De VS hebben een wat laksere aanpak van gegevensbescherming dan Europa. Dit leidt tot een probleem wanneer Europese gegevens in handen zijn van Amerikaanse bedrijven. Hier zou het EU-VS-privacyschild enige orde moeten scheppen. Maar de kans is groot dat deze verordening door het Europese Hof van Justitie ongeldig wordt verklaard.
Het Europese Hof van Justitie (HvJ) zal naar verwachting op 16 juli een uitspraak doen over het EU-VS Privacy Shield. Dit EU-US Privacy Shield is een informele overeenkomst en regelt de bescherming van persoonsgegevens die vanuit een lidstaat van de Europese Unie worden doorgegeven aan de VS. De overeenkomst was noodzakelijk geworden nadat het Europees Hof van Justitie in oktober 2015 de Safe Harbor-beschikking van de Europese Commissie, die tot dan toe was toegepast, ongeldig had verklaard.
In de Privacy Shield-overeenkomst bepaalde de Commissie dat zij het niveau van gegevensbescherming in de VS toereikend achtte voor de ongehinderde doorgifte van persoonsgegevens door bedrijven als Facebook of Google. In ruil daarvoor gaven de VS zeer beperkte garanties om het massale toezicht op Europese gebruikers te beperken.
Dit heeft onder meer nadelige gevolgen voor bedrijven die hun gegevens opslaan bij een in de VS gevestigde cloudprovider. Hierbij moet worden bedacht dat de Amerikaanse inlichtingendiensten sinds de invoering van de “Patriot Act” en de “Cloud Act” toegang hebben tot alle datacentra van Amerikaanse aanbieders – ook tot gegevens en informatie die alleen in Europa zijn opgeslagen en alleen aan Europese klanten toebehoren.
EU-Commissie bereidt zich voor op mislukking
Verwacht wordt dat ook de huidige trans-Atlantische gegevensbeschermingsovereenkomst ongeldig zal worden verklaard. Hierdoor zouden miljoenen Europese bedrijven die Amerikaanse datadiensten gebruiken in de kou komen te staan. In december vorig jaar had de advocaat-generaal van de EU al aanzienlijke twijfels geuit over de geldigheid van de overeenkomst in een beoordeling, die echter niet juridisch bindend is.
De Safe Harbor-overeenkomst inzake gegevensbescherming die eerder tussen de EU en de VS was gesloten, was tenietgedaan door een rechtszaak die was aangespannen door de Oostenrijkse advocaat Max Schrems. Hij had in 2013 een rechtszaak aangespannen in het licht van de Snowden-onthullingen. De door de EU in het leven geroepen vervolgverordening van het EU-VS-privacyschild is in juli 2016 door de EU-Commissie goedgekeurd om de bescherming te waarborgen van persoonsgegevens die vanuit een lidstaat van de Europese Unie worden doorgegeven aan de VS. Al in maart 2017 had EU-commissaris voor Justitie Věra Jourová gedreigd de overeenkomsten op te schorten met het oog op de “onvoorspelbaarheid” van de regering Trump in de VS. Volgens een wijdverspreide juridische opvatting zal de “Schrems II”-procedure ook deze verordening in 2020 ten val brengen.
De EU-Commissie bereidt zich nu al voor op een mogelijke mislukking van het rechtskader voor transatlantisch dataverkeer. Volgens een brief van mei 2020 (EN E-001120/2020) van EU-commissaris voor Justitie en Consumenten Didier Reynders:
“De Commissie is partij in twee zaken die aanhangig zijn bij het Europees Hof van Justitie en die relevant zijn voor het Privacy Shield (T-738-16, La Quadrature du Net en C-311/18, Schrems II). Hoewel de Commissie de uitkomst van de rechtszaak niet kan voorspellen, onderzoekt zij mogelijke scenario’s. In dit verband staat de Commissie in contact met de belanghebbenden, waaronder de Amerikaanse autoriteiten. Tegelijkertijd werkt de Commissie verder aan alternatieve instrumenten voor de internationale uitwisseling van persoonsgegevens, waaronder de herziening van bestaande modelcontractbepalingen.