Oostenrijkse student lokt baanbrekende uitspraak uit

Na de onthullingen van Edward Snowden over de activiteiten van de Amerikaanse inlichtingendiensten (in het bijzonder de NSA) diende een Oostenrijkse student een klacht in bij de Ierse privacy toezichthouder. Daarin vroeg hij om Facebook Ierland te verbieden om persoonsgegevens naar de Verenigde Staten door te geven. De klacht leidde uiteindelijk tot een uitspraak van het Hof van Justitie van de Europese Unie.

Het gebruik van een Facebook profiel vereist een overeenkomst met Facebook Ierland, een dochteronderneming van Facebook Inc.. Gegevens van Facebook-gebruikers werden doorgestuurd naar de servers van Facebook in de Verenigde Staten. Het doorsturen van die gegevens is in principe niet toegestaan, maar door een beschikking van de Europese Commissie (EC Beschikking 2000/520, hierna genaamd de ‘Safe Harbor beschikking’) was het mogelijk gemaakt voor bedrijven om –onder bepaalde voorwaarden- persoonsgegevens uit te wisselen met de Verenigde Staten. Met de beschikking kon een passend beschermingsniveau voor persoonsgegevens worden geboden, aldus de Commissie.

Naar aanleiding van de NSA onthullingen maakte de Oostenrijkse student Maximilian Schrems (een gebruiker van Facebook sinds 2008) bezwaar tegen het uitwisselen van persoonsgegevens met de VS en hij diende een klacht in bij de Ierse toezichthouder. Bij de behandeling van de klacht was de toezichthouder van mening dat de klacht niet hoefde te worden onderzocht omdat, ten eerste, niet was bewezen dat de NSA toegang had tot de gegevens van Schrems en omdat, ten tweede, de Europese Commissie via de Safe Harbor beschikking had vastgesteld dat de Verenigde Staten een passend beschermingsniveau boden. Het verzoek van Schrems werd dus afgewezen, waarop de student naar de Ierse rechter stapte.

De Ierse rechter oordeelde dat het op grote schaal en ongedifferentieerd toegang hebben tot persoonsgegevens door o.a. de NSA in strijd is met het evenredigheidsbeginsel en met de fundamentele waarden die door de Ierse grondwet worden beschermd. Ook merkte deze rechter op dat de Oostenrijkse student met zijn klacht eigenlijk opkwam tegen de rechtmatigheid van de Safe Harbor beschikking.

Uiteindelijk wordt de vraag voorgelegd aan het HvJEU, omdat de Ierse rechter aan dit hof een aantal ‘prejudiciële vragen’ had gesteld. In de beantwoording van deze vragen is het Hof allereerst van mening dat de  Safe Harbor beschikking niet voldoet aan de vereisten die daaraan worden gesteld in de Europese Richtlijn voor de bescherming van persoonsgegevens. Dat komt onder meer omdat de geboden bescherming in algemene zin moet  wijken voor verplichtingen van ondernemingen uit de Verenigde Staten indien er tegenstrijdigheden zijn tussen deze wetgeving en de Safe Harbor beschikking.

Daarnaast oordeelt het Hof dat de Europese Commissie helemaal geen bevoegdheid heeft tot beperking van de nationale toezichthouders via de afgegeven beschikking. Dit is echter wel gebeurd in de Safe Harbor beschikking. Het Hof komt dan ook hierdoor tot de conclusie dat de Safe Harbor beschikking ongeldig is.

Door de uitspraak van het Hof is er geen algemene grondslag meer voor de doorgifte van persoonsgegevens naar de Verenigde Staten. Een onderzoek naar de doorgifte van persoonsgegevens van Facebook Ierland alsnog zal moeten worden uitgevoerd en voor gegevensuitwisseling naar de VS zal nu moeten worden gezocht naar andere grondslagen (ten minste totdat er in een nieuwe en geldige algemene regeling voor uitwisseling naar de VS wordt voorzien door de EC).

Lees hier de uitspraak (Maximillian Schrems/Data Protection Commissioner), Hof van Justitie Europese Unie 6 oktober 2015 (C-362/14)

Dit bericht is puur informatief van karakter. Aan de inhoud van dit bericht kunnen geen rechten worden ontleend. De inhoud van dit bericht geldt niet als juridisch advies. Voor het gebruik hiervan is Lawton niet verantwoordelijk.