Schrems v. Data Protection Commissioner - Het einde van een tijdperk of een Pyrrusoverwinning?  

Inleiding
Eens in de zoveel tijd verandert de samenleving op fundamentele wijze. De jagers en verzamelaars waren getuige van de eerste revolutie toen zij hun nomadisch bestaan inruilden voor vaste nederzettingen. Jaren later, in de negentiende eeuw, veranderde Europa met de introductie van de stoommachine in een industriële samenleving. Inmiddels leven wij in een zogenaamde informatiemaatschappij.[1] De digitalisering van onze samenleving heeft grote gevolgen met zich meegebracht, die ook juridische innovaties behoeven. De afgelopen jaren is vooral privacy een relevant onderwerp geworden. Bewustzijn omtrent de risico’s van deze digitale samenleving en de behoefte aan privacy groeien met de dag. In een tijdperk waarin informatie sneller lijkt te reizen dan het licht, wordt dikwijls de vraag gesteld of wij nog wel enige grip hebben op onze privégegevens. Het is dan ook allerminst verrassend dat het Europees Hof van Justitie (HvJEU) zich over deze vraag heeft moeten buigen.  

Een Oostenrijkse privacy-activist en een Ierse toezichthouder
Zoals menig Europeaan maakt de Oostenrijkse Maximillian Schrems reeds enkele jaren gebruik van Facebook. Als Edward Snowden in 2013 onthult dat de activiteiten en inlichtingendienst van de Verenigde Staten (NSA) constant online communicatie in de gaten houdt, besluit Schrems een klacht in te dienen. Nu het de Ierse dochteronderneming van Facebook is die persoonsgegevens geheel of gedeeltelijk doorgeeft aan Amerikaanse servers, dient hij zijn klacht in bij de Ierse Data Protection Commissioner.[2] De Ierse toezichthouder stuurt de Oostenrijker met een kluitje in het riet. Hij verwijst naar de Safe Harbour beschikking[3] en overweegt dat de VS op grond van deze beschikking een passend beschermingsniveau biedt.[4] Schrems laat het hier echter niet bij zitten en maakt de klacht aanhangig bij de High Court of Ireland. Het Hooggerechtshof deelt de zorgen van Schrems en stelt derhalve een prejudiciële vraag aan het Hof van Justitie. Het betreft de vraag of een nationale toezichthouder  bij een klacht omtrent het doorgeven van persoonsgegevens aan een land, waarin volgens klager geen passende bescherming wordt geboden, absoluut gebonden is aan de Safe Harbour beschikking of dat hij zelf over dient te gaan tot nader onderzoek. [5]              

Relevante overwegingen
Hof van Justitie benadrukt allereerst dat de Privacyrichtlijn, waarop de Safe Harbour beschikking gebaseerd is, dient te worden uitgelegd in het licht van het Handvest van de grondrechten van de Europese Unie.[6] In dit verband wijst hij op art. 7 en 8 van het Handvest, respectievelijk het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens en benadrukt het belang hiervan. Het Hof overweegt dat de Privacyrichtlijn de lidstaten verplicht om een toezichthoudend orgaan in het leven te roepen en noemt enkele bevoegdheden van deze autoriteiten, waaronder onderzoeksbevoegdheden.[7] Hierna begint het HvJEU aan zijn kernoverwegingen door te benoemen dat de Commissie, krachtens de Privacyrichtlijn, over de mogelijkheid beschikt om een beschikking vast te stellen waarin het toereikende beschermingsniveau van een derde land wordt geconstateerd. Een dergelijke beschikking is volgens Europees recht verbindend voor alle lidstaten en hun organen. Zolang de Commissie of het Hof deze beschikking niet ongeldig heeft verklaard is het de lidstaten en hun organen dan ook niet toegestaan maatregelen te treffen die hiermee in strijd zijn.[8] Dit betekent echter niet, zo overweegt het Hof, dat de nationale toezichthouders geen zelfstandig oordeel mogen vormen over het beschermingsniveau van een derde land. Zij zijn immers verplicht om in volledige onafhankelijkheid te onderzoeken of doorgave van gegevens in overeenstemming is met de richtlijn, een beschikking van de Commissie doet daar niet aan af.[9] Zij ontberen echter het recht om gevolgen te verbinden aan hun bevindingen en de ongeldigheid van de beschikking te constateren, daar deze taak voorbehouden is aan het Hof en de Commissie.[10] Is een nationale toezichthouder van mening dat er sprake is van een ontoereikend beschermingsniveau dan dient er een procedure gestart te worden bij de nationale rechter, die vervolgens het prejudiciële pad naar het HvJEU kan bewandelen.[11]  

Wie nu stopt met lezen zal in de veronderstelling verkeren dat onze Europese rechter louter zijn eigen positie heeft benadrukt en dat de NSA nog altijd met gemak door uw selfies, likes en overige statusupdates struint. Gelukkig was het HvJEU  de mening toegedaan dat voor een volledige beantwoording van de prejudiciële vragen een beslissing over de geldigheid van de beschikking vereist is.[12] Het Hof overweegt dat voor de vraag of een beschermingsniveau voldoende is, bepalend is of het land een beschermingsniveau biedt dat grotendeels overeenkomt met het niveau dat binnen de Europese Unie wordt gewaarborgd op grond van de richtlijn en het Handvest.[13] Voorts is het aan de Commissie de taak om de ontwikkeling van het beschermingsniveau van een in een beschikking opgenomen derde land in de gaten te houden. Bij aanwijzingen waaruit blijkt dat twijfel is ontstaan omtrent het geboden beschermingsniveau dient een dergelijk onderzoek in ieder geval plaats te vinden.[14] Hierbij valt te denken aan de onthullingen van Snowden, die voor Schrems de aanleiding vormden om een klacht in te dienen.[15] Het Hof overweegt dat doeltreffende detectie- en controlemechanisme ontbreken om grondrechtschending te sanctioneren en dat de Amerikaanse autoriteiten op disproportionele wijze vanuit de lidstaten afkomstige persoonsgegevens kunnen verwerken, terwijl belanghebbenden niet over rechtsmiddelen beschikken.[16] Het HvJEU besluit de Safe Harbour beschikking ongeldig te verklaren, waarmee het een einde maakt aan ongecontroleerde gegevensstromen.  

En nu...?
Is deze uitspraak de metaforische stoommachine die een fundamentele wijziging aanbrengt in onze huidige samenleving? Waarschijnlijk niet. Kort na het wijzen van dit arrest liet Facebook weten dat er meerdere wegen naar Rome leiden voor wat betreft het legaal opslaan van persoonsgegevens in de VS.[17] Timmermans verklaarde dat de Commissie haar inspanningen voor een beter alternatief zal voortzetten, maar dat ondertussen trans-Atlantische datastromen niet worden gestopt.[18] Economisch gezien is dit uiteraard positief, juridisch doet het echter de vraag rijzen of hier sprake is van een pyrrusoverwinning. Mijns inziens kan deze vraag pas echt beantwoord worden wanneer de Commissie haar plannen presenteert. Het arrest maakt echter wel duidelijk dat het Hof zich heeft ontwikkeld tot Europese privacy-waakhond, hetgeen in onze huidige maatschappij van onschatbare waarde is.[19]        


[1] Zie ook A. Toffler, The Third Wave Bantam Books 1980
[2]Hof van Justitie van de Europese Unie PERSCOMMUNIQUÉ nr. 117/15 Luxemburg, 6 oktober 2015 Arrest in zaak C-362/14 Maximillian Schrems/Data Protection Commissioner, p. 1
[3] De Safe Harbour beschikking (2000/520/EG) is overeenkomstig de Privacyrichtlijn (95/46/EG).
[4] Perscommuniqué nr. 117/15, p.2
[5] Zaak C-362/14 verzoek om een prejudiciële beslissing, nr. 22
[6] Zaak C-362/14, R.O. 38 
[7] R.O 40 t/m 50
[8] R.O. 51 en 52
[9] R.O 57
[10]R.O 62
[11]R.O.65
[12]R.O.67
[13]R.O.73
[14]R.O.76
[15] Zie ook het advies van advocaat-generaal Bot (Perscommuniqué 106/15)
[16] R.O.81 en 90
[17] http://www.nrc.nl/next/2015/10/7/grote-vragen-na-...
[18] http://www.nrc.nl/next/2015/10/7/grote-vragen-na-...
[19] Aldus ook http://www.nrc.nl/next/2015/10/7/grote-vragen-na-...