Het Europees Hof doet uitspraak: Safe Harbor Beschikking is ongeldig verklaard

Maximillian Schrems, een rechtenstudent uit Oostenrijk, klaagde bij de Ierse privacy toezichthouder omdat hij bezwaar had tegen het feit dat Facebook, met een dochteronderneming in Ierland, zijn gegevens vanuit Ierland doorstuurde naar servers in de Verenigde Staten. Schrems baseerde zijn klacht op de onthullingen van Edward Snowden in 2013 over de activiteiten van de Amerikaanse inlichtingendiensten. Hij was van mening dat de Verenigde Staten geen passende bescherming bieden voor persoonlijke gegevens die naar hun grondgebied worden overgedragen. De Ierse toezichthouder verwierp deze klacht, grotendeels vanwege de Safe Harbor-beschikking van de Europese Commissie, die stelt dat de VS een ‘veilige haven’ biedt voor dergelijke gegevens.

Schrems ging echter in beroep tegen deze beslissing bij de High Court of Ireland, die het Europese Hof van Justitie (HvJ EU) vroeg om te bepalen of de Safe Harbor-beschikking inderdaad de nationale toezichthouders verhindert om klachten te onderzoeken over de inadequate bescherming van persoonlijke gegevens door derde landen.

In een historische beslissing verklaarde het HvJ EU de Safe Harbor-beschikking vandaag ongeldig, omdat deze niet voldoende waarborgen biedt voor een passend niveau van bescherming van persoonsgegevens. Het Hof stelde verder dat nationale privacytoezichthouders verplicht zijn om onafhankelijk te onderzoeken of de overdracht van persoonsgegevens naar een derde land wel in overeenstemming is met de eisen van de Europese privacywetgeving. Het Hof benadrukte ook dat de Europese Commissie niet gerechtigd is om de bevoegdheden van deze toezichthouders op dit gebied te beperken of uit te hollen.

Het HvJ EU merkte op dat de Europese Commissie, voordat ze de Safe Harbor-beschikking in 2000 aannam, had moeten nagaan of de Verenigde Staten, op basis van hun nationale wetgeving of internationale verplichtingen, in feite voldoende waarborgen bieden voor een passend beschermingsniveau van fundamentele rechten die in overeenstemming zijn met de eisen van de Europese wetgeving. De Commissie heeft dit nagelaten, aldus het Hof.

Het Hof wees er ook op dat de Safe Harbor-regeling alleen van toepassing is op Amerikaanse bedrijven die zich ertoe verbinden een passend beschermingsniveau te bieden voor persoonsgegevens. Bovendien hebben Amerikaanse regels over nationale veiligheid, openbaar belang en rechtshandhaving voorrang op de Safe Harbor-regeling. Hierdoor kunnen Amerikaanse autoriteiten inbreuk maken op de persoonlijke gegevens en daarmee de grondrechten van Europese burgers.

Vervolgens oordeelde het Hof dat de Safe Harbor-beschikking inbreuk maakt op het grondrecht op respect voor het privéleven van de Europese burgers. De regeling staat inbreuken toe op de persoonlijke gegevens van alle mensen en er is geen beroepsmogelijkheid voorzien voor betrokkenen om toegang te krijgen tot hun verwerkte gegevens.

In navolging van de uitspraak van het HvJ EU, zal de Ierse privacy toezichthouder moeten onderzoeken of de doorgifte van gegevens van Europese Facebook-abonnees naar de Verenigde Staten moet worden stopgezet omdat dit land geen adequate bescherming biedt voor persoonlijke gegevens.

Deze uitspraak van het HvJ EU is van cruciaal belang voor de toekomst van dataverkeer tussen de EU en de VS. Het zal waarschijnlijk aanzienlijke gevolgen hebben voor bedrijven die persoonsgegevens overdragen van de EU naar de VS onder de Safe Harbor-regeling. Lees het volledige persbericht van het HvJ EU hier en de uitspraak zelf hier.