Europees Hof verklaart Safe Harbor beschikking ongeldig

De Oostenrijkse rechtenstudent Maximillian Schrems had een klacht ingediend bij de Ierse privacy toezichthouder omdat hij niet wil dat Facebook, die een dochtervennootschap in Ierland heeft, zijn gegevens vanuit Ierland doorgeeft aan servers die zich op het grondgebied van de Verenigde Staten bevinden. Volgens Schrems is gelet op de onthullingen van Edward Snowden in 2013 betreffende de activiteiten van Amerikaanse inlichtingendiensten, gebleken dat de Verenigde Staten geen passend niveau van bescherming bieden aan persoonsgegevens die naar de Verenigde Staten worden doorgegeven. De Ierse toezichthouder wees de klacht van Schrems af, gelet op de Safe Harbor beschikking van de Europese Commissie. In deze beschikking is bepaald dat de Verenigde Staten een ‘veilige haven’ voor persoonsgegevens bieden. 

De High Court of Ireland, waar Schrems beroep had ingesteld tegen de afwijzing van zijn klacht, stelde het HvJ EU de prejudiciële vraag of het bestaan van de Safe Harbor beschikking tot gevolg heeft dat een nationale toezichthouder een klacht, inhoudende dat een derde land geen waarborgen voor een passend beschermingsniveau van persoonsgegevens biedt, niet mocht onderzoeken. 

Het HvJ EU heeft vandaag de Safe Harbor beschikking ongeldig verklaard omdat deze onvoldoende waarborgen biedt voor een passend niveau van bescherming van persoonsgegevens. Volgens het HvJ EU zijn nationale privacy toezichthouders verplicht om in volledige onafhankelijkheid te onderzoeken of de doorgifte van persoonsgegevens naar een derde land in overeenstemming is met de vereisten van de Europese privacywetgeving. De Europese Commissie mag de bevoegdheden van de toezichthouders in dit kader niet teniet doen of beperken, aldus het HvJ EU. 

Volgens het Hof had de Europese Commissie alvorens de Safe Harbor beschikking aan te nemen in 2000, moeten onderzoeken of de Verenigde Staten daadwerkelijk, op grond van hun nationale wetgeving of internationale verbintenissen, waarborgen bieden voor een passend beschermingsniveau van grondrechten dat overeenstemt de daaraan gestelde eisen door de Europese wetgeving. Dit heeft de Commissie nagelaten. 

Het HvJ EU wijst er vervolgens op dat de Safe Harbor regeling alleen geldt voor Amerikaanse ondernemingen die de Safe Harbor principes hebben onderschreven en zich inzetten een passend beschermingsniveau te bieden voor persoonsgegevens. Bovendien hebben Amerikaanse regels inzake de nationale veiligheid, het openbaar belang en de rechtshandhaving in de Verenigde Staten voorrang boven de Safe Harbor regeling. Inmenging door Amerikaanse autoriteiten in de persoonsgegevens en daarmee de grondrechten van Europese burgers zijn daarmee mogelijk. Het is daarnaast gebleken dat Amerikaanse autoriteiten toegang kunnen krijgen tot persoonsgegevens die vanuit de Europese Unie met toepassing van de Safe Harbor regeling worden doorgegeven. 

Het Hof oordeelt vervolgens dat de Safe Harbor beschikking een aantasting van het grondrecht op eerbiediging van het privéleven van Europese burgers inhoudt. De regeling staat in het algemeen toe dat alle persoonsgegevens van alle personen worden doorgegeven naar de Verenigde Staten, deze gegevens zonder enige beperking mogen worden bewaard en dat autoriteiten toegang kunnen krijgen tot deze gegevens. De regeling voorziet bovendien niet in enige beroepsmogelijkheid voor betrokkenen om toegang te verkrijgen tot hun persoonsgegevens die worden verwerkt met toepassing van de Safe Harbor beschikking, hetgeen door het HvJ EU strijdig wordt geoordeeld met de rechtsstaat. 

Naar aanleiding van de uitspraak van het HvJ EU dient de Ierse privacy toezichthouder te onderzoeken of de doorgifte van gegevens van de Europese abonnees van Facebook naar de Verenigde Staten moet worden opgeschort, omdat dit land geen waarborgen voor een passend niveau van bescherming van persoonsgegevens biedt. 

De uitspraak van het HvJ EU is van groot belang voor de toekomst van het dataverkeer tussen de EU en de Verenigde Staten. Veel ondernemingen geven met toepassing van de Safe Harbor regeling persoonsgegevens door aan bijvoorbeeld moedermaatschappijen in de Verenigde Staten. Omdat het HvJ EU de Safe Harbor regeling ongeldig heeft verklaard, zal de doorgifte van persoonsgegevens naar de Verenigde Staten door deze uitspraak mogelijk (ernstig) worden bemoeilijkt.

Lees het persbericht van het HvJ EU hier en de uitspraak hier.  

Gerelateerd aan