleefd. Het Hof oordeelt dat de Standard Contractual Clauses in beginsel dergelijke waarborgen bieden. Zij bevatten namelijk een verplichting voor de verstrekkende en ontvangende partij om vooraf na te gaan of het beschermingsniveau in acht wordt genomen in het derde land. De ontvanger is verplicht om de verstrekker in kennis te stellen indien hij niet in staat zou zijn om de standaardbepalingen na te leven. De verstrekker moet in dat geval de doorgifte van gegevens opschorten en/of de overeenkomst met de ontvanger beëindigen.

Gevolgen voor organisaties

Deze uitspraak heeft grote gevolgen voor de doorgifte van persoonsgegevens naar de VS. Met het ongeldig verklaren van het Privacy Shield mogen persoonsgegevens vanuit Europa alleen aan Amerikaanse partijen worden doorgegeven indien op een andere manier een passend niveau van rechtsbescherming kan worden gewaarborgd. Het is nog twijfelachtig of Standard Contractual Clauses redelijkerwijs uitkomst bieden. Zoals hierboven uiteengezet, bevatten deze standaardbepalingen immers een verplichting voor zowel de verstrekker als ontvanger om vooraf na te gaan of het vereiste Europese beschermingsniveau in acht wordt genomen in het derde land. Dat beschermingsniveau lijkt in de VS op basis van dit arrest nu juist niet te kunnen worden gegarandeerd. Een andere optie is het gebruik maken van Binding Corporate Rules of van één van de uitzonderingen in artikel 49 AVG. Bijvoorbeeld indien de doorgifte “noodzakelijk” is voor de uitvoering van een overeenkomst tussen betrokkene en verwerkingsverantwoordelijke of als de betrokkene nadrukkelijk heeft ingestemd met de voorgestelde doorgifte na te zijn ingelicht over de risico’s.

Voor Nederlandse organisaties geldt dat zij de doorgifte van persoonsgegevens aan de VS kritisch onder de loep moeten nemen. Indien doorgifte op basis van het Privacy Shield plaatsvond, moet er óf gestopt worden met deze doorgifte, óf een alternatieve grondslag worden aangewend voor de doorgifte.