CONCLUSIE VAN ADVOCAAT-GENERAAL
H. SAUGMANDSGAARD ØE
van 19 december 2019 (1)
Zaak C‑311/18
Data Protection Commissioner
tegen
Facebook Ireland Limited,
Maximillian Schrems,
in tegenwoordigheid van:
The United States of America,
Electronic Privacy Information Centre,
BSA Business Software Alliance, Inc.,
Digitaleurope
[verzoek van de High Court (rechter in eerste aanleg, Ierland) om een prejudiciële beslissing]
„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 2, lid 2 – Werkingssfeer – Doorgifte van persoonsgegevens naar de Verenigde Staten van Amerika voor commerciële doeleinden – Verwerking van de doorgegeven gegevens door de overheidsinstanties van de Verenigde Staten van Amerika voor doeleinden van nationale veiligheid – Artikel 45 – Beoordeling van het passende karakter van het door een derde land gewaarborgde beschermingsniveau – Artikel 46 – Passende waarborgen geboden door de verwerkingsverantwoordelijke – Modelbepalingen inzake bescherming – Artikel 58, lid 2 – Bevoegdheden van de toezichthoudende autoriteiten – Besluit 2010/87/EU – Geldigheid – Uitvoeringsbesluit (EU) 2016/1250 – EU‑VS-privacyschild – Geldigheid – Artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie”
Inhoud
I. Inleiding
II. Toepasselijke bepalingen
A. Richtlijn 95/46
B. AVG
C. Besluit 2010/87
D. Privacyschildbesluit
III. Hoofdgeding, prejudiciële vragen en procedure bij het Hof
IV. Analyse
A. Inleidende opmerkingen
B. Ontvankelijkheid van de prejudiciële verwijzing
1. Toepasselijkheid ratione temporis van richtlijn 95/46
2. Voorlopige aard van de door de DPC geuite twijfel
3. Onzekerheden met betrekking tot de omschrijving van het feitelijke kader
C. Toepasselijkheid van het Unierecht op de doorgifte van persoonsgegevens voor commerciële doeleinden naar een derde land waar deze gegevens mogelijk worden verwerkt ten behoeve van de nationale veiligheid (eerste vraag)
D. Vereist beschermingsniveau bij een doorgifte op basis van modelcontractbepalingen (eerste onderdeel van de zesde vraag)
E. Geldigheid van besluit 2010/87 in het licht van de artikelen 7, 8 en 47 van het Handvest (zevende, achtste en elfde vraag)
1. Verplichtingen van de verwerkingsverantwoordelijke
2. Verplichtingen van de toezichthoudende autoriteiten
F. Geen noodzaak om de overige prejudiciële vragen te beantwoorden of de geldigheid van het privacyschildbesluit te onderzoeken
1. Geen noodzaak voor het Hof om een antwoord te geven, gelet op het voorwerp van het hoofdgeding
2. Redenen die, gelet op het voorwerp van de procedure bij de DPC, tegen een beoordeling door het Hof pleiten
G. Subsidiaire opmerkingen over de gevolgen en de geldigheid van het privacyschildbesluit
1. Impact van het privacyschildbesluit in het kader van de behandeling door een toezichthoudende autoriteit van een klacht met betrekking tot de rechtmatigheid van een op contractuele waarborgen gebaseerde doorgifte
2. Geldigheid van het privacyschildbesluit
a) Toelichting bij de strekking van het onderzoek van de geldigheid van een adequaatheidsbesluit
1) Vergelijkingsmaatstaven voor de beoordeling van de „wezenlijke gelijkwaardigheid” van het beschermingsniveau
2) Noodzaak om een passend beschermingsniveau te verzekeren tijdens de fase van doorvoer van de gegevens
3) Inaanmerkingneming van de feitelijke constateringen van de Commissie en de verwijzende rechter met betrekking tot het recht van de Verenigde Staten
4) Reikwijdte van de maatstaf van „wezenlijke gelijkwaardigheid”
b) Geldigheid van het privacyschildbesluit in het licht van het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens
1) Bestaan van inmengingen
2) Bestaan van inmengingen die „bij wet [zijn] gesteld”
3) Geen aantasting van de wezenlijke inhoud van de grondrechten
4) Nastreven van een legitieme doelstelling
5) Noodzakelijkheid en evenredigheid van de inmengingen
c) Geldigheid van het privacyschildbesluit in het licht van het recht op een doeltreffende voorziening in rechte
1) Doeltreffendheid van de beroepsgangen waarin het Amerikaanse recht voorziet
2) Invloed van het ombudsmanmechanisme op het niveau van bescherming van het recht op een doeltreffende voorziening in rechte
V. Conclusie
I. Inleiding
1. Op mondiaal niveau bestaan geen gemeenschappelijke waarborgen op het gebied van de bescherming van persoonsgegevens, zodat het grensoverschrijdend verkeer van dergelijke gegevens gepaard gaat met het risico dat het binnen de Europese Unie gewaarborgde beschermingsniveau niet continu verzekerd is. De wetgever van de Unie streeft ernaar om dit verkeer te vergemakkelijken en tegelijkertijd dit risico te beperken. Met het oog hierop heeft hij drie mechanismen in het leven geroepen om persoonsgegevens vanuit de Unie te kunnen doorgeven naar een derde staat.
2. In de eerste plaats kan een dergelijke doorgifte plaatsvinden op basis van een besluit van de Europese Commissie waarbij wordt vastgesteld dat de betrokken derde staat een „passend beschermingsniveau” van de ernaar doorgegeven gegevens waarborgt.(2) In de tweede plaats is een dergelijke doorgifte, bij ontstentenis van een dergelijk besluit, toegestaan indien daarvoor „passende waarborgen” worden geboden.(3) Deze waarborgen kunnen de vorm aannemen van een overeenkomst tussen de gegevensexporteur en de gegevensimporteur waarin door de Commissie vastgestelde standaardbepalingen inzake bescherming zijn opgenomen. In de derde plaats voorziet de AVG in een aantal afwijkingsmogelijkheden, onder meer wanneer de betrokken persoon bij ontstentenis van een adequaatheidsbesluit of van passende waarborgen instemt met de doorgifte naar een derde land.(4)
3. Het door de High Court (rechter in eerste aanleg, Ierland) ingediende verzoek om een prejudiciële beslissing houdt verband met het tweede mechanisme. Meer concreet heeft dit verzoek betrekking op de geldigheid van besluit 2010/87/EU(5), waarbij de Commissie modelcontractbepalingen voor bepaalde categorieën doorgiften heeft vastgesteld, in het licht van de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”).
4. Dit verzoek is ingediend in het kader van een geding tussen de Data Protection Commissioner (commissaris gegevensbescherming, Ierland; hierna: „DPC”) enerzijds en Facebook Ireland Ltd en Maximillian Schrems anderzijds. Schrems heeft bij de DPC een klacht ingediend over de doorgifte door Facebook Ireland van hem betreffende persoonsgegevens aan Facebook Inc., haar moederonderneming die in de United States of America (Verenigde Staten van Amerika; hierna: „Verenigde Staten” of „VS”) is gevestigd. De DPC is van oordeel dat de behandeling van de klacht afhangt van het antwoord op de vraag of besluit 2010/87 geldig is. In die omstandigheden heeft hij zich tot de verwijzende rechter gewend met het verzoek om deze vraag aan het Hof voor te leggen.
5. Ik merk op voorhand reeds op dat het onderzoek van de prejudiciële vragen naar mijn mening geen feiten of omstandigheden aan het licht heeft gebracht die de geldigheid van besluit 2010/87 kunnen aantasten.
6. De verwijzende rechter heeft daarnaast ook vraagtekens geplaatst bij het passende karakter van het door de Verenigde Staten geboden beschermingsniveau, gelet op de inmengingen als gevolg van de activiteiten van de Amerikaanse inlichtingendiensten in de uitoefening van de grondrechten van de personen wier gegevens naar dit derde land worden doorgegeven. Indirect komt dit neer op een betwisting van de beoordelingen die de Commissie dienaangaande in uitvoeringsbesluit (EU) 2016/1250(6) heeft gemaakt. Hoewel de beslechting van het hoofdgeding niet vereist dat het Hof zich hierover uitspreekt en ik het Hof derhalve voorstel om dit dan ook niet te doen, zal ik subsidiair uiteenzetten waarom ik twijfel koester omtrent de geldigheid van dit besluit.
7. Ik zal in mijn analyse voortdurend streven naar een evenwicht tussen enerzijds de noodzaak om „een redelijke mate van pragmatisme” aan de dag te leggen, „zodat interactie met de rest van de wereld mogelijk is”(7), en anderzijds de noodzaak om de fundamentele waarden te bevestigen zoals die in de rechtsstelsels van de Unie en haar lidstaten en met name in het Handvest zijn erkend.
II. Toepasselijke bepalingen
A. Richtlijn 95/46
8. Artikel 3, lid 2, van richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(8) bepaalde het volgende:
„De bepalingen van deze richtlijn zijn niet van toepassing op de verwerking van persoonsgegevens:
– die met het oog op de uitoefening van niet binnen het toepassingsgebied van het gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat (waaronder de economie van de staat, wanneer deze verwerkingen in verband staan met vraagstukken van staatsveiligheid), en de activiteiten van de staat op strafrechtelijk gebied;
[…]”
9. Artikel 13, lid 1, van deze richtlijn was geformuleerd als volgt:
„De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in artikel 6, lid 1, artikel 10, artikel 11, lid 1, artikel 12 en artikel 21 bedoelde rechten en plichten indien dit noodzakelijk is ter vrijwaring van
a) de veiligheid van de staat;
b) de landsverdediging;
c) de openbare veiligheid;
d) het voorkomen, het onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen;
e) een belangrijk economisch en financieel belang van een lidstaat of van de [Unie], met inbegrip van monetaire, budgettaire en fiscale aangelegenheden;
f) een taak op het gebied van controle, inspectie of regelgeving, verbonden, ook al is dit incidenteel, met de uitoefening van het openbaar gezag in de onder c), d) en e), bedoelde gevallen;
g) de bescherming van de betrokkene of van de rechten en vrijheden van anderen.”
10. Artikel 25 van voornoemde richtlijn bepaalde:
„1. De lidstaten bepalen dat persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte te worden verwerkt, slechts naar een derde land mogen worden doorgegeven indien, onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn, dat land een passend beschermingsniveau waarborgt.
2. Het passend karakter van het door een derde land geboden beschermingsniveau wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd.
[…]
6. De Commissie kan volgens de procedure van artikel 31, lid 2, constateren dat een derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, die het met name na de in lid 5 bedoelde onderhandelingen is aangegaan, waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen.
De lidstaten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen.”
11. Artikel 26, leden 2 en 4, van dezelfde richtlijn bepaalde:
„2. Onverminderd het bepaalde in lid 1 kan een lidstaat toestemming geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen.
[…]
4. Wanneer de Commissie […] besluit dat bepaalde modelcontractbepalingen voldoende waarborgen bieden in de zin van lid 2, nemen de lidstaten de nodige maatregelen om zich naar het besluit van de Commissie te voegen.”
12. Artikel 28, lid 3, van richtlijn 95/46 was geformuleerd als volgt:
„Elke toezichthoudende autoriteit beschikt met name over:
[…]
– effectieve bevoegdheden om in te grijpen, zoals bijvoorbeeld de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen, overeenkomstig artikel 20, en te zorgen voor een passende bekendmaking van deze adviezen of de bevoegdheid om afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden of de bevoegdheid tot de voor de verwerking verantwoordelijke een waarschuwing of berisping te richten of de bevoegdheid de nationale parlementen of andere politieke instellingen in te schakelen;
[…]”
B. AVG
13. Krachtens artikel 94, lid 1, AVG is richtlijn 95/46 met ingang van 25 mei 2018 ingetrokken. Overeenkomstig artikel 99, lid 2, ervan is deze verordening vanaf deze datum van toepassing geworden.
14. Artikel 2, lid 2, AVG bepaalt:
„Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:
a) in het kader van activiteiten die buiten het toepassingsgebied van het Unierecht vallen;
b) door de lidstaten bij de uitvoering van activiteiten die binnen het toepassingsgebied van titel V, hoofdstuk 2, VEU vallen;
[…]
d) door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.”
15. Artikel 4, punt 2, van deze verordening omschrijft „verwerking” als „een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”.
16. Artikel 23 AVG bepaalt:
„1. De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede in artikel 5 kan, voor zover de bepalingen van die artikelen overeenstemmen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met [22], worden beperkt door middel van Unierechtelijke of lidstaatrechtelijke bepalingen die op de verwerkingsverantwoordelijke of de verwerker van toepassing zijn, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:
a) de nationale veiligheid;
b) landsverdediging;
c) de openbare veiligheid;
d) de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
e) andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat […];
[…]
2. De in lid 1 bedoelde wettelijke maatregelen bevatten met name specifieke bepalingen met betrekking tot, in voorkomend geval, ten minste:
a) de doeleinden van de verwerking of van de categorieën van verwerking;
b) de categorieën van persoonsgegevens;
c) het toepassingsgebied van de ingevoerde beperkingen;
d) de waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte;
e) de specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken;
f) de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking;
g) de risico’s voor de rechten en vrijheden van de betrokkenen, en
h) het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking.”
17. Artikel 44 van deze verordening, met als opschrift „Algemeen beginsel inzake doorgiften”, bepaalt:
„Persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en de verwerker aan de in dit hoofdstuk neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of een internationale organisatie aan een ander derde land of een andere internationale organisatie. Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd.”
18. Volgens artikel 45 van voornoemde verordening, met als opschrift „Doorgiften op basis van adequaatheidsbesluiten”:
„1. Een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen specifieke toestemming nodig.
2. Bij de beoordeling van de vraag of het beschermingsniveau adequaat is, houdt de Commissie met name rekening met de volgende aspecten:
a) de rechtsstatelijkheid, de eerbiediging van de mensenrechten en de fundamentele vrijheden, de toepasselijke algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht en de toegang van overheidsinstanties tot persoonsgegevens, evenals de tenuitvoerlegging van die wetgeving, gegevensbeschermingsregels, beroepsregels en veiligheidsmaatregelen, met inbegrip van regels voor de verdere doorgifte van persoonsgegevens aan een ander derde land of een andere internationale organisatie die in dat land of die internationale organisatie worden nageleefd, precedenten in de rechtspraak, alsmede het bestaan van effectieve en afdwingbare rechten van betrokkenen en effectieve mogelijkheden om administratief beroep of beroep in rechte in te stellen voor betrokkenen wier persoonsgegevens worden doorgegeven;
b) het bestaan en het effectief functioneren van een of meer onafhankelijke toezichthoudende autoriteiten in het derde land of waaraan een internationale organisatie is onderworpen, welke tot taak heeft of hebben de naleving van de gegevensbeschermingsregels te verzekeren en deze onder meer met passende handhavingsbevoegdheden te handhaven, betrokkenen bij de uitoefening van hun rechten bij te staan en te adviseren en met de toezichthoudende autoriteiten van de lidstaten samen te werken; en
c) de internationale toezeggingen die het derde land of de internationale organisatie in kwestie heeft gedaan, of andere verplichtingen die voortvloeien uit juridisch bindende overeenkomsten of instrumenten, alsmede uit de deelname van dat derde land of die internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder met betrekking tot de bescherming van persoonsgegevens.
3. De Commissie kan, na de beoordeling van de vraag of het beschermingsniveau adequaat is, door middel van een uitvoeringshandeling besluiten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een passend beschermingsniveau in de zin van lid 2 van dit artikel waarborgt. De uitvoeringshandeling voorziet in een mechanisme voor periodieke toetsing, minstens om de vier jaar, waarbij alle relevante ontwikkelingen in het derde land of de internationale organisatie in aanmerking worden genomen. […]
4. De Commissie houdt doorlopend toezicht op ontwikkelingen in derde landen en internationale organisaties die mogelijk gevolgen hebben voor het functioneren van krachtens lid 3 van dit artikel vastgestelde besluiten en van op grond van artikel 25, lid 6, van [richtlijn 95/46] vastgestelde besluiten.
5. De Commissie gaat, wanneer uit beschikbare informatie blijkt, in het bijzonder naar aanleiding van de in lid 3 van dit artikel bedoelde toetsing, dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie niet langer een passend beschermingsniveau in de zin van lid 2 van dit artikel waarborgt, voor zover nodig, bij uitvoeringshandelingen zonder terugwerkende kracht over tot intrekking, wijziging of schorsing van het in lid 3 van dit artikel bedoelde besluit. […]
6. De Commissie pleegt overleg met het derde land of de internationale organisatie om de situatie naar aanleiding waarvan het besluit overeenkomstig lid 5 is vastgesteld, te verhelpen.
[…]
9. De besluiten die de Commissie op grond van artikel 25, lid 6, van [richtlijn 95/46] heeft vastgesteld, blijven van kracht, totdat zij worden gewijzigd, vervangen of ingetrokken bij een overeenkomstig lid 3 of lid 5 van dit artikel vastgesteld besluit van de Commissie.”
19. Artikel 46 van deze verordening, met als opschrift „Doorgiften op basis van passende waarborgen”, luidt als volgt:
„1. Bij ontstentenis van een besluit uit hoofde van artikel 45, lid 3, mag een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie door een verwerkingsverantwoordelijke of een verwerker alleen plaatsvinden mits zij passende waarborgen bieden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.
2. De in lid 1 bedoelde passende waarborgen kunnen worden geboden door de volgende instrumenten, zonder dat daarvoor specifieke toestemming van een toezichthoudende autoriteit is vereist:
[…]
c) standaardbepalingen inzake gegevensbescherming die door de Commissie volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn vastgesteld;
[…]
5. Toestemmingen die een lidstaat of een toezichthoudende autoriteit op grond van artikel 26, lid 2, van [richtlijn 95/46] heeft verleend, blijven geldig totdat zij door die toezichthoudende autoriteit, indien nodig, worden gewijzigd, vervangen of ingetrokken. De besluiten die de Commissie op grond van artikel 26, lid 4, van [richtlijn 95/46] heeft vastgesteld, blijven van kracht totdat zij bij een overeenkomstig lid 2 van dit artikel vastgesteld besluit van de Commissie, indien nodig, worden gewijzigd, vervangen of ingetrokken.”
20. Volgens artikel 58, leden 2, 4 en 5, AVG:
„2. Elke toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:
a) de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;
b) de verwerkingsverantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;
c) de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen;
d) de verwerkingsverantwoordelijke of de verwerker gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;
e) de verwerkingsverantwoordelijke gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen;
f) een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, opleggen;
[…]
i) naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83; en
j) de opschorting van gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie gelasten.
[…]
4. Op de uitoefening van de bevoegdheden die uit hoofde van dit artikel aan de toezichthoudende autoriteit worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen doeltreffende voorziening in rechte en eerlijke rechtsbedeling, zoals overeenkomstig het Handvest vastgelegd in het Unierecht en het lidstatelijke recht.
5. Elke lidstaat bepaalt bij wet dat zijn toezichthoudende autoriteit bevoegd is inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, daartegen een rechtsvordering in te stellen of anderszins in rechte op te treden, teneinde de bepalingen van deze verordening te doen naleven.”
C. Besluit 2010/87
21. De Commissie heeft op grond van artikel 26, lid 4, van richtlijn 95/46 drie besluiten vastgesteld waarin zij heeft geconstateerd dat de in die besluiten vermelde modelcontractbepalingen voldoende waarborgen bieden voor de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede voor de uitoefening van de daaraan verbonden rechten (hierna: „MCB-besluiten”).(9)
22. Een van die besluiten is besluit 2010/87, waarvan artikel 1 bepaalt dat „[de] in de bijlage opgenomen modelcontractbepalingen […] geacht [worden] voldoende waarborgen te bieden voor de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede voor de uitoefening van de daaraan verbonden rechten in de zin van artikel 26, lid 2, van [richtlijn 95/46]”.
23. Artikel 3 van dit besluit luidt als volgt:
„Voor de toepassing van dit besluit wordt verstaan onder:
[…]
c) ‚gegevensexporteur’: de voor de verwerking verantwoordelijke die de persoonsgegevens doorgeeft;
d) ‚gegevensimporteur’: de in een derde land gevestigde verwerker die overeenkomt van de gegevensexporteur persoonsgegevens te ontvangen om deze na doorgifte namens de gegevensexporteur te verwerken overeenkomstig diens instructies en de voorwaarden van dit besluit, en die niet onderworpen is aan een regeling van een derde land die passende bescherming biedt in de zin van artikel 25, lid 1, van [richtlijn 95/46];
[…]
f) ‚toepasselijk recht inzake gegevensbescherming’: de wettelijke bepalingen ter bescherming van de fundamentele rechten en vrijheden van personen, en met name hun recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, die in de lidstaat van vestiging van de gegevensexporteur van toepassing zijn op een voor de verwerking verantwoordelijke;
[…]”
24. In zijn oorspronkelijke versie bepaalde artikel 4 van dit besluit in lid 1 ervan:
„Onverminderd hun bevoegdheden om maatregelen te treffen ter waarborging van de naleving van de krachtens de hoofdstukken II, III, V en VI van [richtlijn 95/46] vastgestelde nationale bepalingen, kunnen de bevoegde autoriteiten in de lidstaten hun bestaande bevoegdheden gebruiken om gegevensstromen naar derde landen te verbieden of op te schorten teneinde natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen, wanneer:
a) wordt vastgesteld dat het recht waaraan de gegevensimporteur of een subverwerker is onderworpen, hem vereisten oplegt waarmee van het toepasselijke recht inzake gegevensbescherming moet worden afgeweken en die verder gaan dan de beperkingen die in een democratische samenleving noodzakelijk zijn als bedoeld in artikel 13 van [richtlijn 95/46], indien die vereisten in aanzienlijke mate afbreuk dreigen te doen aan de door het toepasselijke recht inzake gegevensbescherming en de modelcontractbepalingen geboden waarborgen;
b) een bevoegde autoriteit heeft vastgesteld dat de gegevensimporteur [of een subverwerker] de in de bijlage opgenomen modelcontractbepalingen niet is nagekomen; of
c) het in aanzienlijke mate waarschijnlijk is dat de in de bijlage opgenomen modelcontractbepalingen niet worden of zullen worden nageleefd en bij verdere doorgifte het risico bestaat dat de betrokkenen ernstige schade wordt toegebracht.”
25. In de huidige versie ervan, zoals deze voortvloeit uit de wijziging van besluit 2010/87 bij uitvoeringsbesluit (EU) 2016/2297(10), bepaalt artikel 4 van besluit 2010/87 dat „[wanneer] de bevoegde autoriteiten in een lidstaat hun bevoegdheden uit hoofde van artikel 28, lid 3, van [richtlijn 95/46] uitoefenen en dit leidt tot de opschorting van of een definitief verbod op gegevensstromen naar derde landen, teneinde natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te beschermen, stelt de betrokken lidstaat de Commissie hiervan onverwijld in kennis, waarna de Commissie de andere lidstaten op de hoogte brengt”.
26. In de bijlage bij besluit 2010/87 zijn modelcontractbepalingen opgenomen. Bepaling 3 van deze bijlage, met als opschrift „Derdenbeding”, luidt als volgt:
„1. De betrokkenen kunnen deze bepaling en bepaling 4, onder b) tot en met i), bepaling 5, onder a) tot en met e) en g) tot en met j), bepaling 6, leden 1 en 2, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 als derde begunstigden tegenover de gegevensexporteur afdwingen.
2. De betrokkenen kunnen deze bepaling, bepaling 5, onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegenover de gegevensimporteur afdwingen in gevallen waarin de gegevensexporteur feitelijk is verdwenen of heeft opgehouden rechtens te bestaan, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dit geval kunnen betrokkenen de genoemde bepalingen tegenover deze rechtsopvolger afdwingen.
[…]”
27. Bepaling 4 van deze bijlage, met als opschrift „Verplichtingen van de gegevensexporteur”, luidt als volgt:
„De gegevensexporteur stemt ermee in en garandeert dat:
a) de verwerking van de persoonsgegevens, met inbegrip van de doorgifte zelf, is geschied en zal blijven geschieden in overeenstemming met alle relevante bepalingen van het toepasselijke recht inzake gegevensbescherming (en, waar van toepassing, is gemeld aan de betrokken autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd), en dat zij niet in strijd is met de toepasselijke bepalingen van die staat;
b) hij de gegevensimporteur instructie heeft gegeven, en gedurende de verwerking van de persoonsgegevens zal geven, de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met het toepasselijke recht inzake gegevensbescherming en de bepalingen te verwerken;
c) de gegevensimporteur voldoende waarborgen zal bieden ten aanzien van de technische en organisatorische beveiligingsmaatregelen die in aanhangsel 2 bij dit contract worden omschreven;
d) deze beveiligingsmaatregelen, na een beoordeling van de vereisten van het toepasselijke recht inzake gegevensbescherming, geschikt zijn bevonden om persoonsgegevens te beschermen tegen vernietiging, hetzij bij ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens via een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking, en deze maatregelen gezien de aan de verwerking en de aard van de te beschermen gegevens verbonden risico’s een passend beveiligingsniveau waarborgen, gelet op de stand van de techniek en de kosten van de tenuitvoerlegging;
e) hij op de naleving van deze beveiligingsmaatregelen zal toezien;
f) wanneer de doorgifte bijzondere categorieën gegevens betreft, de betrokkene ervan in kennis is gesteld, of vóór of zo spoedig mogelijk na de doorgifte ervan in kennis zal worden gesteld, dat zijn gegevens kunnen worden doorgegeven naar een derde land dat geen passende bescherming biedt als bedoeld in [richtlijn 95/46];
g) hij overeenkomstig bepaling 5, onder b), en bepaling 8, lid 3, ontvangen kennisgevingen van de gegevensimporteur of een subverwerker aan de toezichthoudende autoriteit zal doorzenden, wanneer hij (dat wil zeggen de gegevensexporteur) besluit de doorgifte voort te zetten of de opschorting op te heffen;
h) hij op verzoek een afschrift van de bepalingen ter beschikking van de betrokkene zal stellen, met uitzondering van aanhangsel 2, alsmede een beknopte beschrijving van de beveiligingsmaatregelen en een afschrift van elk contract voor subverwerkingsdiensten dat overeenkomstig de bepalingen dient te worden opgesteld; indien de bepalingen of het contract commerciële informatie bevatten, mag de gegevensexporteur deze commerciële informatie verwijderen;
i) in geval van subverwerking de verwerkingsactiviteiten worden uitgevoerd overeenkomstig bepaling 11 door een subverwerker die ten minste hetzelfde beschermingsniveau voor de persoonsgegevens en de rechten van de betrokkenen waarborgt als de gegevensimporteur overeenkomstig deze bepalingen; en
j) hij zal toezien op de naleving van bepaling 4, onder a) tot en met i).”
28. Bepaling 5 van diezelfde bijlage, met als opschrift „Verplichtingen van de gegevensimporteur (1)”, luidt als volgt:
„De gegevensimporteur stemt ermee in en garandeert dat:
a) hij de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en met de bepalingen verwerkt; indien hij om welke reden dan ook daartoe niet in staat is, stemt hij ermee in de gegevensexporteur onverwijld daarvan in kennis te stellen, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen;
b) hij geen reden heeft aan te nemen dat de op hem toepasselijke wetgeving hem belet de van de gegevensexporteur ontvangen instructies en zijn verplichtingen krachtens het contract na te komen, en dat hij in geval van een wijziging in deze wetgeving die in aanzienlijke mate afbreuk dreigt te doen aan de in de bepalingen opgenomen waarborgen en verplichtingen, de gegevensexporteur, zodra hij de wijziging kent, onverwijld daarvan in kennis stelt, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen;
c) hij de in aanhangsel 2 omschreven technische en organisatorische beveiligingsmaatregelen vóór de verwerking van de doorgegeven persoonsgegevens heeft getroffen;
d) hij de gegevensexporteur onverwijld ervan in kennis stelt wanneer:
i) een wetshandhavingsinstantie een juridisch bindend verzoek om verstrekking van persoonsgegevens heeft gedaan, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren;
ii) iemand per ongeluk of op ongeoorloofde wijze toegang tot de gegevens heeft gehad; en
iii) hij van de betrokkenen rechtstreeks een verzoek heeft ontvangen, waarop hij niet ingaat, tenzij hem dit anderszins is toegestaan;
e) hij alle vragen van de gegevensexporteur betreffende de door hem uitgevoerde verwerking van de doorgegeven persoonsgegevens zo spoedig mogelijk naar behoren beantwoordt en het advies van de toezichthoudende autoriteit volgt bij de verwerking van de doorgegeven gegevens;
f) hij op verzoek van de gegevensexporteur zijn verwerkingsvoorzieningen beschikbaar stelt voor controle van de onder deze bepalingen vallende verwerkingsactiviteiten, welke wordt uitgevoerd door de gegevensexporteur of door een controleorgaan waarvan de leden onafhankelijk zijn, over de vereiste beroepskwalificaties beschikken, tot geheimhouding verplicht zijn en door de gegevensexporteur worden aangewezen, waar van toepassing in overleg met de toezichthoudende autoriteit;
[…]”
29. Voetnoot 1 bij bepaling 5 van de bijlage bij besluit 2010/87 luidt als volgt:
„Vereisten van het nationale recht die op de gegevensimporteur van toepassing zijn en die niet verder gaan dan wat in een democratische samenleving noodzakelijk is op basis van een van de in artikel 13, lid 1, van [richtlijn 95/46] vermelde belangen, dat wil zeggen noodzakelijke maatregelen ter vrijwaring van de veiligheid van een staat, de landsverdediging, de openbare veiligheid, het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen, een belangrijk economisch en financieel belang van een lidstaat of de bescherming van de betrokkene of van de rechten en vrijheden van anderen, zijn niet in strijd met de bepalingen. Enkele voorbeelden van dergelijke vereisten die niet verder gaan dan wat in een democratische samenleving noodzakelijk is, zijn internationaal erkende sancties, verplichtingen in verband met de belastingaangifte en verplichtingen in verband met het melden van witwaspraktijken.”
30. Bepaling 6 van deze bijlage, die als opschrift „Aansprakelijkheid” draagt, is geformuleerd als volgt:
„1. De partijen komen overeen dat elke betrokkene die ten gevolge van een schending van de verplichtingen bedoeld in bepaling 3 of bepaling 11 door een partij of een subverwerker schade heeft geleden, het recht heeft van de gegevensexporteur vergoeding voor de geleden schade te ontvangen.
2. Wanneer de betrokkene geen vordering tot schadevergoeding wegens niet-nakoming door de gegevensimporteur of diens subverwerker van een van de in bepaling 3 of bepaling 11 bedoelde verplichtingen, als bedoeld in lid 1, tegen de gegevensexporteur kan instellen doordat de gegevensexporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de gegevensimporteur ermee in dat de betrokkene een vordering kan instellen tegen de gegevensimporteur alsof hij de gegevensexporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover die rechtsopvolger kan doen gelden. […]
[…]”
31. Bepaling 7 van voornoemde bijlage, met als opschrift „Bemiddeling en rechtsmacht”, luidt als volgt:
„1. De gegevensimporteur stemt ermee in dat, indien de betrokkene tegen hem rechten ten behoeve van derden en/of vorderingen tot schadevergoeding krachtens de bepalingen inroept, de gegevensimporteur de beslissing van de betrokkene aanvaardt:
a) om het geschil te onderwerpen aan bemiddeling door een onafhankelijke persoon of, waar van toepassing, door de toezichthoudende autoriteit;
b) om het geschil voor te leggen aan een rechterlijke instantie in de lidstaat waar de gegevensexporteur is gevestigd.
2. De partijen komen overeen dat de door de betrokkene gemaakte keuze geen afbreuk doet aan diens materiële of formele rechten om op grond van andere bepalingen van nationaal of internationaal recht verhaal te zoeken.”
32. Ingevolge bepaling 9 van voornoemde bijlage, dat als opschrift „Toepasselijk recht” draagt, is op de bepalingen het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing.
D. Privacyschildbesluit
33. Op basis van artikel 25, lid 6, van richtlijn 95/46 heeft de Commissie achtereenvolgens twee besluiten vastgesteld waarbij zij heeft geconstateerd dat de Verenigde Staten een passend beschermingsniveau bieden voor persoonsgegevens die worden doorgegeven naar in de Verenigde Staten gevestigde ondernemingen die in het kader van een zelfcertificeringsprocedure hebben verklaard de in die besluiten geformuleerde beginselen te onderschrijven.
34. De eerste van die rechtshandelingen van de Commissie was beschikking 2000/520/EG betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd.(11) In het arrest van 6 oktober 2015, Schrems(12), heeft het Hof deze beschikking ongeldig verklaard.
35. Naar aanleiding van dit arrest heeft de Commissie vervolgens het privacyschildbesluit vastgesteld.
36. Artikel 1 van dit besluit bepaalt:
„1. Voor de toepassing van artikel 25, lid 2, van [richtlijn 95/46] waarborgen de Verenigde Staten een passend beschermingsniveau voor persoonsgegevens die van de Unie naar organisaties in de Verenigde Staten worden doorgegeven in het kader van het EU‑VS-privacyschild.
2. Het EU‑VS-privacyschild bestaat uit de Beginselen die op 7 juli 2016 door het Amerikaanse ministerie van Handel zijn gepubliceerd en in bijlage II zijn opgenomen, en de officiële verklaringen en toezeggingen die in de in de bijlagen I en III tot en met VII opgenomen documenten zijn vervat.
3. Voor de toepassing van lid 1 worden persoonsgegevens doorgegeven in het kader van het EU‑VS-privacyschild wanneer ze worden doorgegeven uit de Unie naar organisaties in de Verenigde Staten die op de ‚privacyschildlijst’ staan, die door het Amerikaanse ministerie van Handel wordt bijgehouden en bekendgemaakt, overeenkomstig de secties I en III van de in bijlage II opgenomen Beginselen.”
37. Bijlage III A bij dit besluit, getiteld „EU‑VS-privacyschildombudsmanmechanisme met betrekking tot inlichtingen uit het berichtenverkeer”, die bij een brief van 7 juli 2016 van de toenmalige Secretary of State (minister van Buitenlandse Zaken, Verenigde Staten) John Kerry was gevoegd, bevat een memorandum dat een nieuwe ombudsmanprocedure beschrijft bij een door de Secretary of State aan te stellen Senior Coordinator for International Information Technology Diplomacy (hierna: „ombudsman”).
38. Volgens dit memorandum is deze procedure in het leven geroepen „om eenvoudiger verzoeken te kunnen behandelen met betrekking tot de toegang in verband met de nationale veiligheid tot gegevens die vanuit de [Unie] zijn doorgegeven naar de Verenigde Staten in het kader van het privacyschild, modelcontractbepalingen, bindende bedrijfsvoorschriften, ‚afwijkingen’ […] of ‚mogelijke toekomstige afwijkingen’ […], via gevestigde kanalen uit hoofde van toepasselijke VS‑wetgeving en ‑beleidsregels, en het antwoord op die verzoeken”.
III. Hoofdgeding, prejudiciële vragen en procedure bij het Hof
39. Schrems, een in Oostenrijk woonachtige Oostenrijker, is gebruiker van het sociale netwerk Facebook. Wie op het grondgebied van de Unie woont en Facebook wil gebruiken, moet bij inschrijving een overeenkomst ondertekenen met Facebook Ireland, een dochteronderneming van Facebook Inc., die zelf in de Verenigde Staten is gevestigd. De persoonsgegevens van deze gebruikers worden geheel of gedeeltelijk doorgegeven naar servers van Facebook Inc. die zich op het grondgebied van de Verenigde Staten bevinden, waar zij worden verwerkt.
40. Op 25 juni 2013 heeft Schrems een klacht bij de DPC ingediend en verzocht om Facebook Ireland te verbieden zijn persoonsgegevens naar de Verenigde Staten door te geven. Hij voerde daartoe aan dat het geldende recht en de praktijk in dit derde land geen waarborgen boden voor afdoende bescherming van de op zijn grondgebied bewaarde persoonsgegevens tegen inmengingen als gevolg van de surveillance die daar door de overheidsinstanties werd uitgevoerd. Schrems verwees in dat verband naar de onthullingen die Edward Snowden had gedaan over de activiteiten van de Amerikaanse inlichtingendiensten en in het bijzonder de National Security Agency (nationale veiligheidsdienst; hierna: „NSA”).
41. Deze klacht is afgewezen, onder meer op grond dat elke vraag over het passende karakter van de in de Verenigde Staten verzekerde bescherming moest worden beantwoord in overeenstemming met de veiligehavenbeschikking. In die beschikking had de Commissie geconstateerd dat dit derde land een passend beschermingsniveau bood voor de persoonsgegevens die werden doorgegeven naar de op zijn grondgebied gevestigde ondernemingen die de hierin geformuleerde beginselen hadden onderschreven.
42. Schrems heeft bij de High Court beroep ingesteld tegen het besluit tot afwijzing van zijn klacht. Deze rechterlijke instantie was van oordeel dat, ofschoon Schrems formeel niet de geldigheid van de veiligehavenbeschikking betwistte, hij met zijn klacht in feite de rechtmatigheid van de bij deze beschikking ingevoerde regeling ter discussie stelde. Derhalve heeft de High Court vragen aan het Hof gesteld die er in wezen op neerkwamen of de met gegevensbescherming belaste autoriteiten van de lidstaten (hierna: „toezichthoudende autoriteiten”) wanneer bij hen een klacht wordt ingediend over de bescherming van de rechten en vrijheden van een persoon in verband met de verwerking van hem betreffende persoonsgegevens die naar een derde staat zijn doorgegeven, gebonden zijn aan de krachtens artikel 25, lid 6, van richtlijn 95/46 door de Commissie gedane constateringen betreffende het passende karakter van het door deze derde staat geboden beschermingsniveau, ofschoon de klager zelf deze constateringen bestrijdt.
43. Na in de punten 51 en 52 van het arrest Schrems te hebben geoordeeld dat de toezichthoudende autoriteiten gebonden zijn aan een adequaatheidsbesluit zolang dit niet ongeldig is verklaard, heeft het Hof in de punten 63 en 65 van dit arrest vervolgens overwogen:
„63. […] [Wanneer] een persoon van wie de persoonsgegevens zijn of zouden kunnen worden doorgegeven naar een derde land dat voorwerp is van een krachtens artikel 25, lid 6, van richtlijn 95/46 vastgestelde beschikking van de Commissie, zich tot een nationale toezichthoudende autoriteit wendt met een verzoek met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van die gegevens en met dat verzoek […] bestrijdt dat die beschikking verenigbaar is met de bescherming van het privéleven en de grondrechten en fundamentele vrijheden van personen, [staat] het aan die autoriteit […] om bedoeld verzoek met de nodige voortvarendheid en zorgvuldigheid te onderzoeken.
[…]
65. In het […] geval […] wanneer bedoelde autoriteit van mening is dat de grieven van [deze] persoon […] gegrond zijn, moet deze autoriteit ingevolge artikel 28, lid 3, eerste alinea, derde streep, van richtlijn 95/46, gelezen in samenhang met artikel 8, lid 3, van het Handvest, in rechte kunnen optreden. In dat verband staat het aan de nationale wetgever om in beroepsgangen te voorzien waarmee bedoelde autoriteit de grieven die zij gegrond acht aan de nationale rechter kan voorleggen, zodat die laatste, wanneer hij de twijfel ten aanzien van de geldigheid van de beschikking van de Commissie deelt, de vraag naar de geldigheid van die beschikking prejudicieel kan verwijzen.”
44. Het Hof heeft de geldigheid van de veiligehavenbeschikking in dat arrest ook getoetst aan de vereisten zoals die voortvloeien uit richtlijn 95/46, gelezen in samenhang met het Handvest. Na afloop van dit onderzoek heeft het Hof deze beschikking ongeldig verklaard.(13)
45. Naar aanleiding van het arrest Schrems heeft de verwijzende rechter het besluit van de DPC tot afwijzing van de klacht van Schrems nietig verklaard en voor onderzoek terugverwezen naar de DPC. De DPC heeft een onderzoek geopend en Schrems verzocht zijn klacht, gelet op de ongeldigverklaring van de veiligehavenbeschikking, te herformuleren.
46. Met het oog daarop heeft Schrems Facebook Ireland verzocht aan te duiden op welke rechtsgronden de doorgifte van persoonsgegevens van Facebookgebruikers vanuit de Unie naar de Verenigde Staten is gebaseerd. Zonder deze rechtsgronden nader aan te duiden heeft Facebook Ireland verwezen naar een tussen haar en Facebook Inc. gesloten overeenkomst voor de doorgifte en de verwerking van gegevens (data transfer processing agreement), die sinds 20 november 2015 van toepassing is, en heeft zij zich op besluit 2010/87 beroepen.
47. In zijn geherformuleerde klacht voert Schrems om te beginnen aan dat de in die overeenkomst vervatte bepalingen niet in overeenstemming zijn met de in de bijlage bij besluit 2010/87 vastgestelde modelcontractbepalingen. Vervolgens stelt hij dat deze modelcontractbepalingen hoe dan ook niet als grondslag kunnen dienen voor de doorgifte van de hem betreffende persoonsgegevens naar de Verenigde Staten. Naar Amerikaans recht is Facebook Inc. namelijk verplicht om de persoonsgegevens van gebruikers ter beschikking te stellen van Amerikaanse autoriteiten, zoals de NSA of de Federal Bureau of Investigation (FBI), in het kader van surveillanceprogramma’s die de uitoefening van de in de artikelen 7, 8 en 47 van het Handvest gewaarborgde rechten belemmeren. Volgens Schrems beschikken de betrokkenen over geen enkel rechtsmiddel waarmee zij hun recht op eerbiediging van het privéleven en op bescherming van persoonsgegevens kunnen doen gelden. Derhalve verzoekt hij de DPC om deze doorgifte op te schorten op grond van artikel 4 van besluit 2010/87.
48. Facebook Ireland heeft in het kader van het onderzoek van de DPC erkend dat zij de persoonsgegevens van in de Unie wonende Facebookgebruikers nog steeds doorgeeft naar de Verenigde Staten en zich daarbij grotendeels baseert op de modelcontractbepalingen van de bijlage bij besluit 2010/87.
49. Het onderzoek van de DPC had tot doel om vast te stellen of de Verenigde Staten een passende bescherming van de persoonsgegevens van Unieburgers waarborgen en of, indien zulks niet het geval is, de MCB-besluiten voldoende waarborgen bieden met betrekking tot de bescherming van de fundamentele vrijheden en rechten van deze personen.
50. In dit verband heeft de DPC in een ontwerpbesluit (draft decision) als voorlopig oordeel uitgesproken dat het Amerikaanse recht geen doeltreffende voorzieningen in rechte in de zin van artikel 47 van het Handvest biedt aan Unieburgers wier gegevens zijn doorgegeven naar de Verenigde Staten, waar het risico bestaat dat deze gegevens op een met de artikelen 7 en 8 van het Handvest onverenigbare wijze door de Amerikaanse diensten zullen worden verwerkt voor doeleinden van nationale veiligheid. De waarborgen in de bepalingen van de bijlage bij de MCB-besluiten kunnen deze leemte niet opvullen, omdat de autoriteiten of diensten van de Verenigde Staten hieraan niet gebonden zijn en de betrokkenen er slechts contractuele rechten jegens de gegevensexporteur en/of ‑importeur aan ontlenen.
51. De DPC heeft zich derhalve op het standpunt gesteld dat op de klacht van Schrems pas kon worden beslist nadat het Hof de geldigheid van de MCB-besluiten had onderzocht. Overeenkomstig punt 65 van het arrest Schrems heeft de DPC dan ook een procedure bij de verwijzende rechter ingeleid, zodat die laatste, ingeval hij de twijfel van de DPC deelt, de vraag naar de geldigheid van die besluiten ter prejudiciële beslissing aan het Hof kon voorleggen.
52. De regering van de Verenigde Staten, het Electronic Privacy Information Centre (EPIC), de Business Software Alliance (BSA) en Digitaleurope zijn toegelaten tot interventie bij de verwijzende rechter.
53. Om te bepalen of hij de twijfel van de DPC omtrent de geldigheid van de MCB-besluiten deelt, heeft de High Court de door de procespartijen geproduceerde bewijsstukken vergaard en de argumenten van deze partijen en de interveniërende partijen gehoord. In het bijzonder is deskundigenbewijs met betrekking tot de bepalingen van het recht van de Verenigde Staten overgelegd. Volgens het Ierse recht wordt buitenlands recht beschouwd als een feitelijk gegeven dat gelijk elk ander feit met bewijsstukken moet worden gestaafd. Op basis van deze bewijsstukken heeft de verwijzende rechter de bepalingen van het recht van de Verenigde Staten die de surveillance door overheidsinstanties en ‑diensten toestaan, de werking van twee algemeen erkende surveillanceprogramma’s („PRISM” en „Upstream”), de verschillende rechtsmiddelen waarover particulieren beschikken wanneer hun rechten door surveillancemaatregelen zijn geschonden, en de bestaande structurele waarborgen en toezichtmechanismen beoordeeld. De uitkomsten van deze beoordeling zijn bekendgemaakt in een uitspraak van 3 oktober 2017, die als bijlage bij de verwijzingsbeslissing van deze rechter is gevoegd (hierna: „uitspraak van de High Court van 3 oktober 2017”).
54. In deze uitspraak heeft de verwijzende rechter als rechtsgrondslag voor het onderscheppen van buitenlandse communicatie door de Amerikaanse inlichtingendiensten onder meer section 702 van de Foreign Intelligence Surveillance Act (FISA) (wet betreffende het toezicht op buitenlandse inlichtingen) en Executive Order 12333 (uitvoeringsbevel nr. 12333; hierna: „EO 12333”) genoemd.
55. Zoals in deze uitspraak is geconstateerd, verleent section 702 FISA aan de Attorney General (procureur-generaal, Verenigde Staten) en de Director of National Intelligence (DNI) (directeur nationale inlichtingen, Verenigde Staten) de gezamenlijke bevoegdheid om, met het oog op het verzamelen van informatie op het gebied van buitenlandse inlichtingen, voor de duur van een jaar toestemming te verlenen voor de surveillance van personen die geen Amerikaans staatsburger of permanent ingezetene van de Verenigde Staten zijn (de zogeheten „niet-Amerikaanse personen”) wanneer redelijkerwijs kan worden vermoed dat zij zich buiten het grondgebied van de Verenigde Staten ophouden.(14) Volgens de FISA doelt het begrip „buitenlandse inlichtingen” op informatie met betrekking tot de mogelijkheid voor de regering om zich tegen buitenlandse aanvallen te wapenen, terrorisme, de verspreiding van wapens voor massadestructie en het voeren van het buitenlandbeleid van de Verenigde Staten.(15)
56. Deze jaarlijkse toestemmingen moeten, evenals de procedures ter specificering van de doelwitten van de surveillance en ter verwerking („minimalisering”) van de verzamelde informatie(16), worden goedgekeurd door de Foreign Intelligence Surveillance Court (FISC) (rechtbank voor buitenlandse-inlichtingensurveillance). Terwijl voor de „traditionele” surveillance op basis van andere FISA-bepalingen moet worden aangetoond dat er sprake is van een „redelijk vermoeden” dat de gesurveilleerde personen tot een buitenlandse mogendheid behoren of daar agenten van zijn, hoeft voor surveillanceactiviteiten die krachtens section 702 FISA plaatsvinden een dergelijk „redelijk vermoeden” niet te worden aangetoond en is de specificering van de doelwitten van de surveillance niet aan goedkeuring door de FISC onderworpen. Daarnaast zijn de minimaliseringsprocedures niet van toepassing op niet-Amerikaanse personen die zich buiten de Verenigde Staten bevinden, aldus de verwijzende rechter.
57. In de praktijk zendt de NSA, zodra de FISC toestemming heeft verleend, richtlijnen met zoekcriteria, genaamd „selectietermen”, die aan de doelwitten zijn gekoppeld (zoals telefoonnummers of e‑mailadressen), aan in de Verenigde Staten gevestigde aanbieders van elektronischecommunicatiediensten. Deze aanbieders zijn dan verplicht om de met deze selectietermen overeenkomende gegevens aan de NSA te verstrekken en geheimhouding ten aanzien van de ontvangen richtlijnen te betrachten. Zij kunnen bij de FISC een verzoek indienen om een richtlijn van de NSA te wijzigen of buiten toepassing te laten. Tegen de beslissing van de FISC kan beroep worden ingesteld bij de Foreign Intelligence Surveillance Court of Review (FISCR) (appelrechter voor buitenlandse-inlichtingensurveillance).
58. Door de High Court is vastgesteld dat section 702 FISA de wettelijke grondslag vormt voor de programma’s PRISM en Upstream.
59. In het kader van het PRISM-programma dienen aanbieders van elektronischecommunicatiediensten alle communicatie „afkomstig van” of „bestemd voor” de door de NSA meegedeelde selectieterm aan deze instantie over te leggen. Een deel van deze communicatie wordt doorgegeven aan de FBI en de Central Intelligence Agency (CIA). In 2015 zijn 94 386 personen gesurveilleerd en in 2011 heeft de regering van de Verenigde Staten in het kader van dit programma meer dan 250 miljoen berichten onderschept.
60. Het Upstream-programma berust op de verplichte medewerking van ondernemingen die de „ruggengraat” – dat wil zeggen het netwerk van kabels, schakelaars en routers – exploiteren waarlangs telefonische‑ en internetcommunicatie plaatsvindt. Deze ondernemingen moeten toestaan dat de NSA internetverkeersstromen kopieert of filtert, teneinde communicatie „afkomstig van”, „bestemd voor” of „betreffende” een in een richtlijn van deze instantie vermelde selectieterm te verwerven. Met communicatie „betreffende” een selectieterm wordt gedoeld op communicatie die naar deze selectieterm verwijst, zonder dat de aan deze selectieterm gekoppelde niet-Amerikaanse persoon daaraan noodzakelijkerwijs deelneemt. Ofschoon uit een advies van de FISC van 26 april 2017 blijkt dat de Amerikaanse regering sinds die datum geen communicatie „betreffende” een selectieterm meer verzamelt en verwerft, wordt hierin niet vermeld dat de NSA het kopiëren en filteren van de communicatiestromen die via zijn surveillanceapparatuur passeren, heeft gestaakt. Het Upstream-programma houdt dus in dat de NSA toegang heeft tot zowel de metagegevens als de inhoud van de communicatie. Sinds 2011 heeft de NSA in het kader van het Upstream-programma circa 26,5 miljoen berichten per jaar verzameld, wat echter slechts een klein deel is van de berichten die op grond van dit programma zijn gefilterd.
61. Daarnaast, zo blijkt uit de constateringen van de High Court, biedt EO 12333 de mogelijkheid van surveillance van elektronische communicatie buiten het grondgebied van de Verenigde Staten door toe te staan dat gegevens „tijdens de doorvoer” naar dit grondgebied of gegevens die via dit grondgebied „worden doorgevoerd” zonder dat zij bestemd zijn om daar te worden verwerkt, worden ingezien, verzameld en bewaard voor doeleinden van buitenlandse inlichtingen. EO 12333 omschrijft het begrip „buitenlandse inlichtingen” als informatie over de capaciteit, intenties of activiteiten van buitenlandse regeringen, organisaties of personen.(17)
62. Op grond van EO 12333 heeft de NSA toegang tot de onderzeese kabels op de bodem van de Atlantische Oceaan waardoor gegevens vanuit de Unie worden doorgegeven naar de Verenigde Staten, voordat deze gegevens in de Verenigde Staten aankomen en dus aan de FISA-bepalingen zijn onderworpen. Er is echter geen bewijs dat er enig programma op grond van dit bevel is uitgevoerd.
63. Ofschoon EO 12333 beperkingen stelt aan het verzamelen, bewaren en verspreiden van informatie, gelden deze beperkingen niet ten aanzien van niet-Amerikaanse personen. Voor hen gelden enkel de waarborgen van de Presidential Policy Directive 28 (presidentiële beleidsrichtlijn nr. 28; hierna: „PPD 28”), die van toepassing is op alle activiteiten waarbij buitenlandse inlichtingen uit het berichtenverkeer worden verzameld en gebruikt. PPD 28 bepaalt dat de eerbiediging van het privéleven deel uitmaakt van de overwegingen die in aanmerking moeten worden genomen bij het plannen van deze activiteiten, dat het verzamelen enkel tot doel mag hebben om informatie op het gebied van buitenlandse inlichtingen en contraspionage in te winnen en dat deze activiteiten „zo gericht mogelijk” dienen te zijn.
64. Volgens de verwijzende rechter zijn de activiteiten van de NSA die zijn gebaseerd op EO 12333 – dat op elk moment door de president van de Verenigde Staten kan worden gewijzigd of ingetrokken – niet geregeld in een wet, niet onderworpen aan rechterlijk toezicht en bestaan daartegen geen voorzieningen in rechte.
65. Op basis van deze constateringen is de verwijzende rechter van oordeel dat de Verenigde Staten massaal en willekeurig persoonsgegevens verwerken, waardoor de betrokkenen het risico lopen dat de rechten die zij aan de artikelen 7 en 8 van het Handvest ontlenen, worden geschonden.
66. Daarbij komt nog dat volgens de verwijzende rechter voor Unieburgers niet dezelfde voorzieningen in rechte openstaan tegen illegale verwerkingen van hun persoonsgegevens door de Amerikaanse autoriteiten als voor Amerikaanse staatsburgers. Het vierde amendement van de grondwet van de Verenigde Staten, dat de belangrijkste bescherming tegen illegale surveillance biedt, is niet van toepassing op Unieburgers die geen relevante vrijwillige band met de Verenigde Staten hebben. Weliswaar beschikken zij over een aantal andere rechtsmiddelen, maar die gaan gepaard met aanzienlijke obstakels.
67. In het bijzonder stelt artikel III van de grondwet van de Verenigde Staten elk beroep bij de federale rechter afhankelijk van de vaststelling dat de betrokken persoon procesbevoegdheid heeft (standing). Procesbevoegdheid veronderstelt onder meer dat deze persoon aantoont dat hij reële schade heeft geleden. Enerzijds moet de schade concreet en persoonlijk zijn en anderzijds moet de schade reeds zijn geleden of dreigen te worden geleden. Onder verwijzing naar onder meer het arrest van de Supreme Court of the United States (hoogste rechter van de Verenigde Staten), Clapper tegen Amnesty International US(18), acht de verwijzende rechter het in de praktijk buitengewoon moeilijk om aan deze voorwaarde te voldoen, met name gelet op het ontbreken van enige verplichting om de betrokkenen in kennis te stellen van de ten aanzien van hen genomen surveillancemaatregelen.(19) Bovendien is een deel van de rechtsmiddelen waarover Unieburgers beschikken, onderworpen aan andere beperkende voorwaarden, zoals de noodzaak om geldelijke schade aan te tonen. De soevereine immuniteit van inlichtingendiensten en de classificatie van de betrokken informatie belemmeren de aanwending van sommige rechtsmiddelen.(20)
68. De High Court maakt daarnaast melding van diverse mechanismen van controle en toezicht op de activiteiten van de inlichtingendiensten.
69. Hiertoe behoort in de eerste plaats het mechanisme van jaarlijkse certificering door de FISC van programma’s die op section 702 FISA zijn gebaseerd, in het kader waarvan de FISC echter niet de individuele selectietermen goedkeurt. Ook het verzamelen van informatie op het gebied van buitenlandse inlichtingen krachtens EO 12333 is aan geen enkele vorm van voorafgaand rechterlijk toezicht onderworpen.
70. In de tweede plaats noemt de verwijzende rechter verschillende mechanismen van buitengerechtelijk toezicht op de inlichtingenactiviteiten. Met name vermeldt hij de rol van de Inspectors General (algemeen inspecteurs, Verenigde Staten), die binnen elke inlichtingendienst belast zijn met het toezicht op de surveillanceactiviteiten. Daarnaast ontvangt de Privacy and Civil Liberties Oversight Board (PCLOB) (raad van toezicht op het privéleven en de burgerlijke vrijheden, Verenigde Staten), een onafhankelijke instantie die deel uitmaakt van de uitvoerende macht, rapporten van personen die binnen elke dienst zijn aangewezen als functionarissen voor de burgerlijke vrijheden of het privéleven (civil liberties or privacy officers). De PCLOB stelt regelmatig rapporten op ten behoeve van parlementaire commissies of de president. De betrokken instanties moeten incidenten in verband met de niet-naleving van de regels en voorschriften betreffende het verzamelen van buitenlandse inlichtingen melden bij onder meer de DNI. Deze incidenten worden tevens gerapporteerd aan de FISC. Ook het Amerikaanse Congres is, via de inlichtingencommissies van het Huis van Afgevaardigden en de Senaat, verantwoordelijk voor het toezicht op buitenlandse-inlichtingenactiviteiten.
71. De High Court onderstreept evenwel dat er een fundamenteel onderscheid bestaat tussen enerzijds de regels die beogen te verzekeren dat gegevens legaal worden verkregen en dat daarvan vervolgens geen misbruik wordt gemaakt, en anderzijds de rechtsmiddelen die openstaan wanneer deze regels worden geschonden. De bescherming van de grondrechten van de betrokkenen is volgens hem uitsluitend gewaarborgd indien doeltreffende voorzieningen in rechte hen in staat stellen om hun rechten te doen gelden in geval van schending van voornoemde regels.
72. In deze omstandigheden is de verwijzende rechter van oordeel dat de door de DPC aangevoerde argumenten dat de naar Amerikaans recht geldende beperkingen van het beroepsrecht van personen wier gegevens vanuit de Unie worden doorgegeven, niet de wezenlijke inhoud van het in artikel 47 van het Handvest gewaarborgde recht eerbiedigen en in elk geval een onevenredige inmenging in de uitoefening van dit recht vormen, gegrond zijn.
73. Volgens de High Court doet de invoering door de regering van de Verenigde Staten van het in het privacyschildbesluit omschreven ombudsmanmechanisme niet af aan deze beoordeling. Ofschoon dit mechanisme openstaat voor alle Unieburgers die redelijkerwijs vermoeden dat hun gegevens overeenkomstig de MCB-besluiten zijn doorgegeven(21), is de ombudsman geen gerecht dat aan de eisen van artikel 47 van het Handvest voldoet. Met name is de ombudsman niet onafhankelijk van de uitvoerende macht.(22) De verwijzende rechter betwijfelt voorts of de tussenkomst van de ombudsman, wiens beslissingen niet vatbaar zijn voor beroep, een doeltreffende voorziening in rechte vormt. Personen wier gegevens onrechtmatig zijn verzameld, verwerkt of gedeeld, kunnen in dit kader namelijk geen schadevergoeding of rechterlijk bevel tot staking van de onrechtmatige handelingen krijgen, omdat de ombudsman bevestigt noch ontkent dat jegens een verzoekende partij een elektronischesurveillancemaatregel is genomen.
74. Na aldus zijn bezorgdheid te hebben verwoord over de vraag of de door het Amerikaanse recht geboden waarborgen in wezen gelijkwaardig zijn aan de vereisten van de artikelen 7, 8 en 47 van het Handvest, heeft de verwijzende rechter zijn twijfel geuit of de modelcontractbepalingen in de MCB-besluiten – die naar hun aard niet bindend zijn voor de Amerikaanse autoriteiten – niettemin kunnen verzekeren dat de grondrechten van de betrokkenen worden beschermd. Hij kwam daarop tot de conclusie dat hij de twijfel van de DPC omtrent de geldigheid van deze besluiten deelt.
75. Dienaangaande is de verwijzende rechter met name van oordeel dat artikel 28, lid 3, van richtlijn 95/46, waarnaar artikel 4 van besluit 2010/87 verwijst, dat aan de toezichthoudende autoriteiten de bevoegdheid verleent om doorgiften op basis van de in dit besluit bedoelde modelcontractbepalingen op te schorten of te verbieden, deze twijfel niet kan wegnemen. Afgezien van het feit dat deze bevoegdheid volgens hem van discretionaire aard is, vraagt de verwijzende rechter zich in het licht van overweging 11 van besluit 2010/87 af of deze bevoegdheid kan worden uitgeoefend wanneer de geconstateerde tekortkomingen geen betrekking hebben op een concreet en uitzonderlijk geval, maar van algemene en structurele aard zijn.(23) Voorts meent hij dat het risico op uiteenlopende besluiten in verschillende lidstaten eraan in de weg zou kunnen staan dat de vaststelling van dergelijke tekortkomingen wordt toevertrouwd aan de toezichthoudende autoriteiten.
76. In deze omstandigheden heeft de High Court bij beslissing van 4 mei 2018(24), ingekomen bij het Hof op 9 mei 2018, de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vragen gesteld:
„1) Is het Unierecht (met inbegrip van het Handvest), onverminderd de bepalingen van artikel 4, lid 2, VEU met betrekking tot de nationale veiligheid en de bepalingen van artikel 3, lid 2, eerste streepje, van [richtlijn 95/46] met betrekking tot de openbare veiligheid, defensie en de veiligheid van de staat, van toepassing op de doorgifte van persoonsgegevens in omstandigheden waarin persoonsgegevens door een particuliere onderneming vanuit een lidstaat van de [Unie] voor commerciële doeleinden aan een particuliere onderneming in een derde land worden doorgegeven overeenkomstig [besluit 2010/87], en die persoonsgegevens in het derde land mogelijk door de autoriteiten van dat land verder worden verwerkt ten behoeve van de nationale veiligheid, maar ook ten behoeve van de rechtshandhaving en het voeren van het buitenlandbeleid van het derde land?
2) a) Wat is in het kader van [richtlijn 95/46] de relevante vergelijkingsmaatstaf bij de vaststelling of er sprake is van schending van de rechten van een natuurlijke persoon als gevolg van de doorgifte van gegevens op grond van [besluit 2010/87] vanuit de Unie naar een derde land waar deze gegevens mogelijk verder worden verwerkt ten behoeve van de nationale veiligheid:
i) het Handvest, het VEU, het VWEU, [richtlijn 95/46], het [op 4 november 1950 te Rome ondertekende Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: „EVRM”)] (of andere bepalingen van het Unierecht); of
ii) het nationale recht van een of meer lidstaten?
b) Indien ii) de relevante vergelijkingsbasis is, moeten dan ook de praktijken in het kader van de nationale veiligheid in een of meer lidstaten in de vergelijkingsmaatstaf worden opgenomen?
3) Dient bij de beoordeling of een derde land het door het Unierecht vereiste beschermingsniveau waarborgt voor persoonsgegevens die op grond van artikel 26 van [richtlijn 95/46] naar dat land worden doorgegeven, het beschermingsniveau in het derde land dan te worden beoordeeld aan de hand van:
a) de in het derde land geldende regels die voortvloeien uit de nationale wetgeving of de internationale verbintenissen van dat land en de praktijk die tot doel heeft de naleving van die regels te waarborgen, alsmede de beroepscodes en de veiligheidsmaatregelen die in dat land worden nageleefd;
of
b) de onder a) bedoelde regels, samen met de administratieve, regelgevende en handhavingspraktijken en beleidswaarborgen, procedures, protocollen, toezichtmechanismen en buitengerechtelijke rechtsmiddelen die in het derde land bestaan?
4) Schendt de doorgifte van persoonsgegevens vanuit de [Unie] naar de VS op grond van [besluit 2010/87], gelet op de feiten die de High Court […] met betrekking tot het recht van de VS heeft vastgesteld […], de rechten die natuurlijke personen ontlenen aan artikel 7 en/of artikel 8 van het Handvest?
5) Gelet op de feiten die de High Court met betrekking tot het recht van de Verenigde Staten heeft vastgesteld en indien persoonsgegevens op grond van [besluit 2010/87] vanuit de [Unie] naar de Verenigde Staten worden doorgegeven:
a) Eerbiedigt het door de Verenigde Staten geboden beschermingsniveau dan de wezenlijke inhoud van het in artikel 47 van het Handvest gewaarborgde recht van een natuurlijke persoon op een voorziening in rechte in geval van schending van zijn recht op gegevensbescherming?
Indien het antwoord op a) bevestigend is:
b) Zijn de beperkingen die naar Amerikaans recht worden gesteld aan het recht van een natuurlijke persoon op een voorziening in rechte in het kader van de nationale veiligheid van de Verenigde Staten evenredig in de zin van artikel 52 van het Handvest en gaan zij niet verder dan wat in een democratische samenleving noodzakelijk is ten behoeve van de nationale veiligheid?
6) a) Welk beschermingsniveau moet worden geboden aan persoonsgegevens die naar een derde land worden doorgegeven op grond van modelcontractbepalingen die overeenkomstig een besluit van de Commissie als bedoeld in artikel 26, lid 4, [van richtlijn 95/46] zijn vastgesteld, in het licht van de bepalingen van [deze] richtlijn, en met name de artikelen 25 en 26 [ervan], gelezen in samenhang met het Handvest?
b) Met welke elementen moet rekening worden gehouden bij de beoordeling of het beschermingsniveau dat uit hoofde van [besluit 2010/87] wordt geboden aan gegevens die naar een derde land worden doorgegeven, in overeenstemming is met de vereisten van [richtlijn 95/46] en het Handvest?
7) Belet het feit dat de modelcontractbepalingen van toepassing zijn tussen de gegevensexporteur en de gegevensimporteur en niet bindend zijn voor de nationale autoriteiten van een derde land die van de gegevensimporteur kunnen verlangen dat hij de overeenkomstig de bepalingen van [besluit 2010/87] doorgegeven persoonsgegevens ter beschikking stelt van de veiligheidsdiensten van dit land met het oog op verdere verwerking, dat de modelcontractbepalingen voldoende waarborgen bieden als bedoeld in artikel 26, lid 2, van [richtlijn 95/46]?
8) Indien een gegevensimporteur uit een derde land onderworpen is aan toezichtwetten die naar het oordeel van een [toezichthoudende autoriteit] in strijd zijn met de bepalingen van de bijlage bij [besluit 2010/87] of de artikelen 25 en 26 van [richtlijn 95/46] en/of het Handvest, is die [toezichthoudende autoriteit] dan verplicht haar handhavingsbevoegdheden uit hoofde van artikel 28, lid 3, van [richtlijn 95/46] uit te oefenen om de gegevensstromen op te schorten, of is de uitoefening van die bevoegdheden enkel beperkt tot uitzonderlijke gevallen, zoals bedoeld in overweging 11 van [besluit 2010/87], of kan de [toezichthoudende autoriteit] haar discretionaire bevoegdheid uitoefenen om de gegevensstromen niet op te schorten?
9) a) Vormt [het privacyschildbesluit] voor de toepassing van artikel 25, lid 6, van [richtlijn 95/46] een algemeen geldende vaststelling die voor de [toezichthoudende autoriteiten] en de rechterlijke instanties van de lidstaten bindend is, zodat de Verenigde Staten op grond van hun nationale wetgeving of de internationale verbintenissen die zij zijn aangegaan, een passend beschermingsniveau in de zin van artikel 25, lid 2, van [richtlijn 95/46] waarborgen?
b) Zo niet, welke relevantie heeft [het privacyschildbesluit] dan eventueel voor de beoordeling of er voldoende waarborgen worden geboden voor naar de Verenigde Staten op grond van [besluit 2010/87] doorgegeven gegevens?
10) Zorgt de instelling van de privacyschildombudsman in de zin van [bijlage III A] bij [het privacyschildbesluit], gelet op de vaststellingen van de High Court met betrekking tot het Amerikaanse recht, in samenhang met de bestaande regeling in de Verenigde Staten, ervoor dat de Verenigde Staten de betrokkenen wier persoonsgegevens op grond van [besluit 2010/87] naar de VS worden doorgegeven, een voorziening in rechte bieden die verenigbaar is met artikel 47 van het Handvest?
11) Schendt [besluit 2010/87] artikel 7, artikel 8 en/of artikel 47 van het Handvest?”
77. De DPC, Facebook Ireland, Schrems, de regering van de Verenigde Staten, het EPIC, de BSA, Digitaleurope, Ierland, de Belgische, de Tsjechische, de Duitse, de Nederlandse, de Oostenrijkse, de Poolse en de Portugese regering en de regering van het Verenigd Koninkrijk alsmede het Europees Parlement en de Commissie hebben schriftelijke opmerkingen bij het Hof ingediend. De DPC, Facebook Ireland, Schrems, de regering van de Verenigde Staten, het EPIC, de BSA, Digitaleurope, Ierland, de Duitse, de Franse, de Nederlandse en de Oostenrijkse regering en de regering van het Verenigd Koninkrijk alsmede het Parlement, de Commissie en het Europees Comité voor gegevensbescherming (European Data Protection Board; hierna: „EDPB”) hebben zich doen vertegenwoordigen ter pleitzitting van 9 juli 2019.
IV. Analyse
A. Inleidende opmerkingen
78. Als gevolg van de ongeldigverklaring van de veiligehavenbeschikking door het Hof in het arrest Schrems is de doorgifte van persoonsgegevens naar de Verenigde Staten vervolgens gebaseerd op andere rechtsgrondslagen. Met name hebben ondernemingen die gegevens exporteren kunnen gebruikmaken van overeenkomsten met gegevensimporteurs waarin de door de Commissie opgestelde modelbepalingen zijn opgenomen. Deze bepalingen dienen tevens als rechtsgrondslag voor de doorgifte naar tal van andere derde landen ten aanzien waarvan de Commissie geen adequaatheidsbesluit heeft vastgesteld.(25) Op grond van het privacyschildbesluit mogen ondernemingen die de daarin geformuleerde beginselen via zelfcertificering hebben onderschreven, voortaan zonder verdere formaliteiten persoonsgegevens naar de Verenigde Staten doorgeven.
79. Zoals de verwijzingsbeslissing uitdrukkelijk vermeldt en zoals ook door de BSA, Digitaleurope, Ierland, de Oostenrijkse en de Franse regering, het Parlement en de Commissie is onderstreept, heeft het bij de High Court aanhangige hoofdgeding uitsluitend tot doel om te bepalen of het besluit waarbij de Commissie de modelcontractbepalingen heeft ingevoerd die zijn ingeroepen ter onderbouwing van de in de klacht van Schrems bedoelde doorgiften, namelijk besluit 2010/87(26), geldig is.
80. Aan dit geding ligt een klacht ten grondslag in het kader waarvan de DPC de verwijzende rechter heeft verzocht om het Hof een prejudiciële vraag over de geldigheid van besluit 2010/87 te stellen. Volgens deze rechter heeft het hoofdgeding dus betrekking op de gebruikmaking van de beroepsgang waarin de lidstaten overeenkomstig punt 65 van het arrest Schrems dienen te voorzien.
81. Ik herinner er in dit verband aan dat het Hof in punt 63 van dit arrest heeft geoordeeld dat wanneer een persoon van wie de persoonsgegevens zijn of zouden kunnen worden doorgegeven naar een derde land dat voorwerp is van een adequaatheidsbesluit, een klacht bij een toezichthoudende autoriteit indient waarin hij bestrijdt dat dat besluit verenigbaar is met de in het Handvest verankerde grondrechten, deze autoriteit deze klacht met de nodige voortvarendheid en zorgvuldigheid moet onderzoeken. Volgens punt 65 van dit arrest moet bedoelde autoriteit, wanneer zij van mening is dat de in deze klacht geuite grieven gegrond zijn, ingevolge artikel 28, lid 3, eerste alinea, derde streepje, van richtlijn 95/46 (thans artikel 58, lid 5, AVG), gelezen in samenhang met artikel 8, lid 3, van het Handvest, in rechte kunnen optreden. In dat verband staat het aan de nationale wetgever om in beroepsgangen te voorzien waarmee de toezichthoudende autoriteit deze grieven aan de nationale rechter kan voorleggen, zodat deze rechter, wanneer hij de twijfel van deze autoriteit deelt, de vraag naar de geldigheid van het betrokken besluit prejudicieel kan verwijzen.
82. Evenals de verwijzende rechter ben ik van mening dat dit naar analogie ook geldt wanneer een toezichthoudende autoriteit in het kader van de behandeling van een bij haar ingediende klacht niet de geldigheid betwijfelt van een adequaatheidsbesluit maar van een besluit zoals besluit 2010/87, waarbij modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen zijn vastgesteld. In tegenstelling tot wat de Duitse regering heeft betoogd, is het irrelevant dat deze twijfel strookt met de grieven die de klager ten overstaan van de toezichthoudende autoriteit heeft geuit of dat deze autoriteit de geldigheid van het betrokken besluit eigener beweging ter discussie stelt. De uit artikel 58, lid 5, AVG en artikel 8, lid 3, van het Handvest voortvloeiende vereisten waarop het Hof zijn motivering heeft gebaseerd, gelden immers ongeacht de rechtsgrondslag van de doorgifte waarop de bij de toezichthoudende autoriteit ingediende klacht betrekking heeft en ongeacht de redenen waarom deze autoriteit de geldigheid van het betrokken besluit betwijfelt in het kader van de behandeling van deze klacht.
83. Indien de DPC de verwijzende rechter heeft verzocht om het Hof vragen over de geldigheid van besluit 2010/87 te stellen, is dat omdat de DPC een verduidelijking van het Hof op dit punt noodzakelijk acht om de klacht van Schrems te kunnen behandelen, in het kader waarvan Schrems de DPC verzoekt om gebruik te maken van de aan deze autoriteit bij artikel 28, lid 3, tweede streepje, van richtlijn 95/46 – thans artikel 58, lid 2, onder f), AVG – verleende bevoegdheid om de doorgifte van hem betreffende persoonsgegevens door Facebook Ireland naar Facebook Inc. op te schorten.
84. Terwijl het hoofdgeding dus uitsluitend de geldigheid in abstracto van besluit 2010/87 betreft, heeft de daaraan ten grondslag liggende procedure bij de DPC betrekking op de uitoefening door deze autoriteit van haar bevoegdheid om in een specifiek geval corrigerende maatregelen te nemen. Ik stel het Hof voor om de gestelde vragen te onderzoeken voor zover dit nodig is om een uitspraak over de geldigheid van besluit 2010/87 te kunnen doen. Naar mijn mening volstaat een dergelijk onderzoek om de verwijzende rechter in staat te stellen het bij hem aanhangige geding te beslechten.(27)
85. Alvorens de geldigheid van dit besluit te beoordelen, moeten enkele bezwaren die tegen de ontvankelijkheid van het verzoek om een prejudiciële beslissing zijn opgeworpen, uit de weg worden geruimd.
B. Ontvankelijkheid van de prejudiciële verwijzing
86. De ontvankelijkheid van het verzoek om een prejudiciële beslissing is om verschillende redenen in twijfel getrokken. Deze redenen hangen voornamelijk samen met de niet-toepasselijkheid ratione temporis van de in de prejudiciële vragen bedoelde richtlijn 95/46 (afdeling 1), met het feit dat de procedure bij de DPC nog niet in een voldoende vergevorderd stadium verkeert om de vragen van nut te kunnen doen zijn (afdeling 2) en met het feit dat er nog steeds onzekerheden bestaan in verband met het door de verwijzende rechter beschreven feitelijke kader (afdeling 3).
87. Ik zal deze middelen van niet-ontvankelijkheid bespreken, rekening houdend met het vermoeden van relevantie dat krachtens artikel 267 VWEU voor aan het Hof gestelde vragen geldt. Volgens vaste rechtspraak kan het Hof een verzoek om een prejudiciële beslissing slechts afwijzen wanneer de verlangde uitlegging van het Unierecht duidelijk geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding of wanneer het probleem hypothetisch is en het Hof niet beschikt over de feitelijke en juridische gegevens die het nodig heeft om een nuttig antwoord op de gestelde vragen te kunnen geven.(28)
1. Toepasselijkheid ratione temporis van richtlijn 95/46
88. Facebook Ireland werpt een exceptie van niet-ontvankelijkheid van de prejudiciële vragen op, omdat daarin naar richtlijn 95/46 wordt verwezen, terwijl deze richtlijn met ingang van 25 mei 2018 is ingetrokken en vervangen door de AVG.(29)
89. Ik onderschrijf het standpunt dat de geldigheid van besluit 2010/87 moet worden onderzocht in het licht van de bepalingen van de AVG.
90. Volgens artikel 94, lid 2, van deze verordening „[gelden verwijzingen] naar de ingetrokken richtlijn […] als verwijzingen naar deze verordening”. Hieruit volgt naar mijn mening dat besluit 2010/87, dat artikel 26, lid 4, van richtlijn 95/46 als rechtsgrondslag vermeldt, aldus moet worden verstaan dat het naar artikel 46, lid 2, onder c), AVG verwijst, dat in wezen dezelfde inhoud heeft.(30) De uitvoeringsbesluiten die de Commissie vóór de inwerkingtreding van de AVG heeft vastgesteld op grond van artikel 26, lid 4, van richtlijn 95/46, moeten dus in het licht van deze verordening worden uitgelegd. Ook de geldigheid ervan moet in voorkomend geval aan deze verordening worden getoetst.
91. De rechtspraak volgens welke de rechtmatigheid van een handeling van de Unie moet worden beoordeeld aan de hand van de situatie, feitelijk en rechtens, op de datum waarop die handeling werd vastgesteld, laat deze conclusie onverlet. Deze rechtspraak heeft namelijk betrekking op het onderzoek van de geldigheid van een handeling van de Unie in het licht van de relevante feitelijke omstandigheden zoals die ten tijde van de vaststelling ervan golden(31) of in het licht van de procedurevoorschriften zoals die voor de vaststelling ervan golden(32). Daarentegen heeft het Hof de geldigheid van handelingen van afgeleid recht herhaaldelijk getoetst aan materiële voorschriften van hogere rang die na de vaststelling van deze handelingen in werking waren getreden.(33)
92. De vermelding in de prejudiciële vragen van een handeling die ratione temporis niet langer van toepassing is, rechtvaardigt weliswaar een herformulering van deze vragen, maar kan niet tot de niet-ontvankelijkheid ervan leiden.(34) Zoals de DPC en Schrems hebben betoogd, kunnen de verwijzingen naar richtlijn 95/46 in de prejudiciële vragen ook worden verklaard door de proceskalender van de onderhavige zaak, omdat deze vragen vóór inwerkingtreding van de AVG aan het Hof zijn voorgelegd.
93. Wat hiervan ook zij, de bepalingen van de AVG die bij de analyse van de prejudiciële vragen zullen worden besproken – dat wil zeggen met name de artikelen 45, 46 en 58 ervan – komen in grote lijnen overeen met de artikelen 25, 26 en 28 van richtlijn 95/46, zij het dat zij deze nader uitwerken en nuanceren. Wat de relevantie ervan voor een uitspraak over de geldigheid van besluit 2010/87 betreft, zie ik niet in waarom aan die bepalingen van de AVG een andere reikwijdte zou moeten worden toegekend dan aan de overeenkomstige bepalingen van richtlijn 95/46.(35)
2. Voorlopige aard van de door de DPC geuite twijfel
94. Volgens de Duitse regering is het verzoek om een prejudiciële beslissing niet-ontvankelijk, omdat de in punt 65 van het arrest Schrems genoemde beroepsgang veronderstelt dat de toezichthoudende autoriteit zich een definitief oordeel over de gegrondheid van de grieven van de verzoekende partij met betrekking tot de geldigheid van het betrokken besluit heeft gevormd. Dit is in casu niet het geval, omdat de DPC zijn twijfel aangaande de geldigheid van besluit 2010/87 – die overigens niet door Schrems wordt betwist – heeft geuit in een voorlopig vastgesteld ontwerpbesluit, onverminderd de eventuele indiening van aanvullende opmerkingen door Facebook Ireland en Schrems.
95. Naar mijn mening is het voorlopige karakter van de door de DPC geuite twijfel niet van invloed op de ontvankelijkheid van de prejudiciële verwijzing. De ontvankelijkheidscriteria van een prejudiciële vraag moeten immers worden beoordeeld in relatie tot het voorwerp van het geding zoals dit door de verwijzende rechter is omschreven.(36) Vast staat dat de geldigheid van besluit 2010/87 het voorwerp van het geding is. Blijkens de verwijzingsbeslissing en het bijgevoegde arrest achtte de verwijzende rechter de twijfel van de DPC gerechtvaardigd – zonder dat het een rol speelt of deze twijfel van voorlopige dan wel definitieve aard was – en heeft hij dus vragen over de geldigheid van dit besluit aan het Hof gesteld. Een verduidelijking dienaangaande door het Hof is derhalve zonder enige twijfel relevant voor de beslechting van het bij de verwijzende rechter aanhangige geding.
3. Onzekerheden met betrekking tot de omschrijving van het feitelijke kader
96. De regering van het Verenigd Koninkrijk stelt dat het door de verwijzende rechter omschreven feitelijke kader wordt gekenmerkt door verschillende lacunes, waardoor het maar de vraag is of de prejudiciële vragen ontvankelijk zijn. De verwijzende rechter heeft niet verduidelijkt of de persoonsgegevens van Schrems daadwerkelijk naar de Verenigde Staten zijn doorgegeven en of, indien dit het geval is, deze gegevens door de Amerikaanse autoriteiten zijn verzameld. De rechtsgrondslag van deze eventuele doorgiften is evenmin met zekerheid vastgesteld, want de verwijzingsbeslissing vermeldt enkel dat de gegevens van de Europese gebruikers van Facebook „grotendeels” zijn doorgegeven op basis van de in besluit 2010/87 vastgestelde modelcontractbepalingen. In elk geval staat niet vast dat deze bepalingen getrouw zijn overgenomen in de overeenkomst tussen Facebook Ireland en Facebook Inc. waarop de litigieuze doorgifte zou zijn gebaseerd. Ook de Duitse regering betwist de ontvankelijkheid van de prejudiciële verwijzing, omdat de verwijzende rechter niet heeft onderzocht of het ondubbelzinnig vaststaat dat Schrems heeft ingestemd met de betrokken doorgiften, in welk geval deze doorgiften geldig zouden zijn gebaseerd op artikel 26, lid 1, van richtlijn 95/46 [waarvan de inhoud in wezen strookt met die van artikel 49, lid 1, onder a), AVG].
97. Deze argumenten doen geenszins af aan de relevantie van de prejudiciële verwijzing voor het voorwerp van het hoofdgeding. Aangezien dit geding valt te herleiden tot het feit dat de DPC heeft gebruikgemaakt van de in punt 65 van het arrest Schrems bedoelde beroepsgang, is het verkrijgen van een prejudiciële verwijzing over de geldigheid van besluit 2010/87 van de nationale rechter het voorwerp zelf van dit geding. In werkelijkheid bestrijden de Duitse regering en de regering van het Verenigd Koninkrijk niet de noodzaak van de prejudiciële vragen om te kunnen vaststellen of dit besluit geldig is, maar de noodzaak van deze vragen om de DPC in staat te stellen een concrete beslissing op de klacht van Schrems te geven.
98. Hoe dan ook lijken de prejudiciële vragen over de geldigheid van besluit 2010/87 mij ook uit het oogpunt van deze aan het hoofdgeding ten grondslag liggende procedure niet zonder belang. De verwijzende rechter heeft namelijk vastgesteld dat Facebook Ireland na de ongeldigverklaring van de veiligehavenbeschikking is doorgegaan met het doorgeven van de gegevens van haar gebruikers naar de Verenigde Staten en dat deze doorgiften in elk geval voor een deel op besluit 2010/87 zijn gebaseerd. Bovendien kan het weliswaar nuttig zijn dat alle relevante feiten vaststaan voordat de verwijzende rechter zijn bevoegdheid krachtens artikel 267 VWEU uitoefent, maar staat het uitsluitend aan deze rechter om te beoordelen in welk stadium van het geding hij een prejudiciële beslissing van het Hof noodzakelijk acht.(37)
99. Gelet op het voorgaande ben ik van mening dat het verzoek om een prejudiciële beslissing ontvankelijk is.
C. Toepasselijkheid van het Unierecht op de doorgifte van persoonsgegevens voor commerciële doeleinden naar een derde land waar deze gegevens mogelijk worden verwerkt ten behoeve van de nationale veiligheid (eerste vraag)
100. Met zijn eerste vraag wenst de verwijzende rechter te vernemen of het Unierecht van toepassing is op de doorgifte, voor commerciële doeleinden, van persoonsgegevens door een in een lidstaat gevestigde onderneming aan een in een derde land gevestigde onderneming wanneer de gegevens, nadat de doorgifte is geïnitieerd, mogelijk door de overheidsinstanties van dat derde land worden verwerkt ten behoeve van onder meer de bescherming van de nationale veiligheid.
101. Het belang van deze vraag voor de beslechting van het hoofdgeding is erin gelegen dat, mocht een dergelijke doorgifte buiten de werkingssfeer van het Unierecht vallen, elke grondslag zou komen te ontvallen aan de bezwaren die in casu tegen de geldigheid van besluit 2010/87 zijn geuit.
102. Zoals de verwijzende rechter heeft opgemerkt, was de verwerking van persoonsgegevens ten behoeve van de nationale veiligheid krachtens artikel 3, lid 2, van richtlijn 95/46 uitgesloten van de werkingssfeer van deze richtlijn. Thans preciseert artikel 2, lid 2, AVG dat deze verordening onder andere niet van toepassing is op de verwerking van gegevens in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen of door de bevoegde autoriteiten met het oog op de bescherming van de openbare veiligheid. Deze bepalingen weerspiegelen het bevoegdheidsvoorbehoud van artikel 4, lid 2, VEU, dat bepaalt dat de bevoegdheid op het gebied van nationale veiligheid bij de lidstaten ligt.
103. De DPC, Schrems, Ierland, de Duitse, de Oostenrijkse, de Belgische, de Tsjechische, de Nederlandse, de Poolse en de Portugese regering alsook het Parlement en de Commissie betogen dat doorgiften als die waarop Schrems in zijn klacht doelt, niet onder deze bepalingen vallen en dus binnen de werkingssfeer van het Unierecht vallen. Facebook Ireland verdedigt het tegengestelde standpunt. Ik sluit mij aan bij het standpunt van de eersten.
104. Dienaangaande wil ik benadrukken dat de doorgifte van persoonsgegevens vanuit een lidstaat naar een derde land als zodanig een „verwerking” in de zin van artikel 4, punt 2, AVG vormt die op het grondgebied van een lidstaat plaatsvindt.(38) De eerste prejudiciële vraag heeft tot doel om te bepalen of het Unierecht van toepassing is op de verwerking bestaande in de doorgifte als zodanig. Deze vraag heeft geen betrekking op de toepasselijkheid van het Unierecht op mogelijke verdere verwerkingen van de naar de Verenigde Staten doorgegeven gegevens door de Amerikaanse autoriteiten ten behoeve van de nationale veiligheid, welke verwerkingen niet binnen de werkingssfeer van de AVG vallen.(39)
105. Gelet daarop moet bij de beoordeling van de vraag of het Unierecht van toepassing is op de betrokken gegevensdoorgifte enkel acht worden geslagen op de activiteit in het kader waarvan deze doorgifte plaatsvindt, ongeacht het doel van mogelijke verdere verwerkingen van de doorgegeven gegevens door de overheidsinstanties van het derde land van bestemming.(40)
106. Uit de verwijzingsbeslissing blijkt dat de in de klacht van Schrems bedoelde doorgifte deel uitmaakt van een commerciële activiteit. Bovendien vindt deze doorgifte niet plaats met als doel om de Amerikaanse autoriteiten in staat te stellen de betrokken gegevens verder te verwerken ten behoeve van de nationale veiligheid.
107. Overigens zou de door Facebook Ireland voorgestane benadering de AVG-bepalingen inzake de doorgifte naar derde landen elk nuttig effect ontnemen, omdat nooit kan worden uitgesloten dat gegevens die in het kader van een commerciële activiteit worden doorgegeven, na de doorgifte ervan worden verwerkt voor doeleinden van nationale veiligheid.
108. De door mij bepleite uitlegging vindt steun in de bewoordingen van artikel 45, lid 2, onder a), AVG. Volgens deze bepaling houdt de Commissie bij het nemen van een adequaatheidsbesluit rekening met onder meer de wetgeving inzake nationale veiligheid van het betrokken derde land. Hieruit kan worden afgeleid dat de mogelijkheid dat de gegevens door de autoriteiten van het derde land van bestemming worden verwerkt met het oog op de bescherming van de nationale veiligheid, niet impliceert dat het Unierecht niet van toepassing is op de verwerking bestaande in de doorgifte van gegevens naar dit derde land.
109. De redenering en de conclusies van het Hof in het arrest Schrems berusten eveneens op deze premisse. Het Hof heeft daar de geldigheid van de veiligehavenbeschikking, voor zover deze betrekking had op de doorgifte van persoonsgegevens naar de Verenigde Staten, waar zij mogelijk zouden worden verzameld en verwerkt met het oog op de bescherming van de nationale veiligheid, beoordeeld in het licht van artikel 25, lid 6, van richtlijn 95/46, gelezen in samenhang met het Handvest.(41)
110. Gelet op deze overwegingen ben ik van mening dat het Unierecht van toepassing is op de doorgifte van persoonsgegevens vanuit een lidstaat naar een derde land wanneer deze doorgifte geschiedt in het kader van een commerciële activiteit, ongeacht of de doorgegeven gegevens mogelijk door de overheidsinstanties van dit derde land verder zullen worden verwerkt ter bescherming van de nationale veiligheid.
D. Vereist beschermingsniveau bij een doorgifte op basis van modelcontractbepalingen (eerste onderdeel van de zesde vraag)
111. Met het eerste onderdeel van zijn zesde vraag wenst de verwijzende rechter te vernemen welk niveau van bescherming van de grondrechten van de betrokkenen geboden is opdat een doorgifte van persoonsgegevens naar een derde land mogelijk is op basis van de in besluit 2010/87 vastgestelde modelcontractbepalingen.
112. De verwijzende rechter onderstreept dat het Hof artikel 25, lid 6, van richtlijn 95/46 (waarvan de inhoud grotendeels is overgenomen in artikel 45, lid 3, AVG), dat bepaalde dat de Commissie slechts een adequaatheidsbesluit kan nemen nadat zij zich ervan vergewist heeft dat het betrokken derde land waarborgen biedt voor een passend beschermingsniveau, in het arrest Schrems aldus heeft uitgelegd dat dit veronderstelt dat de Commissie vaststelt dat dit derde land een niveau van bescherming van de grondrechten en de fundamentele vrijheden biedt dat in grote lijnen overeenkomt met het niveau dat binnen de Unie wordt gewaarborgd op grond van deze richtlijn, gelezen in samenhang met het Handvest.(42)
113. In het eerste onderdeel van de zesde prejudiciële vraag wordt het Hof derhalve verzocht om vast te stellen of de toepassing van door de Commissie op basis van artikel 26, lid 4, van richtlijn 95/46 vastgestelde „modelcontractbepalingen” – de huidige „standaardbepalingen inzake gegevensbescherming” van artikel 46, lid 2, onder c), AVG – ervoor moet zorgen dat een beschermingsniveau wordt geboden dat aan dezelfde maatstaf van wezenlijke gelijkwaardigheid voldoet.
114. Dienaangaande bepaalt artikel 46, lid 1, AVG dat, bij ontstentenis van een adequaatheidsbesluit, een doorgifte van persoonsgegevens naar een derde land alleen mag plaatsvinden „mits […] passende waarborgen [worden geboden] en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken” (cursivering van mij).(43) Volgens artikel 46, lid 2, onder c), AVG kunnen deze waarborgen onder meer voortvloeien uit door de Commissie opgestelde standaardbepalingen inzake gegevensbescherming.
115. In navolging van de DPC, Schrems en Ierland ben ik van mening dat de door de verwerkingsverantwoordelijke geboden „passende waarborgen” waarnaar artikel 46, lid 1, AVG verwijst, moeten verzekeren dat de rechten van personen wier gegevens worden doorgegeven, net als in het kader van een doorgifte op basis van een adequaatheidsbesluit, een beschermingsniveau genieten dat in grote lijnen overeenkomt met het niveau zoals dat voortvloeit uit de AVG, gelezen in samenhang met het Handvest.
116. Deze conclusie volgt uit het doel van deze bepaling en uit het rechtsinstrument waarvan deze bepaling deel uitmaakt.
117. De artikelen 45 en 46 AVG hebben tot doel de continuïteit te waarborgen van het door deze verordening geboden hoge niveau van bescherming van persoonsgegevens wanneer deze gegevens worden doorgegeven buiten de Unie. Artikel 44 AVG, met als opschrift „Algemeen beginsel inzake doorgiften”, opent hoofdstuk V betreffende doorgiften naar derde landen namelijk door te bepalen dat alle bepalingen van dit hoofdstuk worden toegepast opdat het door de AVG gewaarborgde beschermingsniveau bij doorgifte naar een derde land niet wordt ondermijnd.(44) Deze regel beoogt te voorkomen dat de volgens het Unierecht geldende beschermingsmaatstaven worden omzeild door persoonsgegevens naar derde landen door te geven om aldaar te worden verwerkt.(45) Gelet op deze doelstelling is het niet van belang of de doorgifte is gebaseerd op een adequaatheidsbesluit dan wel op waarborgen van de verwerkingsverantwoordelijke door middel van onder meer contractbepalingen. De vereisten inzake de bescherming van de door het Handvest gewaarborgde grondrechten maken geen onderscheid naar de wettelijke grondslag waarop een bepaalde doorgifte berust.(46)
118. Daarentegen verschilt de wijze waarop het hoge beschermingsniveau wordt gecontinueerd naargelang van de rechtsgrondslag van de doorgifte.
119. Enerzijds heeft een adequaatheidsbesluit tot doel om vast te stellen dat het betrokken derde land zelf een beschermingsniveau biedt dat in grote lijnen overeenkomt met het binnen de Unie vereiste niveau. De vaststelling van een adequaatheidsbesluit vereist dat de Commissie vooraf voor een bepaald derde land het door de wetgeving en de praktijken van dat land gewaarborgde beschermingsniveau beoordeelt in het licht van de in artikel 45, lid 3, AVG genoemde factoren. Persoonsgegevens kunnen dan naar dat derde land worden doorgegeven zonder dat de verwerkingsverantwoordelijke daartoe over specifieke toestemming hoeft te beschikken.
120. Anderzijds beogen de door de verwerkingsverantwoordelijke geboden passende waarborgen, zoals ik in het hiernavolgende deel op meer uitvoerige wijze zal uiteenzetten, een hoog beschermingsniveau te waarborgen ingeval in het derde land van bestemming onvoldoende waarborgen bestaan. Artikel 46, lid 1, AVG staat dus weliswaar toe dat persoonsgegevens worden doorgegeven naar derde landen die geen passend beschermingsniveau waarborgen, maar dit mag alleen wanneer passende waarborgen worden geboden door andere middelen. In dat verband vormen de door de Commissie vastgestelde modelcontractbepalingen een algemeen mechanisme dat op doorgiften kan worden toegepast, ongeacht het derde land van bestemming en het daar aldaar verzekerde beschermingsniveau.
E. Geldigheid van besluit 2010/87 in het licht van de artikelen 7, 8 en 47 van het Handvest (zevende, achtste en elfde vraag)
121. Met zijn zevende vraag wenst de verwijzende rechter van het Hof te vernemen of besluit 2010/87 ongeldig is omdat het de autoriteiten van derde landen waarnaar persoonsgegevens worden doorgegeven op basis van de in de bijlage bij dit besluit bedoelde modelcontractbepalingen niet bindt en, met name, omdat het hun niet belet om van de importeur te verlangen dat hij deze gegevens tot hun beschikking stelt. Met deze vraag wordt dus de mogelijkheid zelf om een passend niveau van bescherming van dergelijke gegevens te garanderen door middel van mechanismen die louter van contractuele aard zijn, ter discussie gesteld. De elfde vraag heeft meer algemeen betrekking op de geldigheid van besluit 2010/87 in het licht van de artikelen 7, 8 en 47 van het Handvest.
122. Met de achtste vraag wordt het Hof verzocht om te bepalen of een toezichthoudende autoriteit verplicht is de haar bij artikel 58, lid 2, onder f) en j), AVG toegekende bevoegdheden uit te oefenen om een op de modelcontractbepalingen van besluit 2010/87 gebaseerde doorgifte naar een derde land op te schorten wanneer zij van oordeel is dat de gegevensimporteur daar is onderworpen aan verplichtingen die hem beletten deze bepalingen na te leven en die tot gevolg hebben dat een passende bescherming van de doorgegeven gegevens niet gewaarborgd is. Aangezien het antwoord hierop mijns inziens van invloed is op de geldigheid van besluit 2010/87(47), zal ik deze vraag tezamen met de zevende en de elfde vraag bespreken.
123. De bewoordingen van artikel 46, lid 1, AVG, dat bepaalt dat „[b]ij ontstentenis van een besluit uit hoofde van artikel 45, lid 3, […] een doorgifte van persoonsgegevens aan een derde land […] door een verwerkingsverantwoordelijke of een verwerker alleen [mag] plaatsvinden mits zij passende waarborgen bieden […]” (cursivering van mij), getuigen van de logica waarop contractuele mechanismen als die van besluit 2010/87 zijn gestoeld. Zoals in de overwegingen 108 en 114 van de AVG wordt benadrukt, hebben deze mechanismen tot doel om doorgiften mogelijk te maken naar derde landen waarvoor de Commissie geen adequaatheidsbesluit heeft vastgesteld, door ervoor te zorgen dat het eventuele ontoereikende niveau van bescherming in de rechtsorde van dat derde land wordt gecompenseerd door waarborgen die de gegevensexporteur en ‑importeur op grond van een contractuele verbintenis zullen naleven.
124. Aangezien de bestaansreden van de contractuele waarborgen er juist in gelegen is om mogelijke leemten in de door elk willekeurig derde land van bestemming geboden bescherming op te vullen, kan de geldigheid van een besluit waarmee de Commissie constateert dat bepaalde modelbepalingen deze leemten adequaat opvullen, niet afhangen van het beschermingsniveau in elk van de afzonderlijke derde landen waarnaar gegevens zouden kunnen worden doorgegeven. De geldigheid van een dergelijk besluit hangt uitsluitend af van de deugdelijkheid van de garanties die deze bepalingen bieden om het eventuele ontoereikende niveau van bescherming in het derde land van bestemming te compenseren. Bij de beoordeling van de doeltreffendheid van deze garanties moet ook rekening worden gehouden met de waarborgen die worden gevormd door de bevoegdheden van de toezichthoudende autoriteiten op grond van artikel 58, lid 2, AVG.
125. Zoals de DPC, Schrems, de BSA, Ierland, de Oostenrijkse, de Franse, de Poolse en de Portugese regering alsook de Commissie in wezen hebben opgemerkt, kunnen de in de modelcontractbepalingen vervatte garanties aan belang inboeten of zelfs tenietgaan wanneer het recht van het derde land van bestemming verplichtingen aan de importeur oplegt die indruisen tegen deze bepalingen. Zo kan het in het derde land van bestemming geldende rechtskader, afhankelijk van de concrete omstandigheden van de doorgifte(48), het onmogelijk maken om de in deze bepalingen bedoelde verplichtingen na te leven.
126. In deze omstandigheden legt het contractuele mechanisme van artikel 46, lid 2, onder c), AVG de verantwoordelijkheid bij de exporteur en in tweede instantie bij de toezichthoudende autoriteiten, zoals Schrems en de Commissie hebben onderstreept. De verwerkingsverantwoordelijke of, bij gebreke daarvan, de toezichthoudende autoriteit onderzoekt voor elke afzonderlijke doorgifte van geval tot geval of het recht van het derde land van bestemming eraan in de weg staat dat de modelbepalingen worden nageleefd en dus dat een passende bescherming voor de doorgegeven gegevens wordt geboden, zodat de doorgifte moet worden verboden of opgeschort.
127. Gelet op deze opmerkingen ben ik van mening dat het enkele feit dat besluit 2010/87 en de daarin opgenomen modelcontractbepalingen de autoriteiten van het derde land van bestemming niet binden, niet impliceert dat dit besluit daarom ongeldig is. De verenigbaarheid van besluit 2010/87 met de artikelen 7, 8 en 47 van het Handvest hangt in mijn visie af van de vraag of er voldoende deugdelijke mechanismen voorhanden zijn om te verzekeren dat doorgiften op basis van modelcontractbepalingen zullen worden opgeschort of verboden wanneer deze bepalingen niet worden nageleefd of onmogelijk kunnen worden nageleefd.
128. Dienaangaande bepaalt artikel 46, lid 1, AVG dat een doorgifte op basis van passende waarborgen alleen kan plaatsvinden „mits […] betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken”. Onderzocht moet worden of de waarborgen in de bepalingen van de bijlage bij besluit 2010/87, gecombineerd met de bevoegdheden van de toezichthoudende autoriteiten, kunnen verzekeren dat aan deze voorwaarde wordt voldaan. Dit is volgens mij uitsluitend het geval wanneer er sprake is van een verplichting – voor de verwerkingsverantwoordelijken (afdeling 1) en, wanneer deze geen actie onderneemt, voor de toezichthoudende autoriteiten (afdeling 2) – om een doorgifte op te schorten of te verbieden wanneer deze bepalingen niet kunnen worden nageleefd als gevolg van een conflict tussen de uit de modelbepalingen voortvloeiende verplichtingen en de verplichtingen die op grond van het recht van het derde land van bestemming gelden.
1. Verplichtingen van de verwerkingsverantwoordelijke
129. In de eerste plaats schrijven de in de bijlage bij besluit 2010/87 opgenomen modelcontractbepalingen voor dat, ingeval de daaruit voortvloeiende verplichtingen conflicteren met de voorschriften die krachtens het recht van het derde land van bestemming gelden, deze bepalingen niet kunnen worden ingeroepen ter onderbouwing van een doorgifte naar dat derde land; indien de doorgifte op basis van deze bepalingen reeds heeft plaatsgevonden, dient de exporteur in kennis te worden gesteld van dit conflict, zodat hij deze doorgifte kan opschorten.
130. Zo stemt de importeur krachtens bepaling 5, onder a), ermee in en garandeert hij dat de persoonsgegevens uitsluitend namens de exporteur en in overeenstemming met diens instructies en met de modelcontractbepalingen worden verwerkt. Indien de importeur niet in staat is deze bepalingen na te leven, stemt hij ermee in de exporteur onverwijld daarvan in kennis te stellen, in welk geval de exporteur de doorgifte mag opschorten en/of het contract mag beëindigen.(49)
131. Volgens de voetnoot bij bepaling 5 zijn dwingende vereisten van nationaal recht die in het derde land op de importeur van toepassing zijn en die niet verder gaan dan wat in een democratische samenleving noodzakelijk is voor de bescherming van een van de in artikel 13, lid 1, van richtlijn 95/46 (waarvan de inhoud grotendeels is overgenomen in artikel 23, lid 1, AVG) vermelde belangen, waartoe ook de openbare veiligheid en de veiligheid van de staat behoren, niet in strijd met de modelbepalingen. Wanneer deze bepalingen echter niet worden nageleefd teneinde te voldoen aan een naar het recht van het derde land van bestemming geldende, daarmee strijdige verplichting die verder gaat dan nodig is om een door de Unie erkend legitiem belang te beschermen, wordt dit als een schending van deze bepalingen beschouwd.
132. Ik schaar mij achter de zienswijze van Schrems en de Commissie dat bepaling 5, onder a), niet aldus kan worden uitgelegd dat de opschorting van de doorgifte of de opzegging van de overeenkomst wanneer de importeur niet in staat is de modelbepalingen na te leven, slechts facultatief is. Hoewel deze bepaling enkel rept van een recht in die zin van de exporteur, moet deze formulering worden begrepen in het kader van de contractuele context waarvan zij deel uitmaakt. Het feit dat aan de exporteur een recht is toegekend in het kader van zijn bilaterale betrekkingen met de importeur om de doorgifte op te schorten of de overeenkomst op te zeggen wanneer de importeur niet aan de modelbepalingen kan voldoen, laat onverlet dat er een verplichting op de exporteur rust om zulks te doen in het licht van de vereisten inzake bescherming van de rechten van de betrokken personen zoals deze voortvloeien uit de AVG. Elke andere uitlegging zou tot ongeldigheid van besluit 2010/87 leiden, omdat de daarin opgenomen modelcontractbepalingen er in dat geval niet voor zouden kunnen zorgen dat de doorgifte met „passende waarborgen” wordt omgeven, zoals artikel 46, lid 1, AVG, gelezen in samenhang met de bepalingen van het Handvest, voorschrijft.(50)
133. Bovendien moet de importeur volgens bepaling 5, onder b), garanderen dat hij geen reden heeft om aan te nemen dat de op hem toepasselijke wetgeving hem belet de instructies van de exporteur en zijn uit het contract voortvloeiende verplichtingen na te komen. In geval van een wijziging van deze wetgeving die in aanzienlijke mate afbreuk dreigt te doen aan de in de modelbepalingen opgenomen waarborgen en verplichtingen, stelt hij de exporteur daarvan onverwijld in kennis, in welk geval de exporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen. Overeenkomstig bepaling 4, onder g), moet de exporteur de van de importeur ontvangen kennisgeving doorzenden aan de bevoegde toezichthoudende autoriteit wanneer hij besluit de doorgifte voort te zetten.
134. Ik wil hier een paar dingen verduidelijken over de inhoud van het onderzoek dat de contractpartijen dienen in te stellen om, in het licht van de voetnoot bij bepaling 5, te bepalen of de verplichtingen die het recht van de derde staat aan de importeur oplegt, leidt tot een schending van de modelbepalingen en dus belet dat de doorgifte met passende waarborgen wordt omkleed. Deze kwestie is in wezen aan de orde in het tweede onderdeel van de zesde prejudiciële vraag.
135. Een dergelijk onderzoek impliceert volgens mij dat rekening wordt gehouden met alle omstandigheden waardoor een bepaalde doorgifte wordt gekenmerkt. Het kan daarbij gaan om de aard van de gegevens en het mogelijk gevoelige karakter ervan, de door de exporteur en/of importeur gehanteerde mechanismen om de beveiliging ervan te verzekeren(51), de aard en het doel van de mogelijke verdere verwerking van de gegevens door de overheidsinstanties van het derde land, de manier waarop die verdere verwerking geschiedt en de door dit derde land verzekerde beperkingen en garanties. De kenmerkende aspecten van de verwerkingsactiviteiten van de overheidsinstanties en de in de rechtsorde van het derde land geldende waarborgen kunnen naar mijn mening die van artikel 45, lid 2, AVG overlappen.
136. In de tweede plaats scheppen de in de bijlage bij besluit 2010/87 opgenomen modelcontractbepalingen afdwingbare rechten voor de betrokkenen en voorzien zij in rechtsmiddelen die tegen de exporteur en, subsidiair, tegen de importeur kunnen worden ingesteld.
137. Zo kent bepaling 3, met als opschrift „Derdenbeding”, in lid 1 ervan aan de betrokkene een beroepsrecht tegen de exporteur toe in geval van schending van onder meer bepaling 5, onder a) of b). Volgens bepaling 3, lid 2, kan de betrokkene in gevallen waarin de exporteur feitelijk is verdwenen of heeft opgehouden rechtens te bestaan, deze bepaling geldend maken tegen de importeur.
138. Bepaling 6, lid 1, kent aan elke betrokkene die ten gevolge van een schending van de verplichtingen bedoeld in bepaling 3 schade heeft geleden, het recht toe om van de exporteur vergoeding voor de geleden schade te ontvangen. Volgens bepaling 7, lid 1, stemt de importeur ermee in dat, indien de betrokkene tegen hem rechten ten behoeve van derden en/of vorderingen tot schadevergoeding inroept, hij de beslissing van de betrokkene aanvaardt om hetzij het geschil te onderwerpen aan bemiddeling door een onafhankelijke persoon of, waar van toepassing, door de toezichthoudende autoriteit, hetzij het geschil voor te leggen aan een rechterlijke instantie in de lidstaat waar de exporteur is gevestigd.
139. Afgezien van de rechtsmiddelen waarover zij krachtens de in de bijlage bij besluit 2010/87 opgenomen modelcontractbepalingen beschikken, kunnen de betrokkenen, wanneer zij menen dat deze bepalingen zijn geschonden, de toezichthoudende autoriteiten verzoeken om corrigerende maatregelen te nemen ingevolge artikel 58, lid 2, AVG, waarnaar artikel 4 van besluit 2010/87 verwijst.(52)
2. Verplichtingen van de toezichthoudende autoriteiten
140. Om de hiernavolgende redenen ben ik evenals Schrems, Ierland, de Duitse, de Oostenrijkse, de Belgische, de Nederlandse en de Portugese regering alsook de EDPB van mening dat artikel 58, lid 2, AVG de toezichthoudende autoriteiten ertoe verplicht om, wanneer zij na zorgvuldig onderzoek concluderen dat gegevens die naar een derde land worden doorgegeven, geen passende bescherming genieten omdat de overeengekomen contractbepalingen niet worden nageleefd, passende maatregelen te nemen om een einde te maken aan deze onrechtmatigheid, zo nodig door de opschorting van de doorgifte te gelasten.
141. In de eerste plaats merk ik op dat besluit 2010/87, anders dan de DPC betoogt, geen enkele bepaling bevat die de uitoefening van de bevoegdheden waarover de toezichthoudende autoriteiten krachtens artikel 58, lid 2, onder f) en j), AVG beschikken om „een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, op [te] leggen” en „de opschorting van gegevensstromen naar een ontvanger in een derde land [te] gelasten”, beperkt tot uitzonderlijke gevallen.
142. Weliswaar werd in de oorspronkelijke versie van artikel 4 van besluit 2010/87 in lid 1 ervan de uitoefening door de toezichthoudende autoriteiten van hun bevoegdheden om grensoverschrijdende gegevensstromen op te schorten of te verbieden beperkt tot bepaalde gevallen waarin was vastgesteld dat een op contractvoorwaarden gebaseerde doorgifte in aanzienlijke mate afbreuk dreigde te doen aan de ter bescherming van de betrokken persoon dienende waarborgen, maar thans volstaat artikel 4 van dit besluit, zoals dit in 2016 door de Commissie is gewijzigd om aan het arrest Schrems te voldoen(53), met een verwijzing naar deze bevoegdheden, zonder deze op enigerlei wijze te beperken. Hoe dan ook kan een uitvoeringsbesluit van de Commissie, zoals besluit 2010/87, niet op geldige wijze de bevoegdheden beperken die bij de AVG zelf aan de toezichthoudende autoriteiten zijn toegekend.(54)
143. Aan deze conclusie wordt geen afbreuk gedaan door overweging 11 van besluit 2010/87, waarin staat vermeld dat de bevoegdheden om een doorgifte te verbieden of op te schorten slechts in „uitzonderlijke gevallen” door de toezichthoudende autoriteiten mogen worden uitgeoefend. Deze overweging, die ook reeds in de oorspronkelijke versie van dit besluit was opgenomen, had betrekking op het oude artikel 4, lid 1, van dit besluit, dat de bevoegdheden van de toezichthoudende autoriteiten beperkte. Toen besluit 2010/87 werd herzien bij besluit 2016/2297, heeft de Commissie verzuimd deze overweging te schrappen of te wijzigen teneinde de inhoud ervan aan te passen aan het nieuwe artikel 4. Overweging 5 van besluit 2016/2297 bevestigt echter de bevoegdheid van de toezichthoudende autoriteiten om elke doorgifte op te schorten of te verbieden die zij in strijd met het Unierecht achten, met name wegens niet-naleving door de importeur van de modelcontractbepalingen. Voor zover overweging 11 van besluit 2010/87 thans in tegenspraak is met zowel de bewoordingen als het doel van een rechtens bindende bepaling van dit besluit, moet zij als achterhaald worden beschouwd.(55)
144. In de tweede plaats is de uitoefening van de in artikel 58, lid 2, onder f) en j), AVG bedoelde bevoegdheden tot opschorting en verbod, anders dan de DPC ook stelt, niet louter een discretionaire bevoegdheid van de toezichthoudende autoriteiten. Deze conclusie volgt mijns inziens uit de uitlegging van artikel 58, lid 2, AVG in het licht van andere bepalingen van deze verordening en van het Handvest, alsook uit de algemene opzet en de doelstellingen van besluit 2010/87.
145. In het bijzonder moet artikel 58, lid 2, AVG worden gelezen in samenhang met artikel 8, lid 3, van het Handvest en artikel 16, lid 2, VWEU. Volgens deze bepalingen wordt door onafhankelijke autoriteiten toezicht uitgeoefend op de naleving van de vereisten die voortvloeien uit het grondrecht op bescherming van persoonsgegevens. Deze taak om toe te zien op de naleving van de vereisten met betrekking tot de bescherming van persoonsgegevens, die ook wordt vermeld in artikel 57, lid 1, onder a), AVG, houdt voor de toezichthoudende autoriteiten de verplichting in om zodanig te handelen dat een correcte toepassing van deze verordening wordt gewaarborgd.
146. Zo moet een toezichthoudende autoriteit het verzoek van een persoon die stelt dat zijn gegevens in strijd met de op de doorgifte toepasselijke modelcontractbepalingen worden doorgegeven naar een derde staat, met de nodige voortvarendheid en zorgvuldigheid onderzoeken.(56) Met het oog daarop kent artikel 58, lid 1, AVG de toezichthoudende autoriteiten uitgebreide onderzoeksbevoegdheden toe.(57)
147. De bevoegde toezichthoudende autoriteit dient voorts adequaat te reageren op eventuele schendingen van de rechten van de betrokkene die zij na afloop van haar onderzoek vaststelt. Daartoe beschikt de toezichthoudende autoriteit krachtens artikel 58, lid 2, AVG over een breed scala aan middelen – de talloze in deze bepaling opgesomde bevoegdheden om corrigerende maatregelen te nemen – om de haar opgedragen taak te kunnen vervullen.(58)
148. Hoewel de keuze van het meest doeltreffende middel, rekening houdend met de omstandigheden van de betrokken doorgifte, ter beoordeling van de bevoegde toezichthoudende autoriteit staat, dient zij de haar opgedragen toezichthoudende taak ten volle uit te oefenen. In voorkomend geval moet zij de doorgifte opschorten wanneer zij concludeert dat de modelcontractbepalingen niet zijn nageleefd en dat een passende bescherming voor de doorgegeven gegevens niet door andere middelen kan worden gewaarborgd, tenzij de exporteur zelf is gestopt met de doorgifte.
149. Deze uitlegging vindt steun in artikel 58, lid 4, AVG, dat bepaalt dat op de uitoefening van de bevoegdheden die uit hoofde van dit artikel aan de toezichthoudende autoriteit worden verleend, passende waarborgen van toepassing zijn, daaronder begrepen doeltreffende voorzieningen in rechte overeenkomstig artikel 47 van het Handvest. Artikel 78, leden 1 en 2, AVG kent bovendien aan elke persoon het recht toe om een doeltreffende voorziening in rechte in te stellen tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit of wanneer deze autoriteit zijn klacht niet behandelt.(59)
150. Deze bepalingen impliceren, zoals Schrems, de BSA, Ierland, de Poolse regering en de regering van het Verenigd Koninkrijk alsook de Commissie in wezen stellen, dat wanneer een toezichthoudende autoriteit besluit om een doorgifte naar een derde land niet te verbieden of op te schorten naar aanleiding van het verzoek van een persoon die stelt dat het risico bestaat dat de hem betreffende gegevens aldaar in strijd met zijn grondrechten zullen worden verwerkt, dit besluit aan rechterlijke toetsing kan worden onderworpen. De erkenning van een recht op rechterlijke toetsing veronderstelt dat de bevoegdheid van de toezichthoudende autoriteiten niet een louter discretionaire bevoegdheid is, maar een gebonden bevoegdheid. Bovendien hebben Schrems en de Commissie terecht onderstreept dat de uitoefening van een doeltreffend rechterlijk toezicht impliceert dat de autoriteit die de bestreden handeling heeft vastgesteld, die handeling genoegzaam motiveert.(60) Deze motiveringsplicht geldt naar mijn mening ook voor de keuze van de toezichthoudende autoriteiten om gebruik te maken van een van de hun bij artikel 58, lid 2, AVG verleende bevoegdheden.
151. Dit neemt niet weg dat er nog steeds moet worden ingegaan op het betoog van de DPC dat, ook al zouden de toezichthoudende autoriteiten ertoe verplicht zijn om een doorgifte op te schorten of te verbieden wanneer de bescherming van de rechten van de betrokkene zulks vereist, de geldigheid van besluit 2010/87 daarmee nog steeds niet vaststaat.
152. Ten eerste meent de DPC dat een dergelijke verplichting de structurele problemen met betrekking tot het ontbreken van passende waarborgen in een derde land zoals de Verenigde Staten niet zou oplossen. De bevoegdheden van de toezichthoudende autoriteiten kunnen namelijk slechts van geval tot geval worden uitgeoefend, terwijl de lacunes in het Amerikaanse recht van algemene en structurele aard zijn. Dit levert het risico op dat verschillende toezichthoudende autoriteiten uiteenlopende besluiten ten aanzien van vergelijkbare doorgiften nemen.
153. Ik kan in dit verband niet om de praktische moeilijkheden heen die het gevolg zijn van de keuze van de wetgever om de verantwoordelijkheid voor het toezicht op de naleving van de grondrechten van de betrokkenen in het kader van specifieke doorgiften of van gegevensstromen naar een bepaalde ontvanger in handen te leggen van de toezichthoudende autoriteiten. Niettemin leiden deze moeilijkheden er naar mijn mening niet toe dat besluit 2010/87 ongeldig is.
154. Het Unierecht vereist volgens mij namelijk niet dat een algemene en preventieve oplossing wordt geboden voor alle doorgiften naar een bepaald derde land die dezelfde risico’s op schending van de grondrechten opleveren.
155. Bovendien is het risico op een gefragmenteerde aanpak van de verschillende toezichthoudende autoriteiten inherent aan het door de wetgever beoogde stelsel van gedecentraliseerd toezicht.(61) Zoals door de Duitse regering is benadrukt, voorziet hoofdstuk VII van de AVG, getiteld „Samenwerking en coherentie”, overigens in mechanismen om dit risico te voorkomen. Artikel 60 van deze verordening stelt voor grensoverschrijdende gegevensverwerkingen een samenwerkingsprocedure in tussen de betrokken toezichthoudende autoriteiten en de toezichthoudende autoriteit van de vestigingsplaats van de verwerkingsverantwoordelijke, de zogeheten „leidende toezichthoudende autoriteit”.(62) In geval van uiteenlopende standpunten moet het meningsverschil worden beslecht door de EDPB.(63) Dit comité is tevens bevoegd om op verzoek van een toezichthoudende autoriteit advies uit te brengen over elke aangelegenheid die voor meer dan één lidstaat van belang is.(64)
156. Ten tweede stelt de DPC dat besluit 2010/87 ongeldig is in het licht van artikel 47 van het Handvest omdat de toezichthoudende autoriteiten de rechten van de betrokkenen niet prospectief kunnen beschermen zonder een oplossing te bieden aan degenen wier gegevens reeds zijn doorgegeven. De DPC merkt met name op dat artikel 58, lid 2, AVG geen recht op toegang, rectificatie en verwijdering van de door de overheidsinstanties van het derde land verzamelde gegevens toekent en evenmin voorziet in de mogelijkheid van vergoeding van de schade van de betrokkenen.
157. Wat het gestelde ontbreken van een recht op toegang, rectificatie en verwijdering van de verzamelde gegevens aangaat, moet worden geconstateerd dat wanneer in het derde land van bestemming geen doeltreffende voorziening in rechte bestaat, de binnen de Unie tegen de verwerkingsverantwoordelijke openstaande rechtsmiddelen niet de mogelijkheid bieden om van de overheidsinstanties van dit derde land gedaan te krijgen dat er toegang tot deze gegevens wordt verleend of dat ze worden gerectificeerd of verwijderd.
158. In mijn optiek wettigt dit echter nog niet de conclusie dat besluit 2010/87 onverenigbaar is met artikel 47 van het Handvest. De geldigheid van dit besluit hangt namelijk niet af van het beschermingsniveau in elk derde land waarnaar de gegevens op basis van de daarin opgenomen modelcontractbepalingen zouden kunnen worden doorgegeven. Indien het recht van de derde staat van bestemming de importeur belet deze bepalingen na te leven door voor te schrijven dat hij de overheidsinstanties toegang tot de gegevens verleent zonder dat dit gepaard gaat met daartoe geëigende beroepsmogelijkheden, is het de taak van de toezichthoudende autoriteiten om corrigerende maatregelen te nemen wanneer de exporteur de doorgifte niet heeft opgeschort krachtens bepaling 5, onder a) of b), van de bijlage bij besluit 2010/87.
159. Zoals Schrems heeft opgemerkt, kent artikel 82 AVG aan personen wier rechten zijn geschonden bovendien thans het recht toe om van de verwerkingsverantwoordelijke of de verwerker een vergoeding te ontvangen voor de materiële of immateriële schade die zij als gevolg van schending van deze verordening hebben geleden.(65)
160. Uit alle voorgaande overwegingen volgt dat mijn analyse geen elementen aan het licht heeft gebracht die de geldigheid van besluit 2010/87 in het licht van de artikelen 7, 8 en 47 van het Handvest kunnen aantasten.
F. Geen noodzaak om de overige prejudiciële vragen te beantwoorden of de geldigheid van het privacyschildbesluit te onderzoeken
161. Hieronder zal ik de redenen uiteenzetten – die voornamelijk samenhangen met het feit dat het voorwerp van het hoofdgeding beperkt is tot de geldigheid van besluit 2010/87 – waarom ik van mening ben dat de tweede tot en met de vijfde alsook de negende en de tiende prejudiciële vraag geen beantwoording behoeven en dat geen uitspraak hoeft te worden gedaan over de geldigheid van het privacyschildbesluit.
162. De tweede prejudiciële vraag heeft betrekking op de beschermingsmaatstaven die door een derde land moeten worden gehanteerd om een legale doorgifte van gegevens naar dat land mogelijk te maken op basis van modelcontractbepalingen wanneer deze gegevens na doorgifte mogelijk door de autoriteiten van dat derde land verder zullen worden verwerkt voor doeleinden van nationale veiligheid. Bij de derde vraag die aan het Hof is voorgelegd, gaat het erom te bepalen welke elementen van de in de derde staat van bestemming toepasselijke beschermingsregeling in aanmerking moeten worden genomen om vast te stellen of die regeling aan deze maatstaven voldoet.
163. Met zijn vierde, vijfde en tiende vraag wil de verwijzende rechter in wezen vernemen of, gelet op de door hem met betrekking tot het recht van de Verenigde Staten vastgestelde feiten, aldaar passende waarborgen zijn verzekerd tegen inmengingen van de Amerikaanse inlichtingendiensten in de uitoefening van de grondrechten op eerbiediging van het privéleven, bescherming van persoonsgegevens en een doeltreffende rechterlijke bescherming.
164. De negende prejudiciële vraag heeft betrekking op de invloed, in het kader van het onderzoek waarbij een toezichthoudende autoriteit nagaat of een doorgifte naar de Verenigde Staten op basis van de in besluit 2010/87 opgenomen modelcontractbepalingen met passende waarborgen is omgeven, van de omstandigheid dat de Commissie in het privacyschildbesluit heeft vastgesteld dat de Verenigde Staten waarborgen bieden voor een passend niveau van bescherming van de grondrechten van de betrokkenen tegen dergelijke inmengingen.
165. Op haar beurt is de vraag naar de geldigheid van het privacyschildbesluit als zodanig niet uitdrukkelijk door de verwijzende rechter gesteld, hoewel de vierde, de vijfde en de tiende prejudiciële vraag – zoals ik hieronder zal uiteenzetten(66) – indirect de juistheid ter discussie stellen van de door de Commissie in dat besluit gedane constatering dat er sprake is van een passend beschermingsniveau.
166. Gelet op de uit de voorgaande analyse naar voren komende elementen ben ik van mening dat een beantwoording door het Hof van deze vragen zijn conclusie aangaande de geldigheid in abstracto van besluit 2010/87 niet zou kunnen aantasten en dus niet van invloed zou kunnen zijn op de beslechting van het hoofdgeding (afdeling 1). Voor zover de antwoorden van het Hof op deze vragen in een later stadium van nut zouden kunnen zijn voor de DPC om in de aan dit geding ten grondslag liggende procedure te kunnen bepalen of de betrokken doorgiften in concreto moeten worden opgeschort wegens het ontbreken van passende waarborgen, acht ik het prematuur om ze in het kader van de onderhavige zaak te beantwoorden (afdeling 2).
1. Geen noodzaak voor het Hof om een antwoord te geven, gelet op het voorwerp van het hoofdgeding
167. Ik herinner eraan dat het hoofdgeding terug te voeren is tot het feit dat de DPC heeft gebruikgemaakt van de beroepsgang zoals omschreven in punt 65 van het arrest Schrems, op grond waarvan elke lidstaat een toezichthoudende autoriteit in staat moet stellen om, wanneer zij zulks noodzakelijk acht voor de behandeling van een bij haar ingediende klacht, een nationale rechterlijke instantie te verzoeken het Hof een prejudiciële vraag te stellen over de geldigheid van een adequaatheidsbesluit of, naar analogie, van een besluit tot invoering van modelcontractbepalingen.
168. De High Court heeft in dit verband onderstreept dat hij, nadat de DPC de zaak bij hem aanhangig had gemaakt, over slechts twee opties beschikte, namelijk hetzij de door de DPC gevraagde prejudiciële verwijzing met betrekking tot de geldigheid van besluit 2010/87 indienen indien hij de twijfel van deze commissaris over de geldigheid van dit besluit deelde, hetzij weigeren op diens vraag in te gaan in het tegenovergestelde geval. Volgens deze rechter had hij het geding moeten afdoen indien hij deze tweede weg was ingeslagen, omdat de klacht van de DPC geen ander voorwerp had.(67)
169. In dezelfde lijn heeft de Supreme Court, waarbij Facebook Ireland hoger beroep had ingesteld tegen de verwijzingsbeslissing, het hoofdgeding omschreven als een declaratoire procedure waarin de DPC de verwijzende rechter verzocht om het Hof een prejudiciële vraag over de geldigheid van besluit 2010/87 te stellen. Volgens de hoogste Ierse rechter heeft de enige inhoudelijke vraag die ten overstaan van de verwijzende rechter en het Hof is opgeworpen, dus betrekking op de geldigheid van dit besluit.(68)
170. Gelet op het aldus afgebakende voorwerp van het hoofdgeding heeft de verwijzende rechter zijn eerste tien vragen aan het Hof gesteld, voor zover het Hof mocht oordelen dat het onderzoek daarvan deel uitmaakt van de algehele beoordeling die het dient te maken om, ter beantwoording van de elfde vraag, een uitspraak te kunnen doen over de geldigheid van besluit 2010/87 in het licht van de artikelen 7, 8 en 47 van het Handvest. Volgens de verwijzingsbeslissing is deze vraag het logische uitvloeisel van de vragen die eraan voorafgaan.
171. In deze optiek berusten de tweede tot en met de vijfde vraag alsook de negende en de tiende vraag mijns inziens op de premisse dat de geldigheid van besluit 2010/87 afhangt van het beschermingsniveau van de grondrechten zoals dat geldt in elk van de derde landen waarnaar gegevens kunnen worden doorgegeven op basis van de daarin opgenomen modelcontractbepalingen. Zoals blijkt uit mijn analyse van de zevende vraag(69), houd ik deze premisse voor onjuist. Het onderzoek van het recht van het derde land van bestemming komt pas in beeld wanneer de Commissie een adequaatheidsbesluit vaststelt of wanneer de verwerkingsverantwoordelijke – of, bij gebreke daarvan, de bevoegde toezichthoudende autoriteit – nagaat of in het kader van een met passende waarborgen omgeven doorgifte in de zin van artikel 46, lid 1, AVG de verplichtingen die het recht van dit derde land aan de importeur oplegt, niet de doeltreffendheid ondermijnen van de door deze waarborgen geboden bescherming.
172. Derhalve kunnen de antwoorden van het Hof op de hierboven vermelde vragen niet van invloed zijn op zijn conclusie met betrekking tot de elfde vraag.(70) Dat betekent dat die vragen uit het oogpunt van het voorwerp van het hoofdgeding geen beantwoording behoeven.
173. Ik stel het Hof voor om de onderhavige zaak enkel uit het oogpunt van het voorwerp van dit geding te behandelen. Naar mijn mening gaat het Hof niet verder dan voor de beslechting van dit geding noodzakelijk is indien het de prejudiciële vragen bespreekt vanuit de invalshoek van de bij de DPC lopende procedure die eraan ten grondslag ligt. Zoals ik hieronder zal uiteenzetten, maan ik enerzijds tot deze terughoudendheid aan omdat ervoor gewaakt dient te worden dat niet wordt vooruitgelopen op het normale verloop van de procedure die bij de DPC haar beslag moet krijgen nadat het Hof zich over de geldigheid van besluit 2010/87 heeft uitgesproken. Anderzijds lijkt het mij, gelet op de feiten van de zaak, enigszins overhaast – zelfs in het licht van de grote belangen die hier op het spel staan – dat het Hof de vraagstukken onderzoekt die in de tweede tot en met de vijfde vraag, de negende en de tiende vraag aan de orde worden gesteld.
2. Redenen die, gelet op het voorwerp van de procedure bij de DPC, tegen een beoordeling door het Hof pleiten
174. In zijn klacht bij de DPC verzoekt Schrems deze toezichthoudende autoriteit om de bevoegdheden waarover deze krachtens artikel 58, lid 2, onder f), AVG beschikt, uit te oefenen door Facebook Ireland te gelasten de doorgifte, op basis van modelcontractbepalingen, van hem betreffende persoonsgegevens naar de Verenigde Staten op te schorten. Ter onderbouwing van zijn verzoek voert Schrems in hoofdzaak aan dat deze contractuele waarborgen niet adequaat zijn, gelet op de inmenging in de uitoefening van zijn grondrechten zoals die voortvloeit uit de activiteiten van de Amerikaanse inlichtingendiensten.
175. Schrems bestrijdt in zijn betoog de door de Commissie in het privacyschildbesluit gedane constatering dat de Verenigde Staten, gelet op de beperkingen die worden gesteld aan de toegang tot de doorgegeven gegevens en het gebruik ervan door de Amerikaanse inlichtingendiensten en gelet ook op de rechtsbescherming die aan de betrokkenen wordt geboden, een passend beschermingsniveau van die gegevens verzekeren.(71) Ook de bezorgdheid die de DPC vooralsnog heeft geuit(72) en die door de verwijzende rechter in zijn vierde, vijfde en tiende vraag wordt gedeeld, roepen indirect twijfel op over de juistheid van deze constatering.
176. Inderdaad volstaat het privacyschildbesluit met de constatering dat het beschermingsniveau voor de persoonsgegevens die overeenkomstig de in dat besluit opgenomen beginselen worden doorgegeven naar een in de Verenigde Staten gevestigde onderneming die deze beginselen door zelfcertificering heeft onderschreven, passend is.(73) De daarin voorkomende overwegingen reiken echter verder dan de doorgiften die onder dit besluit vallen, omdat zij betrekking hebben op het recht dat en de praktijken die in dit derde land van toepassing zijn op de verwerking van de doorgegeven gegevens voor doeleinden van nationale veiligheid. Zoals Facebook Ireland, Schrems, de regering van de Verenigde Staten en de Commissie in wezen hebben opgemerkt, zijn de surveillance door de Amerikaanse inlichtingendiensten, de waarborgen tegen de daaraan inherente risico’s van misbruik en de regelingen die ervoor moeten zorgen dat deze waarborgen in acht worden genomen, van toepassing ongeacht de wettelijke grondslag krachtens het Unierecht waarop de doorgifte wordt gebaseerd.
177. Vanuit deze invalshoek bezien is de vraag of de toezichthoudende autoriteiten gebonden zijn aan de in dit verband in het privacyschildbesluit gedane constateringen wanneer zij de rechtmatigheid van een op modelcontractbepalingen gebaseerde doorgifte onderzoeken, wellicht van belang voor de behandeling door de DPC van de klacht van Schrems. Indien deze vraag bevestigend werd beantwoord, zou de vraag rijzen of dit besluit wel geldig is.
178. Ik wil het Hof echter ontraden om zich over deze vragen uit te spreken enkel en alleen om de DPC hulp te bieden bij de behandeling van deze klacht, terwijl deze vragen geen beantwoording behoeven om de verwijzende rechter in staat te stellen het hoofdgeding te beslechten. Aangezien de in artikel 267 VWEU bedoelde procedure een dialoog tussen rechters creëert, hoeft het Hof geen verduidelijking te bieden met als enige doel een administratieve autoriteit behulpzaam te zijn in het kader van een aan het geding ten grondslag liggende procedure.
179. Naar mijn mening is deze terughoudendheid des te meer geboden, omdat de kwestie van de geldigheid van het privacyschildbesluit niet uitdrukkelijk aan het Hof is voorgelegd. Bovendien vormt dit besluit reeds het voorwerp van een beroep tot nietigverklaring dat bij het Gerecht van de Europese Unie aanhangig is gemaakt.(74)
180. Daarnaast zou het Hof, door zich over de hierboven beschreven problematiek uit te spreken, naar mijn mening het normale verloop verstoren van de procedure die na zijn uitspraak in de onderhavige zaak zal moeten worden voortgezet. In het kader van die procedure zal de DPC de klacht van Schrems moeten behandelen, rekening houdend met het antwoord dat het Hof zal geven op de elfde prejudiciële vraag. Mocht het Hof, zoals ik voorstel en in tegenstelling tot wat de DPC ten overstaan van hem heeft betoogd, oordelen dat besluit 2010/87 niet ongeldig is in het licht van de artikelen 7, 8 en 47 van het Handvest, dan dient de DPC in mijn visie de mogelijkheid te krijgen om het dossier van de bij hem lopende procedure opnieuw te onderzoeken. Indien de DPC vervolgens meent de klacht van Schrems niet te kunnen behandelen zonder dat het Hof eerst vaststelt of het privacyschildbesluit eraan in de weg staat dat hij zijn bevoegdheden tot opschorting van de betrokken doorgifte uitoefent, en bevestigt dat hij twijfel koestert omtrent de geldigheid van dit besluit, dan staat het hem vrij om zich opnieuw tot de nationale rechter te wenden, zodat deze rechter het Hof hierover vragen kan stellen.(75)
181. Dat zou ertoe leiden dat een procedure wordt ingeleid waarin elke partij en elke belanghebbende als bedoeld in artikel 23, tweede alinea, van het Statuut van het Hof opmerkingen bij het Hof kan indienen over de specifieke vraag van de geldigheid van het privacyschildbesluit, onder vermelding, waar nodig, van de concrete beoordelingen die worden betwist en met opgave van de redenen waarom de Commissie haar beperkte beoordelingsbevoegdheid dienaangaande zou hebben overschreden.(76) In een dergelijke procedure zou de Commissie concreet en gedetailleerd kunnen ingaan op elk van de eventuele punten van kritiek op dit besluit. In de onderhavige zaak hebben de partijen en belanghebbenden die opmerkingen bij het Hof hebben ingediend weliswaar sommige aspecten kunnen bespreken die relevant zijn voor de beoordeling van de verenigbaarheid van het privacyschildbesluit met de artikelen 7, 8 en 47 van het Handvest, maar gelet op de grote belangen die op het spel staan, verdient deze vraag een diepgaande en uitvoerige bespreking.
182. In mijn ogen zou het verstandig zijn om eerst deze procedurele stadia te doorlopen alvorens het Hof de impact van het privacyschildbesluit op de behandeling door een toezichthoudende autoriteit van een verzoek tot opschorting van een doorgifte naar de Verenigde Staten uit hoofde van artikel 46, lid 1, AVG onderzoekt en zich over de geldigheid van dit besluit uitspreekt.
183. Dit geldt des te meer, omdat het bij het Hof ingediende dossier niet de conclusie wettigt dat de behandeling door de DPC van de klacht van Schrems noodzakelijkerwijs afhangt van de vraag of het privacyschildbesluit zich verzet tegen de uitoefening door de toezichthoudende autoriteiten van hun bevoegdheid tot opschorting van een op modelcontractbepalingen gebaseerde doorgifte.
184. In de eerste plaats is het niet uitgesloten dat de DPC zich genoodzaakt ziet de betrokken doorgifte op te schorten om andere redenen dan omdat in de Verenigde Staten geen passend beschermingsniveau zou worden geboden tegen inbreuken op de grondrechten van de betrokkenen als gevolg van de activiteiten van de Amerikaanse inlichtingendiensten. Zo heeft de verwijzende rechter gepreciseerd dat Schrems in zijn klacht bij de DPC stelt dat de contractbepalingen die volgens Facebook Ireland aan deze doorgifte ten grondslag liggen, geen getrouwe weergave zijn van de in de bijlage bij besluit 2010/87 opgenomen contractbepalingen. Schrems stelt verder dat de doorgifte niet binnen de werkingssfeer van dit besluit maar van de andere MCB-besluiten valt.(77)
185. In de tweede plaats hebben de DPC en de verwijzende rechter onderstreept dat Facebook Ireland zich ter verdediging van de in de klacht van Schrems bedoelde doorgifte niet heeft beroepen op het privacyschildbesluit(78), wat ter terechtzitting ook door deze onderneming is bevestigd. Hoewel Facebook Inc. de beginselen van het privacyschild sedert 30 september 2016 heeft onderschreven door zelfcertificering(79), stelt Facebook Ireland dat dit enkel geldt voor de doorgifte van bepaalde categorieën gegevens, namelijk de gegevens over de commerciële partners van Facebook Inc. Ik acht het dan ook niet opportuun dat het Hof vooruitloopt op eventuele vragen die in dit verband zouden kunnen rijzen door te onderzoeken of deze doorgifte – gesteld dat Facebook Ireland de betrokken doorgifte niet op besluit 2010/87 kan baseren – niettemin zou zijn gedekt door het privacyschildbesluit, ofschoon Facebook Ireland dit argument ten overstaan van de verwijzende rechter noch de DPC heeft aangevoerd.
186. Ik concludeer dan ook dat de tweede tot en met de vijfde vraag, de negende en de tiende prejudiciële vraag geen beantwoording behoeven en dat de geldigheid van het privacyschildbesluit niet hoeft te worden onderzocht.
G. Subsidiaire opmerkingen over de gevolgen en de geldigheid van het privacyschildbesluit
187. Hoewel ik het Hof op grond van de voorgaande analyse primair voorstel om geen uitspraak te doen over de impact van het privacyschildbesluit op de behandeling van een klacht zoals die welke door Schrems bij de DPC is ingediend en over de geldigheid van dit besluit, acht ik het niettemin zinvol om subsidiair en met zekere reserves een aantal niet-uitputtende opmerkingen over dit onderwerp te maken.
1. Impact van het privacyschildbesluit in het kader van de behandeling door een toezichthoudende autoriteit van een klacht met betrekking tot de rechtmatigheid van een op contractuele waarborgen gebaseerde doorgifte
188. De negende prejudiciële vraag stelt de kwestie aan de orde of de constatering in het privacyschildbesluit dat de Verenigde Staten, gelet op de beperkingen die worden gesteld aan de toegang tot de doorgegeven gegevens en het gebruik ervan door de Amerikaanse autoriteiten voor doeleinden van nationale veiligheid en mede gelet op de rechtsbescherming van de betrokkenen, een passend beschermingsniveau verzekeren, eraan in de weg staat dat een toezichthoudende autoriteit een op modelcontractbepalingen gebaseerde doorgifte naar dit derde land opschort.
189. Deze kwestie moet volgens mij worden bezien in het licht van de punten 51 en 52 van het arrest Schrems, waaruit volgt dat een adequaatheidsbesluit geldt voor de toezichthoudende autoriteiten zolang het niet ongeldig is verklaard. Een toezichthoudende autoriteit waarbij een klacht is ingediend door een persoon wiens gegevens worden doorgegeven naar het derde land waarvoor een adequaatheidsbesluit geldt, kan de doorgifte dus niet opschorten op grond van het feit dat het beschermingsniveau in dat derde land ontoereikend is, zonder dat het Hof dit besluit eerst ongeldig heeft verklaard.(80)
190. De verwijzende rechter wenst in wezen te vernemen of, in het geval van een adequaatheidsbesluit – zoals het privacyschildbesluit of, daarvóór, de veiligehavenbeschikking – dat gebaseerd is op de vrijwillige onderschrijving door ondernemingen van de daarin opgenomen beginselen, deze conclusie uitsluitend geldt wanneer de doorgifte naar het betrokken derde land door dit besluit wordt gedekt of ook wanneer de doorgifte berust op een andere wettelijke grondslag.
191. Volgens Schrems, de Duitse, de Nederlandse, de Poolse en de Portugese regering alsook de Commissie ontneemt de in het privacyschildbesluit geconstateerde adequaatheid de toezichthoudende autoriteiten niet de bevoegdheid om een doorgifte naar de Verenigde Staten op grond van modelcontractbepalingen op te schorten of te verbieden. Wanneer de doorgifte naar de Verenigde Staten niet op basis van het privacyschildbesluit geschiedt, zijn de toezichthoudende autoriteiten niet formeel gebonden door dit besluit wanneer zij hun bevoegdheden uit hoofde van artikel 58, lid 2, AVG uitoefenen. Anders gezegd, deze autoriteiten mogen zich distantiëren van de bevindingen van de Commissie inzake het passende karakter van de bescherming tegen inmengingen van de Amerikaanse overheidsinstanties in de uitoefening van de grondrechten van de betrokkenen. De Nederlandse regering en de Commissie preciseren dat de toezichthoudende autoriteiten echter wel rekening met dit besluit moeten houden wanneer zij gebruikmaken van deze bevoegdheden. Volgens de Duitse regering mogen deze autoriteiten enkel tot een andersluidende conclusie komen nadat zij de bevindingen van de Commissie inhoudelijk, aan de hand van de relevante onderzoeken, tegen het licht hebben gehouden.
192. Facebook Ireland en de regering van de Verenigde Staten stellen zich daarentegen op het standpunt dat het bindende karakter van een adequaatheidsbesluit, gelet op de vereisten van rechtszekerheid en van een uniforme toepassing van het Unierecht, impliceert dat de toezichthoudende autoriteiten niet bevoegd zijn de in dat besluit gedane vaststellingen in twijfel te trekken, ook niet in het kader van de behandeling van een klacht die strekt tot opschorting van doorgiften naar het betrokken derde land die op een andere grondslag dan dit besluit berusten.
193. Ik schaar mij achter de eerste zienswijze. Aangezien de werkingssfeer van het privacyschildbesluit beperkt is tot doorgiften naar ondernemingen die zichzelf krachtens dit besluit hebben gecertificeerd, kan dit besluit de toezichthoudende autoriteiten niet formeel binden wanneer het gaat om doorgiften die niet binnen deze werkingssfeer vallen. Dienovereenkomstig beoogt het privacyschildbesluit enkel de rechtszekerheid van exporteurs die gegevens binnen het kader van dit besluit doorgeven. Ook de onafhankelijkheid die de toezichthoudende autoriteiten ingevolge artikel 52 AVG genieten, verzet zich er naar mijn mening tegen dat zij buiten de werkingssfeer van een adequaatheidsbesluit gebonden worden door de vaststellingen die de Commissie in dat besluit heeft gedaan.
194. Uiteraard dienen de constateringen in het privacyschildbesluit betreffende het passende beschermingsniveau dat in de Verenigde Staten wordt verzekerd tegen inmengingen als gevolg van de activiteiten van de inlichtingendiensten van dit land, als uitgangspunt voor de analyse van een toezichthoudende autoriteit wanneer zij in een concreet geval beoordeelt of een doorgifte op basis van modelcontractbepalingen moet worden opgeschort wegens dergelijke inmengingen. Indien de bevoegde toezichthoudende autoriteit na een grondig onderzoek echter concludeert dat zij zich niet achter deze constateringen kan scharen voor wat betreft de aan haar voorgelegde doorgifte, behoudt zij naar mijn mening de mogelijkheid om haar bevoegdheden uit hoofde van artikel 58, lid 2, onder f) en j), AVG uit te oefenen.
195. Mocht het Hof de hier besproken vraag echter in een andere dan de door mij voorgestane zin beantwoorden, dan zou moeten worden nagegaan of deze bevoegdheden desalniettemin niet zouden moeten herleven in geval van ongeldigheid van het privacyschildbesluit.
2. Geldigheid van het privacyschildbesluit
196. Hieronder zal ik enige vraagtekens plaatsen bij de juistheid van de beoordelingen in het privacyschildbesluit met betrekking tot het passende karakter in de zin van artikel 45, lid 1, AVG van het door de Verenigde Staten geboden beschermingsniveau, gelet op de activiteiten van de Amerikaanse inlichtingendiensten op het gebied van de surveillance van elektronische communicatie. Mijn opmerkingen zijn niet bedoeld als een definitief standpunt over de geldigheid van dit besluit en streven geen volledigheid na. Ik wil enkel een aantal gedachten formuleren die het Hof van nut zouden kunnen zijn, ingeval het – anders dan ik voorstel – toch een uitspraak hierover wenst te doen.
197. In dit verband volgt uit overweging 64 en sectie I.5 van bijlage II bij het privacyschildbesluit dat de naleving door ondernemingen van de in dit besluit opgesomde beginselen onder meer kan worden beperkt om te voldoen aan vereisten inzake de nationale veiligheid, het algemeen belang en de rechtshandhaving of op grond van uit het Amerikaanse recht voortvloeiende tegenstrijdige verplichtingen.
198. De Commissie heeft derhalve onderzocht welke waarborgen het recht van de Verenigde Staten biedt met betrekking tot de toegang tot de doorgegeven gegevens en het gebruik ervan door de Amerikaanse overheidsinstanties ten behoeve van met name de nationale veiligheid.(81) Zij heeft van de Amerikaanse regering bepaalde toezeggingen gekregen ten aanzien van enerzijds de beperkingen die worden gesteld aan de toegang en het gebruik door de Amerikaanse autoriteiten van de doorgegeven gegevens en anderzijds de rechtsbescherming die de betrokkenen genieten.(82)
199. Ten overstaan van het Hof stelt Schrems dat het privacyschildbesluit ongeldig is, omdat de aldus omschreven waarborgen niet volstaan om een passend niveau van bescherming te garanderen voor de grondrechten van personen wier gegevens naar de Verenigde Staten worden doorgegeven. Zonder de geldigheid van dit besluit rechtstreeks te betwisten, komen de DPC, het EPIC en de Oostenrijkse, de Poolse en de Portugese regering op tegen de beoordelingen die de Commissie in dat besluit heeft gemaakt met betrekking tot de passende aard van het niveau van bescherming tegen de inmengingen als gevolg van de activiteiten van de Amerikaanse inlichtingendiensten. Deze twijfel weerspiegelt ook de bezorgdheid die door het Parlement(83), de EDPB(84) en de ETGB(85) is geuit.
200. Alvorens de juistheid van de in het privacyschildbesluit geconstateerde adequaatheid te onderzoeken, zal ik eerst toelichten door welke methode ik mij bij dit onderzoek zal laten leiden.
a) Toelichting bij de strekking van het onderzoek van de geldigheid van een adequaatheidsbesluit
1) Vergelijkingsmaatstaven voor de beoordeling van de „wezenlijke gelijkwaardigheid” van het beschermingsniveau
201. Volgens artikel 45, lid 3, AVG en de rechtspraak van het Hof(86) kan de Commissie slechts constateren dat een derde land een passend beschermingsniveau verzekert wanneer zij met redenen omkleed heeft geconcludeerd dat het beschermingsniveau van de grondrechten van de betrokkenen aldaar „in wezen gelijkwaardig” is aan het beschermingsniveau dat krachtens deze verordening, gelezen in samenhang met het Handvest, in de Unie is vereist.
202. Het onderzoek of het in een derde land verzekerde beschermingsniveau passend is, impliceert dus noodzakelijkerwijs een vergelijking tussen enerzijds de in dat land bestaande regels en praktijken en anderzijds de in de Unie geldende beschermingsnormen. Met zijn tweede vraag verzoekt de verwijzende rechter het Hof te verduidelijken op welke maatstaven deze vergelijking moet berusten.(87)
203. Meer specifiek wil deze rechter weten of de bevoegdheid op het gebied van de nationale veiligheid die artikel 4, lid 2, VEU en artikel 2, lid 2, AVG aan de lidstaten voorbehouden, betekent dat het rechtsstelsel van de Unie geen beschermingsnormen kent waarmee de in een derde land geboden waarborgen inzake de verwerking door de overheidsinstanties van de naar dat land doorgegeven gegevens ten behoeve van de nationale veiligheid moeten worden vergeleken bij de beoordeling of ze passend zijn. Voor zover dit inderdaad het geval is, wenst de verwijzende rechter te vernemen hoe het relevante referentiekader moet worden bepaald.
204. In dit verband dient men voor ogen te houden dat de bestaansreden van de beperkingen die het Unierecht aan internationale doorgiften van persoonsgegevens stelt door te verlangen dat de continuïteit van het niveau van bescherming van de rechten van de betrokkenen wordt gewaarborgd, is te voorkomen dat de binnen de Unie geldende normen worden omzeild.(88) Zoals Facebook Ireland heeft betoogd, zou het, gelet op deze doelstelling, volstrekt ongerechtvaardigd zijn om van een derde land te verlangen dat het vereisten naleeft die niet congrueren met de op de lidstaten rustende verplichtingen.
205. Overeenkomstig artikel 51, lid 1, is het Handvest slechts van toepassing op de lidstaten wanneer zij het Unierecht ten uitvoer brengen. Of een adequaatheidsbesluit, gelet op de beperkingen op de uitoefening van de grondrechten van de betrokkenen zoals die voortvloeien uit de regelgeving van het derde land van bestemming, al dan niet geldig is, hangt derhalve af van een vergelijking tussen deze beperkingen en de beperkingen die de lidstaten krachtens de bepalingen van het Handvest mogen opleggen uitsluitend voor zover een vergelijkbare regeling van een lidstaat binnen de werkingssfeer van het Unierecht zou vallen.
206. De passende aard van het beschermingsniveau dat in het derde land van bestemming wordt geboden, kan echter niet worden beoordeeld zonder rekening te houden met eventuele inmengingen in de uitoefening van de grondrechten van de betrokkenen als gevolg van overheidsmaatregelen op met name het gebied van de nationale veiligheid die, indien zij door een lidstaat werden vastgesteld, buiten de werkingssfeer van het Unierecht zouden vallen. Met het oog op deze beoordeling schrijft artikel 45, lid 2, onder a), AVG voor dat zonder enige beperking rekening wordt gehouden met de in die derde staat geldende regelgeving op het gebied van de nationale veiligheid.
207. De beoordeling van het passende karakter van het beschermingsniveau in het licht van dergelijke overheidsmaatregelen betekent naar mijn mening dat de waarborgen waarmee die maatregelen gepaard gaan, worden vergeleken met het beschermingsniveau dat binnen de Unie vereist is krachtens het recht van de lidstaten, met inbegrip van hun verplichtingen krachtens het EVRM. Aangezien de toetreding tot het EVRM de lidstaten ertoe verplicht hun interne recht in overeenstemming te brengen met de bepalingen van dit Verdrag en dit Verdrag dus, zoals Facebook Ireland, de Duitse en de Tsjechische regering alsook de Commissie in wezen hebben betoogd, een gemene deler binnen de lidstaten is, vormen deze bepalingen volgens mij de relevante vergelijkingsmaatstaf bij deze beoordeling.
208. Zoals ik hierboven heb uiteengezet(89), hebben de vereisten inzake de nationale veiligheid van de Verenigde Staten in casu voorrang boven de verplichtingen die krachtens het privacyschildbesluit op de ondernemingen met zelfcertificering rusten. De geldigheid van dit besluit hangt er dus vanaf of deze vereisten gepaard gaan met waarborgen die een beschermingsniveau verzekeren dat in wezen gelijkwaardig is aan het beschermingsniveau dat in de Unie moet worden verzekerd.
209. Om deze vraag te kunnen beantwoorden, moet eerst worden vastgesteld wat precies de normen zijn – dat wil zeggen de normen van het Handvest dan wel de normen van het EVRM – waaraan vergelijkbare regelingen op het gebied van de surveillance van elektronische communicatie met die welke de Commissie in het privacyschildbesluit heeft onderzocht, moeten voldoen. Het bepalen van de toepasselijke normen hangt af van het antwoord op de vraag of regelingen als section 702 FISA en EO 12333, indien zij afkomstig waren van een lidstaat, al dan niet zouden vallen onder de beperking van de werkingssfeer van de AVG ingevolge artikel 2, lid 2, van deze verordening, gelezen in samenhang met artikel 4, lid 2, VEU.
210. Dienaangaande volgt uit de bewoordingen van artikel 4, lid 2, VEU en de vaste rechtspraak dat het Unierecht en met name de instrumenten van afgeleid recht op het gebied van de bescherming van persoonsgegevens niet van toepassing zijn op activiteiten op het gebied van de bescherming van de nationale veiligheid, voor zover dit specifieke activiteiten van de staten of de overheidsdiensten zijn en deze activiteiten niets van doen hebben met de gebieden waarop particulieren activiteiten ontplooien.(90)
211. Dit beginsel impliceert enerzijds dat een regeling op het gebied van de nationale veiligheid niet binnen de werkingssfeer van het Unierecht valt wanneer zij uitsluitend staatsactiviteiten regelt, zonder van toepassing te zijn op enige activiteit die door particulieren wordt uitgeoefend. Derhalve is het Unierecht naar mijn mening niet van toepassing op nationale maatregelen inzake het verzamelen en gebruiken van persoonsgegevens die rechtstreeks door de staat ten uitvoer worden gelegd voor doeleinden van nationale veiligheid, zonder dat daarbij specifieke verplichtingen aan particuliere marktdeelnemers worden opgelegd. In het bijzonder zou een door een lidstaat vastgestelde maatregel die, net als EO 12333, zijn veiligheidsdiensten rechtstreeks toegang tot gegevens verleent tijdens de doorvoer ervan, buiten de werkingssfeer van het Unierecht vallen, zoals de Commissie ter terechtzitting heeft betoogd.(91)
212. Een veel complexere vraag is anderzijds de vraag of nationale bepalingen die op eendere wijze als section 702 FISA de aanbieders van elektronischecommunicatiediensten ertoe verplichten om hun medewerking te verlenen aan de voor de nationale veiligheid bevoegde autoriteiten, zodat deze autoriteiten toegang krijgen tot bepaalde persoonsgegevens, ook buiten de werkingssfeer van het Unierecht vallen.
213. Terwijl het PNR-arrest voor een bevestigend antwoord op deze vraag pleit, rechtvaardigt de redenering in de arresten Tele2 Sverige en Ministerio Fiscal wellicht juist dat hierop een ontkennend antwoord wordt gegeven.
214. In het PNR-arrest heeft het Hof de beschikking nietig verklaard waarbij de Commissie de adequaatheid had geconstateerd van het beschermingsniveau van de persoonsgegevens in het Passenger Name Record (PNR) van vliegtuigpassagiers die werden doorgegeven aan de bevoegde Amerikaanse autoriteit op het gebied van douane en grensbescherming.(92) Het Hof was van oordeel dat de verwerking waarop deze beschikking betrekking had – te weten de doorgifte van de PNR-gegevens door luchtvaartmaatschappijen aan de betrokken autoriteit – gelet op het doel ervan, van de werkingssfeer van richtlijn 95/46 was uitgesloten op basis van de in artikel 3, lid 2, van die richtlijn bedoelde uitsluitingsgrond. Volgens het Hof was deze verwerking niet noodzakelijk voor een dienstverrichting, maar voor het waarborgen van de openbare veiligheid en voor de wetshandhaving. Aangezien de betrokken doorgifte geschiedde binnen een door de overheid ingesteld kader dat betrekking had op de openbare veiligheid, was deze doorgifte uitgesloten van de werkingssfeer van deze richtlijn, ondanks het feit dat de PNR-gegevens aanvankelijk door particuliere marktdeelnemers werden verzameld in het kader van een binnen deze werkingssfeer vallende commerciële activiteit en dat deze doorgifte door die marktdeelnemers werd georganiseerd.(93)
215. In het daaropvolgende arrest Tele2 Sverige(94) heeft het Hof geoordeeld dat nationale bepalingen op basis van artikel 15, lid 1, van richtlijn 2002/58/EG(95) die zowel het bewaren van verkeers‑ en locatiegegevens door aanbieders van telecommunicatiediensten regelen als de toegang van overheidsinstanties tot de bewaarde gegevens voor de in die bepaling genoemde doeleinden – waaronder de strafrechtelijke handhaving en de bescherming van de nationale veiligheid – binnen de werkingssfeer van deze richtlijn en daarmee van het Handvest vallen. Volgens het Hof zijn noch de bepalingen betreffende het bewaren van de gegevens noch de bepalingen betreffende de toegang tot de bewaarde gegevens van de werkingssfeer van deze richtlijn uitgesloten op grond van artikel 1, lid 3, ervan, dat onder meer verwijst naar de activiteiten van de staat op strafrechtelijk gebied en op het gebied van de bescherming van de nationale veiligheid.(96) Het Hof heeft deze rechtspraak bevestigd in het arrest Ministerio Fiscal.(97)
216. Section 702 FISA verschilt echter van een dergelijke regeling doordat deze bepaling de aanbieders van elektronischecommunicatiediensten geen verplichting oplegt om de gegevens te bewaren of ze anderszins te verwerken wanneer de inlichtingendiensten niet om toegang tot de gegevens hebben verzocht.
217. De vraag rijst dan ook of nationale bepalingen die deze aanbieders ertoe verplichten om gegevens ter beschikking van de overheidsinstanties te stellen voor doeleinden van nationale veiligheid, los van enige verplichting om deze gegevens te bewaren, binnen de werkingssfeer van de AVG en dus van het Handvest vallen.(98)
218. Een eerste mogelijke benadering is om de twee hierboven genoemde koersen in de rechtspraak zoveel mogelijk met elkaar te verzoenen door de conclusie van het Hof in de arresten Tele2 Sverige en Ministerio Fiscal met betrekking tot de toepasselijkheid van het Unierecht op maatregelen die de toegang tot gegevens door nationale autoriteiten voor doeleinden van onder meer nationale veiligheid regelen(99), aldus uit te leggen dat deze conclusie enkel geldt voor gevallen waarin de gegevens zijn bewaard krachtens een wettelijke verplichting die op basis van artikel 15, lid 1, van richtlijn 2002/58 is ingevoerd. Daarentegen zou deze conclusie niet opgaan in de afwijkende feitelijke context van het PNR-arrest, waarin sprake was van de doorgifte naar een voor de binnenlandse veiligheid bevoegde Amerikaanse autoriteit van gegevens die voor commerciële doeleinden en uit eigen initiatief waren bewaard door luchtvaartmaatschappijen.
219. Een tweede benadering zou kunnen zijn – en dit is ook wat de Commissie voorstaat en wat ikzelf overtuigender acht – dat uit de redenering in de arresten Tele2 Sverige en Ministerio Fiscal kan worden geconcludeerd dat het Unierecht van toepassing is op nationale regels die aanbieders van elektronischecommunicatiediensten ertoe verplichten om hun medewerking te verlenen aan de met de nationale veiligheid belaste autoriteiten, zodat deze autoriteiten toegang tot bepaalde gegevens kunnen krijgen, zonder dat het ertoe doet of deze regels al dan niet gekoppeld zijn aan een voorafgaande verplichting om de gegevens te bewaren.
220. De kern van deze redenering berustte namelijk niet op het doel van de betrokken bepalingen, zoals in het PNR-arrest, maar op het feit dat deze bepalingen de activiteiten van de aanbieders regelden en hen ertoe verplichtten om gegevens te verwerken. Deze activiteiten vormden geen activiteiten van de staat op de gebieden bedoeld in artikel 1, lid 3, van richtlijn 2002/58 en artikel 3, lid 2, van richtlijn 95/46, waarvan de inhoud in wezen is overgenomen in artikel 2, lid 2, AVG.
221. Zo merkte het Hof in het arrest Tele2 Sverige op dat „de toegang […] tot de door die aanbieders bewaarde gegevens […] betrekking [heeft] op de verwerking van persoonsgegevens door die aanbieders, en [dat] deze verwerking […] binnen de werkingssfeer van die richtlijn [valt]”.(100) Insgelijks oordeelde het in het arrest Ministerio Fiscal dat wanneer wettelijke maatregelen aanbieders de verplichting opleggen om de bevoegde autoriteiten toegang tot de bewaarde persoonsgegevens te verlenen, „dit noodzakelijkerwijs impliceert dat die aanbieders die gegevens verwerken”.(101)
222. Het door de verwerkingsverantwoordelijke ter beschikking van een overheidsinstantie stellen van gegevens strookt met de definitie van „verwerking” in artikel 4, punt 2, AVG.(102) Hetzelfde geldt voor de voorafgaande filtering van gegevens aan de hand van zoekcriteria met de bedoeling om enkel de gegevens waartoe de overheidsinstanties om toegang hebben verzocht, te isoleren.(103)
223. Ik concludeer hieruit dat, volgens de redenering van het Hof in de arresten Tele2 Sverige en Ministerio Fiscal, de AVG en dus ook het Handvest van toepassing zijn op een nationale regeling die de aanbieder van elektronischecommunicatiediensten ertoe verplicht om zijn medewerking aan de met de nationale veiligheid belaste autoriteiten te verlenen door gegevens tot hun beschikking te stellen, eventueel na filtering ervan, ook zonder dat er sprake is van enige wettelijke verplichting om deze gegevens te bewaren.
224. Deze uitlegging lijkt bovendien ook, althans impliciet, voort te vloeien uit het arrest Schrems. Zoals de DPC, de Oostenrijkse en de Poolse regering alsook de Commissie hebben onderstreept, heeft het Hof in het kader van het onderzoek van de geldigheid van de veiligehavenbeschikking in dat arrest geoordeeld dat het recht van het derde land ten aanzien waarvan een adequaatheidsbesluit geldt, dient te voorzien in waarborgen tegen inmengingen van zijn overheidsinstanties in de grondrechten van de betrokkenen voor doeleinden van nationale veiligheid die in grote lijnen overeenkomen met de waarborgen zoals die voortvloeien uit de artikelen 7, 8 en 47 van het Handvest.(104)
225. Meer concreet volgt hieruit dat een nationale maatregel die aanbieders van elektronischecommunicatiediensten ertoe verplicht om een verzoek van de voor de nationale veiligheid bevoegde autoriteiten om toegang tot bepaalde gegevens die die aanbieders in het kader van hun commerciële activiteiten en zonder enige wettelijke verplichting hebben bewaard, in te willigen door de gevraagde gegevens te identificeren door middel van een voorafgaande filtering daarvan aan de hand van zoekopdrachten (zoals in het kader van het PRISM-programma), niet onder artikel 2, lid 2, AVG valt. Hetzelfde geldt voor een nationale maatregel die van ondernemingen die de „ruggengraat” van de telecommunicatie exploiteren, verlangt dat zij de met de nationale veiligheid belaste autoriteiten toegang verlenen tot gegevens die via de door hen geëxploiteerde infrastructuur passeren (zoals in het kader van het Upstream-programma).
226. Wanneer de betrokken gegevens daarentegen eenmaal in het bezit zijn van de overheidsinstanties, vallen het bewaren en het daaropvolgende gebruik ervan door deze instanties ten behoeve van de nationale veiligheid mijns inziens – om dezelfde redenen als die welke ik hierboven in punt 211 van deze conclusie heb genoemd – onder de uitzondering van artikel 2, lid 2, AVG, zodat zij niet binnen de werkingssfeer van deze verordening en dus ook niet van het Handvest vallen.
227. Op grond van het voorgaande ben ik van mening dat de toetsing van de geldigheid van het privacyschildbesluit, gelet op de beperkingen op de daarin opgenomen beginselen zoals die wellicht voortvloeien uit de activiteiten van de Amerikaanse inlichtingendiensten, een onderzoek in twee stappen vergt.
228. In de eerste plaats zal moeten worden onderzocht of het door de Verenigde Staten geboden niveau van bescherming tegen de beperkingen die voortvloeien uit de toepassing van section 702 FISA, voor zover deze bepaling de NSA toestaat om aanbieders ertoe te verplichten om persoonsgegevens tot zijn beschikking te stellen, in grote lijnen overeenkomt met het niveau dat door de AVG-bepalingen en het Handvest wordt geboden.
229. In de tweede plaats zullen de EVRM-bepalingen als het relevante referentiekader dienen bij de beantwoording van de vraag of de mogelijke beperkingen waartoe de toepassing van EO 12333 kan leiden, doordat het de inlichtingendiensten is toegestaan om zelf zonder medewerking van particuliere marktdeelnemers persoonsgegevens te verzamelen, afbreuk doen aan het passende karakter van het door de Verenigde Staten geboden beschermingsniveau. Deze bepalingen zullen tevens als vergelijkingsmaatstaf dienen bij de beoordeling van het passende karakter van dit beschermingsniveau tegen de achtergrond van het feit dat de door deze autoriteiten verworven gegevens worden bewaard en gebruikt ten behoeve van de nationale veiligheid.
230. Eerst moet echter nog worden bepaald of de vaststelling dat het geboden beschermingsniveau passend is, veronderstelt dat het verzamelen van gegevens krachtens EO 12333 gepaard gaat met een beschermingsniveau dat in grote lijnen overeenkomt met het niveau dat binnen de Unie moet worden gewaarborgd, zelfs wanneer het verzamelen buiten het grondgebied van de Verenigde Staten geschiedt, tijdens de fase van doorvoer van de gegevens vanuit de Unie naar dit derde land.
2) Noodzaak om een passend beschermingsniveau te verzekeren tijdens de fase van doorvoer van de gegevens
231. Voor het Hof zijn drie verschillende standpunten verdedigd met betrekking tot de noodzaak voor de Commissie om bij de beoordeling van het passende karakter van het in een derde land verzekerde beschermingsniveau al dan niet rekening te houden met nationale maatregelen betreffende de toegang tot de gegevens door de autoriteiten van dit derde land, buiten het eigen grondgebied, tijdens de fase van doorvoer van de gegevens vanuit de Unie naar dit grondgebied.
232. Ten eerste stellen Facebook Ireland en de regeringen van de Verenigde Staten en het Verenigd Koninkrijk in wezen dat het bestaan van dergelijke maatregelen niet van invloed is op de vaststelling of het geboden beschermingsniveau passend is. Ter onderbouwing van hun standpunt wijzen zij erop dat het voor een derde staat onmogelijk is om alle communicatiekanalen buiten zijn grondgebied waarlangs gegevens vanuit de Unie worden doorgevoerd, te controleren, zodat nimmer kan worden gegarandeerd dat een andere derde staat niet heimelijk gegevens verzamelt tijdens de doorvoer van die gegevens.
233. Ten tweede betogen de DPC, Schrems, het EPIC, de Oostenrijkse en de Nederlandse regering, het Parlement en de EDPB dat het in artikel 44 AVG geformuleerde vereiste van continuïteit van het beschermingsniveau impliceert dat dit niveau gedurende de gehele doorgifte passend dient te zijn, met inbegrip van de fase waarin de gegevens via onderzeese kabels passeren alvorens het grondgebied van het derde land van bestemming te bereiken.
234. Hoewel de Commissie dit beginsel erkent, stelt zij ten derde dat de vaststelling of het geboden beschermingsniveau passend is uitsluitend ziet op de bescherming die het betrokken derde land binnen zijn eigen grenzen verzekert, zodat de omstandigheid dat tijdens de doorvoer naar dit derde land geen passend beschermingsniveau is verzekerd, de geldigheid van een adequaatheidsbesluit niet aantast. Het is volgens artikel 32 AVG echter aan de verwerkingsverantwoordelijke om zorg te dragen voor een veilige doorgifte door de persoonsgegevens tijdens de doorvoer naar dit derde land zoveel mogelijk te beschermen.
235. Ik wijs er in dit verband op dat artikel 44 AVG de doorgifte naar een derde land afhankelijk stelt van de naleving van de voorwaarden zoals uiteengezet in de bepalingen van hoofdstuk V van deze verordening, voor zover de gegevens „na doorgifte” mogelijk worden verwerkt. Dit kan hetzij aldus worden opgevat dat aan deze voorwaarden moet worden voldaan wanneer de gegevens ter bestemming zijn aangekomen – zoals de regering van de Verenigde Staten in haar schriftelijke antwoord op de vragen van het Hof heeft gesteld –, hetzij aldus dat deze voorwaarden gelden zodra de doorgifte in gang is gezet (met inbegrip dus van de fase van doorvoer).
236. Aangezien de bewoordingen van artikel 44 AVG geen uitsluitsel bieden, noopt een teleologische uitlegging mij ertoe om voor de tweede uitlegging te kiezen, waarmee ik mij schaar achter de tweede benadering, zoals hierboven omschreven. Indien het in die bepaling geformuleerde vereiste van continuïteit van het beschermingsniveau geacht werd slechts te gelden voor surveillancemaatregelen die binnen het grondgebied van het derde land van bestemming worden toegepast, zou dit derde land dit vereiste immers kunnen omzeilen door dergelijke maatregelen buiten zijn grondgebied toe te passen tijdens de fase van doorvoer van de gegevens. Om dit risico uit te sluiten moet de beoordeling of het door een derde land geboden beschermingsniveau passend is zich uitstrekken tot alle bepalingen, met name op het gebied van de nationale veiligheid, van de rechtsorde van dit derde land(105), dus zowel de bepalingen met betrekking tot de surveillance op zijn eigen grondgebied als de bepalingen die de surveillance van gegevens tijdens de doorvoer ervan naar dit grondgebied toestaan.(106)
237. Niemand betwist echter dat, zoals door de EDPB is benadrukt, de beoordeling of het beschermingsniveau passend is uitsluitend betrekking heeft op de bepalingen van de rechtsorde van het derde land van bestemming van de gegevens, zoals uit artikel 45, lid 1, AVG volgt. De door Facebook Ireland en de regeringen van de Verenigde Staten en het Verenigd Koninkrijk gestelde onmogelijkheid om te waarborgen dat een andere derde staat deze gegevens niet heimelijk tijdens de fase van doorvoer verzamelt, doet hieraan niet af. Bovendien kan een dergelijk risico niet worden uitgesloten, ook niet nadat de gegevens in het derde land van bestemming zijn aangekomen.
238. Daarnaast is het eveneens waar dat de Commissie, wanneer zij het passende karakter van het door een derde land gewaarborgde beschermingsniveau beoordeelt, in voorkomend geval zou kunnen worden geconfronteerd met het verzuim van dit derde land om haar in kennis te stellen van het bestaan van bepaalde geheime surveillanceprogramma’s. Dit betekent echter niet dat de Commissie, wanneer zij in kennis wordt gesteld van dergelijke programma’s, deze buiten beschouwing mag laten wanneer zij het passende karakter van het beschermingsniveau onderzoekt. Zo ook is de Commissie, wanneer haar na de vaststelling van een adequaatheidsbesluit ter ore komt dat het betrokken derde land op zijn grondgebied of nog tijdens de doorvoer bepaalde geheime surveillanceprogramma’s implementeert, gehouden tot een heroverweging van haar eerdere vaststelling dat dit derde land een passend beschermingsniveau verzekert, indien die onthulling twijfel daaromtrent doet rijzen.(107)
3) Inaanmerkingneming van de feitelijke constateringen van de Commissie en de verwijzende rechter met betrekking tot het recht van de Verenigde Staten
239. Hoewel het vaststaat dat het Hof niet bevoegd is om het recht van een derde land op een in de rechtsorde van dat land bindende wijze uit te leggen, hangt de geldigheid van het privacyschildbesluit af van de juistheid van de beoordelingen door de Commissie met betrekking tot het door het recht en de praktijken van de Verenigde Staten verzekerde niveau van bescherming van de grondrechten van de personen wier gegevens naar dat derde land worden doorgegeven. De Commissie diende namelijk bij de motivering van de vaststelling van het passende karakter van het beschermingsniveau acht te slaan op de in artikel 45, lid 2, AVG genoemde aspecten, waaronder met name de inhoud van het recht van dat derde land.(108)
240. In zijn uitspraak van 3 oktober 2017 heeft de High Court, na de door de procespartijen overgelegde bewijsstukken te hebben beoordeeld, een gedetailleerde uiteenzetting van de door hem vastgestelde relevante aspecten van het Amerikaanse recht gegeven.(109) Deze uiteenzetting stemt in grote lijnen overeen met de constateringen die de Commissie in het privacyschildbesluit heeft gedaan met betrekking tot de inhoud van de voorschriften voor het verzamelen van en de toegang tot de doorgegeven gegevens door de Amerikaanse inlichtingendiensten en de in verband met deze activiteiten bestaande rechtsmiddelen en toezichtmechanismen.
241. De verwijzende rechter en sommige van de partijen en belanghebbenden die opmerkingen bij het Hof hebben ingediend, betwisten vooral de rechtsgevolgen die de Commissie aan deze constateringen heeft verbonden – namelijk de conclusie dat de Verenigde Staten een adequaat niveau van bescherming waarborgen van de grondrechten van de personen wier gegevens krachtens dit besluit worden doorgegeven – en niet haar beschrijving van de inhoud van het Amerikaanse recht.
242. Derhalve zal ik de geldigheid van het privacyschildbesluit voornamelijk beoordelen in het licht van de door de Commissie zelf gedane constateringen met betrekking tot de inhoud van het Amerikaanse recht en wel door te onderzoeken of deze constateringen de vaststelling van dit adequaatheidsbesluit rechtvaardigden.
243. In dit verband onderschrijf ik niet het door de DPC en Schrems verdedigde standpunt dat de door de High Court gedane constateringen met betrekking tot het recht van de Verenigde Staten het Hof binden in het kader van het onderzoek van de geldigheid van het privacyschildbesluit. Volgens hen is alleen de verwijzende rechter bevoegd om de inhoud van dat recht vast te stellen, omdat buitenlands recht een feitelijke vraag is krachtens het Ierse procesrecht.
244. Het is inderdaad vaste rechtspraak dat de verwijzende rechter als enige bevoegd is om de relevante feiten vast te stellen en om het recht van een lidstaat uit te leggen en toe te passen op het bij hem aanhangige geding.(110) Deze rechtspraak brengt de taakverdeling tussen het Hof en de verwijzende rechter in het kader van de bij artikel 267 VWEU ingestelde procedure tot uiting. Terwijl het Hof uitsluitend bevoegd is om het Unierecht uit te leggen en zich over de geldigheid van het afgeleide recht uit te spreken, staat het aan de nationale rechter, daartoe aangezocht in een concreet geschil, om de feitelijke en regelgevende context van dat geschil vast te stellen, zodat het Hof hem een nuttig antwoord kan geven.
245. Naar mijn mening kan de bestaansgrond van deze exclusieve bevoegdheid van de verwijzende rechter niet geacht worden ook te gelden voor de vaststelling van het recht van een derde land als een aspect dat mogelijkerwijs van invloed is op de conclusie van het Hof ten aanzien van de geldigheid van een handeling van afgeleid recht.(111) Aangezien de ongeldigverklaring van een dergelijke handeling erga omnes geldt in de rechtsorde van de Unie(112), kan de conclusie van het Hof niet afhangen van de oorsprong van de prejudiciële verwijzing. Zoals Facebook Ireland en de regering van de Verenigde Staten hebben onderstreept, zou dit echter wel het geval zijn indien het Hof gebonden was aan de constateringen van de verwijzende rechter met betrekking tot het recht van een derde staat, omdat deze constateringen kunnen variëren naargelang van de nationale rechter waarvan zij afkomstig zijn.
246. Gelet op deze overwegingen ben ik van mening dat wanneer het antwoord op een prejudiciële vraag over de geldigheid van een handeling van de Unie een beoordeling van de inhoud van het recht van een derde staat impliceert, het Hof niet gebonden is aan de constateringen van de verwijzende rechter met betrekking tot het recht van dit derde land, ofschoon het er wel rekening mee mag houden. In voorkomend geval kan het Hof hiervan afwijken of hierop een aanvulling geven door, met inachtneming van het beginsel van tegenspraak, andere bronnen in aanmerking te nemen bij de vaststelling van de elementen die noodzakelijk zijn ter beoordeling van de betrokken handeling.(113)
4) Reikwijdte van de maatstaf van „wezenlijke gelijkwaardigheid”
247. Ik herinner eraan dat de geldigheid van het privacyschildbesluit ervan afhangt of de rechtsorde van de Verenigde Staten aan personen wier gegevens vanuit de Unie naar dit derde land worden doorgegeven, een niveau van bescherming biedt dat in wezen gelijkwaardig is aan het niveau dat binnen de lidstaten wordt gewaarborgd krachtens de AVG en het Handvest en, op gebieden die buiten de werkingssfeer van het Unierecht vallen, krachtens hun verplichtingen uit hoofde van het EVRM.
248. Zoals het Hof in het arrest Schrems heeft onderstreept(114), betekent dit niet dat het beschermingsniveau „hetzelfde” moet zijn als het binnen de Unie vereiste niveau. De middelen waarmee een derde land de rechten van de betrokkenen beschermt, mogen afwijken van die welke binnen de Unie zijn vereist door de AVG, gelezen in samenhang met het Handvest, maar „deze middelen moeten in de praktijk niettemin doeltreffend genoeg blijken te zijn om een bescherming te bieden die in grote lijnen overeenkomt met die welke binnen de Unie wordt gewaarborgd”.
249. Naar mijn mening betekent dit ook dat het recht van de derde staat van bestemming zijn eigen waardenstelsel tot uiting mag brengen waardoor het respectieve gewicht van de verschillende in geding zijnde belangen kan verschillen van het gewicht dat daaraan in de rechtsorde van de Unie wordt toegekend. Overigens wordt een zeer hoge standaard gehanteerd voor het binnen de Unie vereiste niveau van bescherming van persoonsgegevens, vergeleken met het beschermingsniveau dat in de rest van de wereld geldt. Het criterium van de „wezenlijke gelijkwaardigheid” moet mijns inziens dan ook met een zekere soepelheid worden gehanteerd zodat recht wordt gedaan aan de verschillende juridische en culturele tradities. Niettemin impliceert dit criterium, wil het niet zinledig zijn, dat bepaalde minimale waarborgen en algemene vereisten van bescherming van de grondrechten zoals die uit het Handvest en het EVRM voortvloeien, hun pendant hebben in de rechtsorde van het derde land van bestemming.(115)
250. Zo moeten, overeenkomstig artikel 52, lid 1, van het Handvest, beperkingen op de uitoefening van de in dit Handvest erkende rechten en vrijheden bij wet worden gesteld en de wezenlijke inhoud van die rechten en vrijheden eerbiedigen. Met inachtneming van het evenredigheidsbeginsel kunnen alleen beperkingen worden gesteld indien zij noodzakelijk zijn en daadwerkelijk aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen beantwoorden. Deze vereisten komen in grote lijnen overeen met die van artikel 8, lid 2, EVRM.(116)
251. Volgens artikel 52, lid 3, van het Handvest geldt dat, voor zover de in de artikelen 7, 8 en 47 van het Handvest gegarandeerde rechten corresponderen met die van de artikelen 8 en 13 van het EVRM, de inhoud en reikwijdte ervan hetzelfde zijn, met dien verstande dat het recht van de Unie daaraan een ruimere bescherming kan toekennen. Vanuit die optiek zijn de maatstaven van de artikelen 7, 8 en 47 van het Handvest, zoals uitgelegd door het Hof, in bepaalde opzichten strenger dan die van artikel 8 EVRM volgens de uitlegging die het Europees Hof voor de Rechten van de Mens (hierna: „EHRM”) daaraan geeft, zoals ik hieronder zal aantonen.
252. Ik wijs er eveneens op dat bij elk van deze rechterlijke instanties zaken aanhangig zijn die nopen tot een herbezinning over bepaalde aspecten van hun respectieve rechtspraak. Enerzijds zijn twee recente arresten van het EHRM op het gebied van de surveillance van elektronische communicatie – te weten de arresten Centrüm för Rättvisa tegen Zweden(117) en Big Brother Watch tegen Verenigd Koninkrijk(118) – ter heroverweging verwezen naar de Grote kamer. Anderzijds hebben drie nationale rechters het Hof aangezocht in het kader van prejudiciële verwijzingen die het debat aanzwengelen over de vraag of de rechtspraak van het Hof zoals die volgt uit het arrest Tele2 Sverige(119) niet moet worden bijgesteld.
253. Na deze verduidelijking zal ik thans de geldigheid van het privacyschildbesluit toetsen aan artikel 45, lid 1, AVG, gelezen in samenhang met het Handvest en het EVRM, voor zover daarin enerzijds het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens [onder b)] en anderzijds het recht op een doeltreffende voorziening in rechte [onder c)] worden gegarandeerd.
b) Geldigheid van het privacyschildbesluit in het licht van het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens
254. Met zijn vierde vraag stelt de verwijzende rechter in wezen aan de orde of het door de Verenigde Staten verzekerde beschermingsniveau in grote lijnen overeenkomt met het niveau van bescherming dat de betrokkenen binnen de Unie ontlenen aan hun grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens.
1) Bestaan van inmengingen
255. In de overwegingen 67 tot en met 124 van het privacyschildbesluit maakt de Commissie gewag van de mogelijkheid dat de Amerikaanse overheidsinstanties toegang hebben tot gegevens die vanuit de Unie worden doorgegeven en deze gegevens gebruiken voor doeleinden van nationale veiligheid in het kader van met name programma’s die op section 702 FISA of EO 12333 gebaseerd zijn.
256. De uitvoering van deze programma’s impliceert inmengingen van de Amerikaanse inlichtingendiensten die, indien afkomstig van de autoriteiten van een lidstaat, zouden worden opgevat als een inmenging in de uitoefening van het recht op eerbiediging van het privéleven zoals gewaarborgd in artikel 7 van het Handvest en artikel 8 EVRM. Dit betekent ook dat de betrokkenen het risico lopen dat hun persoonsgegevens worden verwerkt in strijd met de vereisten van artikel 8 van het Handvest.(120)
257. Ik preciseer op voorhand dat het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens de bescherming omvatten van niet alleen de inhoud van de communicatie maar ook de locatie‑ en verkeersgegevens(121) (samen ook wel aangeduid als „metagegevens”). Zowel het Hof als het EHRM heeft namelijk erkend dat metagegevens, net als inhoudelijke gegevens, zeer nauwkeurige informatie kunnen opleveren over het privéleven van een individuele persoon.(122)
258. Volgens de rechtspraak van het Hof is het voor de vaststelling van een inmenging in de uitoefening van het door artikel 7 van het Handvest gewaarborgde recht van weinig belang of de betrokken gegevens al dan niet gevoelig zijn en of de betrokkenen door de surveillancemaatregel enig nadeel hebben ondervonden.(123)
259. In casu leiden de op section 702 FISA gebaseerde surveillanceprogramma’s in de eerste plaats tot inmengingen in de uitoefening van de grondrechten van personen wier communicatie overeenstemt met de door de NSA gehanteerde selectietermen en dus door de aanbieders van elektronischecommunicatiediensten wordt doorgegeven aan deze instantie.(124) Meer concreet vormt de op de aanbieders rustende verplichting om de gegevens ter beschikking van de NSA te stellen, voor zover deze verplichting afwijkt van het beginsel van de vertrouwelijkheid van communicatie(125), op zich reeds een inmenging, ook wanneer deze gegevens nadien niet door de inlichtingendiensten worden ingezien en gebruikt.(126) Het bewaren van en de daadwerkelijke toegang tot de ter beschikking gestelde meta‑ en inhoudelijke gegevens door die diensten vormen een aanvullende inmenging, evenals het gebruik ervan.(127)
260. Bovendien blijkt uit de constateringen van de verwijzende rechter(128) en andere bronnen, zoals het door de Amerikaanse regering aan het Hof meegedeelde rapport van de PCLOB over de programma’s die op grond van section 702 FISA zijn uitgevoerd(129), dat de NSA in het kader van het Upstream-programma ten behoeve van zijn filteringsactiviteiten reeds toegang had tot uitgebreide datapakketten die onderdeel zijn van de gegevensstromen die langs de ruggengraat van de telecommunicatie passeren en communicatie omvatten waarin de door de NSA gehanteerde selectietermen niet voorkomen. De NSA mag deze datapakketten slechts onderzoeken om snel en geautomatiseerd te bepalen of zij deze selectietermen bevatten. Alleen aldus gefilterde communicatie wordt vervolgens bewaard in de databases van de NSA. Ook deze toegang tot gegevens ten behoeve van de filtering ervan vormt naar mijn mening een inmenging in de uitoefening van het recht op eerbiediging van het privéleven van de betrokkenen, ongeacht het latere gebruik van de bewaarde gegevens.(130)
261. Bovendien vallen het ter beschikking stellen en de filtering van de betrokken gegevens(131), de toegang tot deze gegevens door de inlichtingendiensten, alsmede het eventuele bewaren, analyseren en gebruiken van die gegevens onder het begrip „verwerking” in de zin van artikel 4, punt 2, AVG en artikel 8, lid 2, van het Handvest. Deze verwerkingen moeten dus voldoen aan de vereisten van laatstgenoemde bepaling.(132)
262. Op haar beurt kan de surveillance krachtens EO 12333 impliceren dat de inlichtingendiensten rechtstreeks toegang tot de gegevens hebben tijdens de doorvoer ervan, hetgeen een inmenging in de uitoefening van het door artikel 8 EVRM gewaarborgde recht oplevert. Bovenop deze inmenging komt nog een inmenging in de vorm van het eventuele latere gebruik van die gegevens.
2) Bestaan van inmengingen die „bij wet [zijn] gesteld”
263. Op grond van de rechtspraak van het Hof(133) en het EHRM(134) houdt het vereiste dat elke inmenging in de uitoefening van de grondrechten „bij wet [moet] worden gesteld” in de zin van artikel 52, lid 1, van het Handvest en artikel 8, lid 2, EVRM, niet alleen in dat de maatregel die in de inmenging voorziet, een wettelijke grondslag in het nationale recht moet hebben maar ook dat deze wettelijke grondslag moet voldoen aan bepaalde vereisten van toegankelijkheid en voorzienbaarheid om het risico van willekeur uit te sluiten.
264. In dit verband verschillen de partijen en de belanghebbenden die opmerkingen bij het Hof hebben ingediend vooral van mening over de vraag of section 702 FISA en EO 12333 voldoen aan de voorwaarde dat de wet voorzienbaar moet zijn.
265. Deze voorwaarde, zoals uitgelegd door het Hof(135) en het EHRM(136), vereist dat een regeling die een inmenging in de uitoefening van het recht op eerbiediging van het privéleven met zich brengt, duidelijke en nauwkeurige regels betreffende de draagwijdte en de toepassing van de betrokken maatregel bevat die minimale vereisten opleggen, zodat de betrokkenen over voldoende garanties beschikken dat hun gegevens worden beschermd tegen het risico van misbruik alsook tegen elke onrechtmatige toegang tot en elk onrechtmatig gebruik van deze gegevens. Deze regels moeten met name aangeven in welke omstandigheden en onder welke voorwaarden overheidsinstanties persoonsgegevens mogen bewaren en gebruiken en er toegang toe mogen hebben.(137) Daarnaast moet de wettelijke grondslag die de inmenging toestaat zelf de draagwijdte van de beperking op de uitoefening van het recht op eerbiediging van het privéleven bepalen.(138)
266. Met Schrems en het EPIC betwijfel ik of EO 12333 – en hetzelfde geldt voor PPD 28, waarin de garanties worden opgesomd die voor alle inlichtingenactiviteiten op het gebied van berichtenverkeer gelden(139) – voldoende voorzienbaar is om als „wet” te kunnen worden beschouwd.
267. Deze instrumenten vermelden uitdrukkelijk dat zij de betrokkenen geen rechten toekennen die juridisch afdwingbaar zijn.(140) De betrokkenen kunnen de garanties van PPD 28 dus niet voor de rechter inroepen.(141) Bovendien heeft de Commissie in het privacyschildbesluit geoordeeld dat de garanties in deze presidentiële richtlijn weliswaar bindend zijn voor de inlichtingendiensten(142), doch „[z]onder [dat zij] juridisch geformuleerd […] zijn”(143). EO 12333 en PPD 28 lijken veeleer interne administratieve instructies te zijn die door de president van de Verenigde Staten kunnen worden ingetrokken of gewijzigd. Het EHRM heeft reeds uitgemaakt dat interne administratieve instructies niet als „wet” kunnen worden gekwalificeerd.(144)
268. Wat section 702 FISA betreft, betwist Schrems de voorzienbaarheid van deze bepaling omdat de keuze van de selectiecriteria die voor de filtering van gegevens zullen worden gehanteerd niet met voldoende waarborgen tegen risico’s van misbruik is omkleed. Aangezien dit vraagstuk tevens verband houdt met het strikt noodzakelijke karakter van de in section 702 FISA bedoelde inmengingen, zal ik dit verderop in mijn betoog bespreken.(145)
269. De derde prejudiciële vraag overlapt de vraag of is voldaan aan de voorwaarde dat inmengingen bij „wet” zijn gesteld. Met deze vraag wil de verwijzende rechter in wezen vernemen of het passende karakter van het in een derde land gewaarborgde beschermingsniveau uitsluitend moet worden onderzocht aan de hand van de juridisch bindende regels die in dat derde land van kracht zijn en de praktijken die tot doel hebben de naleving van die regels te waarborgen, of ook aan de hand van de diverse niet-bindende instrumenten en buitengerechtelijke controlemechanismen die dat land kent.
270. Dienaangaande bevat artikel 45, lid 2, onder a), AVG een niet-uitputtende lijst van aspecten waarmee de Commissie rekening moet houden bij de beoordeling of een derde land een passend beschermingsniveau biedt. Hieronder valt ook de geldende wetgeving en de wijze waarop deze wetgeving wordt toegepast. Deze bepaling laat ook de impact van andere soorten regels, zoals beroepsregels en veiligheidsmaatregelen, niet onvermeld. Daarnaast schrijft zij voor dat rekening wordt gehouden met het bestaan van „effectieve en afdwingbare rechten” en „effectieve mogelijkheden om administratief beroep of beroep in rechte in te stellen voor betrokkenen wier persoonsgegevens worden doorgegeven”.(146)
271. In haar geheel gelezen en gelet op het niet-uitputtende karakter van de erin opgenomen lijst impliceert deze bepaling volgens mij dat bij de algehele beoordeling of het betrokken derde land een passend beschermingsniveau biedt, rekening mag worden gehouden met praktijken en regelingen die niet op een toegankelijke en voorzienbare wettelijke grondslag zijn gebaseerd, als ondersteuning van waarborgen die zelf wel zijn gebaseerd op een juridische grondslag met deze kenmerken. Daarentegen kunnen dergelijke praktijken of regelingen, zoals de DPC, Schrems, de Oostenrijkse regering en de EDPB betogen, die waarborgen niet vervangen en dus niet zelf het vereiste beschermingsniveau verzekeren.
3) Geen aantasting van de wezenlijke inhoud van de grondrechten
272. Het in artikel 52, lid 1, van het Handvest geformuleerde vereiste dat elke beperking van de door het Handvest gewaarborgde rechten of vrijheden de wezenlijke inhoud daarvan moet eerbiedigen, betekent dat wanneer een inmenging inbreuk op die rechten of vrijheden maakt, dit door geen enkel legitiem doel kan worden gerechtvaardigd. De inmenging wordt dan geacht in strijd met het Handvest te zijn, zonder dat hoeft te worden onderzocht of zij geschikt en noodzakelijk is om het nagestreefde doel te bereiken.
273. Het Hof heeft in dit verband geoordeeld dat een nationale regeling op grond waarvan de autoriteiten algemeen toegang kunnen krijgen tot de inhoud van elektronische communicatie, een aantasting van de wezenlijke inhoud van het door artikel 7 van het Handvest gewaarborgde recht op eerbiediging van het privéleven vormt.(147) Daarentegen heeft het Hof geoordeeld – ofschoon het wel de risico’s verbonden met de toegang tot en de analyse van verkeers‑ en locatiegegevens benadrukte(148) – dat de wezenlijke inhoud van dit recht niet wordt aangetast door een nationale regeling die de overheidsinstanties algemeen toegang tot deze gegevens geeft.(149)
274. Section 702 FISA kan mijns inziens niet worden geacht de Amerikaanse inlichtingendiensten de bevoegdheid te verlenen om op algemene wijze toegang te krijgen tot de inhoud van elektronische communicatie.
275. Ten eerste geldt krachtens section 702 FISA dat de toegang van de inlichtingendiensten tot de gegevens met het oog op de eventuele analyse en het eventuele gebruik ervan beperkt is tot gegevens die beantwoorden aan selectiecriteria die aan individuele doelwitten zijn gekoppeld.
276. Ten tweede zou het Upstream-programma inderdaad tot een algemene toegang tot de inhoud van elektronische communicatie ten behoeve van de geautomatiseerde filtering ervan kunnen leiden, indien selectietermen niet alleen werden toegepast op de velden „van” en „naar”, maar ook op de volledige inhoud van de communicatiestromen (zoekopdracht „over” de selectieterm)(150), maar zoals de Commissie – in tegenstelling tot Schrems en het EPIC – betoogt, kan de tijdelijke toegang van inlichtingendiensten tot de volledige inhoud van elektronische communicatie met als enige doel om deze te filteren aan de hand van selectiecriteria niet op één lijn worden gesteld met een algemene toegang tot deze inhoud.(151) De inmenging die uit deze, in de tijd beperkte toegang ten behoeve van geautomatiseerde filtering voortvloeit, is naar mijn mening van minder ernstige aard dan de inmenging die voortvloeit uit een algemene toegang van overheidsinstanties tot deze inhoud met als doel om deze inhoud te analyseren en eventueel te gebruiken.(152) De tijdelijke toegang ten behoeve van filtering stelt deze instanties niet in staat om metagegevens of inhoud van communicatie die niet aan de selectiecriteria voldoen, te bewaren en met name niet om, zoals de Amerikaanse regering heeft opgemerkt, profielen op te stellen van individuele personen waarop deze criteria niet doelen.
277. Tegen deze achtergrond hangt het antwoord op de vraag of het doelgericht zoeken aan de hand van selectietermen in het kader van de op section 702 FISA gebaseerde programma’s de bevoegdheden van inlichtingendiensten effectief beperkt, af van de afbakening van de keuze van de selectietermen.(153) Schrems stelt in dit verband dat het Amerikaanse recht, bij gebreke van voldoende toezicht, niet waarborgt dat er niet reeds in het stadium van de filtering sprake is van algemene toegang tot de inhoud van de communicatie, zodat de wezenlijke inhoud van het recht op eerbiediging van het privéleven van de betrokken personen wordt aangetast.
278. Zoals ik hieronder meer uitvoerig zal uiteenzetten(154), neig ook ik ertoe om te betwijfelen of de keuze van de selectietermen voldoende is afgebakend opdat is voldaan aan de criteria van voorzienbaarheid en evenredigheid van de inmengingen. Het bestaan van deze afbakening, hoe imperfect ook, verzet zich echter tegen de conclusie dat section 702 FISA overheidsinstanties algemeen toegang geeft tot de inhoud van elektronische communicatie en dus de wezenlijke inhoud van het door artikel 7 van het Handvest gewaarborgde recht aantast.
279. Ik benadruk eveneens dat het Hof zich in advies 1/15 op het standpunt heeft gesteld dat de wezenlijke inhoud van het door artikel 8 van het Handvest gewaarborgde recht op bescherming van persoonsgegevens onaangetast blijft wanneer de doeleinden van de verwerking zijn afgebakend en de verwerking vergezeld gaat van regels die met name de beveiliging, de vertrouwelijkheid en de integriteit van de gegevens moeten verzekeren en deze gegevens moeten beschermen tegen onrechtmatige toegang en verwerking.(155)
280. In het privacyschildbesluit heeft de Commissie geconstateerd dat zowel section 702 FISA als PPD 28 de doeleinden afbakent waarvoor gegevens mogen worden verzameld in het kader van programma’s die op basis van section 702 FISA worden uitgevoerd.(156) In dat besluit heeft zij er eveneens op gewezen dat PPD 28 regels bevat voor de toegang tot de gegevens en voor de opslag en verspreiding daarvan, teneinde de beveiliging van die gegevens te verzekeren en te voorkomen dat niet-toegestane toegang plaatsvindt.(157) Zoals uit het vervolg van mijn uiteenzetting zal blijken(158), betwijfel ik in het bijzonder of de doeleinden van de betrokken verwerkingen voldoende duidelijk en gedetailleerd zijn omschreven om een beschermingsniveau te waarborgen dat in grote lijnen overeenkomt met het beschermingsniveau dat in de rechtsorde van de Unie geldt. Deze mogelijke tekortkomingen wettigen in mijn ogen echter niet de conclusie dat dergelijke programma’s de wezenlijke inhoud van het recht op bescherming van persoonsgegevens zouden aantasten indien zij binnen de Unie werden uitgevoerd.
281. Bovendien herinner ik eraan dat het passende karakter van het beschermingsniveau dat in het kader van op EO 12333 gebaseerde surveillance-activiteiten wordt verzekerd, moet worden getoetst aan de EVRM-bepalingen. In dit verband volgt uit het privacyschildbesluit dat de enige beperkingen die worden gesteld aan de uitvoering van op EO 12333 gebaseerde maatregelen om gegevens over niet-Amerikanen te verzamelen, de beperkingen krachtens PPD 28 zijn.(159) Deze presidentiële richtlijn bepaalt dat het gebruik van buitenlandse inlichtingen „zo specifiek als haalbaar” moet zijn, maar vermeldt uitdrukkelijk de mogelijkheid om gegevens „bulksgewijs” te verzamelen buiten het Amerikaanse grondgebied teneinde bepaalde specifieke doeleinden van nationale veiligheid te verwezenlijken.(160) Volgens Schrems beschermen de bepalingen van PPD 28, die overigens geen rechten voor individuen schept, de betrokkenen niet tegen het risico van algemene toegang tot de inhoud van hun elektronische communicatie.
282. Ik volsta hier met de opmerking dat het EHRM in zijn rechtspraak over artikel 8 EVRM nergens het begrip „aantasting” van de wezenlijke inhoud of het wezen van het recht op eerbiediging van het privéleven heeft gehanteerd.(161) Tot op heden heeft deze rechterlijke instantie niet geoordeeld dat regelingen die toestaan dat elektronische communicatie wordt onderschept, ook niet als dit massaal geschiedt, als zodanig de beoordelingsmarge van de lidstaten overschrijden. Het EHRM acht dergelijke regelingen verenigbaar met artikel 8, lid 2, EVRM mits zij vergezeld gaan van een aantal minimumwaarborgen.(162) In deze omstandigheden lijkt het mij niet gepast om te concluderen dat een surveillanceregeling als bedoeld in EO 12333 de beoordelingsmarge van de lidstaten zou overschrijden, zonder dat wordt onderzocht met welke waarborgen die eventueel gepaard gaat.
4) Nastreven van een legitieme doelstelling
283. Volgens artikel 52, lid 1, van het Handvest moet elke beperking op de uitoefening van de in dit Handvest erkende rechten daadwerkelijk beantwoorden aan een door de Unie erkende doelstelling van algemeen belang. Artikel 8, lid 2, van het Handvest bepaalt voorts dat de verwerking van persoonsgegevens zonder toestemming van de betrokkene enkel mag geschieden op basis van een „gerechtvaardigde grondslag waarin de wet voorziet”. Op zijn beurt somt artikel 8, lid 2, EVRM op welke doelstellingen een inmenging in de uitoefening van het recht op eerbiediging van het privéleven kunnen rechtvaardigen.
284. Krachtens het privacyschildbesluit kan het onderschrijven van de daarin opgenomen beginselen worden beperkt om te voldoen aan verplichtingen in verband met de nationale veiligheid, het algemeen belang en de naleving van de wetgeving.(163) In de overwegingen 67 tot en met 124 van dit besluit worden meer specifiek de beperkingen onderzocht die voortvloeien uit de toegang tot de gegevens en het gebruik daarvan door Amerikaanse overheidsinstanties voor doeleinden van nationale veiligheid.
285. Vast staat dat de bescherming van de nationale veiligheid een legitieme doelstelling is die een afwijking van de vereisten van de AVG(164) en van de in de artikelen 7 en 8 van het Handvest evenals artikel 8, lid 2, EVRM verankerde grondrechten kan rechtvaardigen.(165) Schrems, de Oostenrijkse regering en het EPIC merken evenwel op dat de doelstellingen die met de op section 702 FISA en EO 12333 gebaseerde programma’s worden nagestreefd, verder reiken dan alleen de nationale veiligheid. Deze instrumenten hebben namelijk tot doel om „buitenlandse inlichtingen” te verkrijgen, een begrip dat verschillende soorten informatie omvat, waaronder ook doch niet noodzakelijk uitsluitend informatie in verband met de nationale veiligheid.(166) Zo vallen gegevens betreffende het voeren van het buitenlandbeleid onder het begrip „buitenlandse inlichtingen” in de zin van section 702 FISA.(167) Op zijn beurt omschrijft EO 12333 dit begrip als informatie over de capaciteit, intenties of activiteiten van buitenlandse regeringen, organisaties of personen.(168) Schrems betwist de legitimiteit van deze doelstelling, omdat zij het kader van de nationale veiligheid te buiten zou gaan.
286. In mijn ogen kan de bescherming van belangen die verband houden met het voeren van het buitenlandbeleid in zekere mate ook onder de noemer van de nationale veiligheid vallen.(169) Daarnaast acht ik het niet ondenkbaar dat sommige van de doelstellingen die onder het begrip „buitenlandse inlichtingen” in de zin van section 702 FISA en EO 12333 vallen en geen betrekking hebben op de bescherming van de nationale veiligheid, belangrijke doelstellingen van algemeen belang zijn die een inmenging kunnen rechtvaardigen in de uitoefening van de grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens. Deze doelstellingen wegen hoe dan ook minder zwaar dan de doelstelling van bescherming van de nationale veiligheid bij de afweging van de grondrechten van de betrokkenen tegen het doel dat met de inmenging wordt nagestreefd.(170)
287. Daarnaast vereist artikel 52, lid 1, van het Handvest echter ook nog dat de nationale veiligheid of een ander legitiem doel daadwerkelijk wordt nagestreefd door de maatregelen die in de betrokken inmengingen voorzien.(171) Verder moeten de doelstellingen van de inmengingen zodanig worden geformuleerd dat zij aan de vereisten van duidelijkheid en nauwkeurigheid voldoen.(172)
288. Volgens Schrems is de doelstelling van de in section 702 FISA en EO 12333 bedoelde surveillancemaatregelen niet voldoende nauwkeurig omschreven om de garanties van voorzienbaarheid en evenredigheid in acht te nemen. Dit komt vooral omdat deze instrumenten het begrip „buitenlandse inlichtingen” bijzonder ruim omschrijven. Bovendien heeft de Commissie in overweging 109 van het privacyschildbesluit vastgesteld dat section 702 FISA vereist dat het verkrijgen van informatie op het gebied van buitenlandse inlichtingen een „significant doel” van de verwerving is, zonder dat deze formulering a priori uitsluit, zoals door het EPIC is opgemerkt, dat andere, niet nader omschreven doelstellingen worden nagestreefd.
289. Om deze redenen kan men zich afvragen – zonder dat het uitgesloten is dat de surveillancemaatregelen krachtens section 702 FISA of EO 12333 legitieme doeleinden nastreven – of die maatregelen voldoende duidelijk en nauwkeurig zijn omschreven om het risico van misbruik te voorkomen en om te kunnen toetsen of de daaruit voortvloeiende inmengingen evenredig zijn.(173)
5) Noodzakelijkheid en evenredigheid van de inmengingen
290. Het Hof heeft herhaaldelijk onderstreept dat de in de artikelen 7 en 8 van het Handvest verankerde rechten geen absolute gelding hebben maar moeten worden beschouwd in relatie tot hun functie in de samenleving en overeenkomstig het evenredigheidsbeginsel moeten worden afgewogen tegen andere grondrechten.(174) Zoals Facebook Ireland heeft benadrukt, valt onder deze andere rechten ook het door artikel 6 van het Handvest gewaarborgde recht op veiligheid.
291. In dit verband is het eveneens vaste rechtspraak dat elke inmenging in de uitoefening van de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten aan een strenge evenredigheidstoets wordt onderworpen.(175)
292. In het bijzonder volgt uit het arrest Schrems dat „[n]iet beperkt tot het strikt noodzakelijke […] een regeling [is] die algemeen toestaat dat alle persoonsgegevens […] worden bewaard, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel en zonder dat wordt voorzien in een objectief criterium ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan voor specifieke doeleinden, die strikt beperkt zijn en als rechtvaardiging kunnen dienen voor de inmenging als gevolg van zowel de toegang tot als het gebruik van deze gegevens”(176).
293. Het Hof heeft eveneens geoordeeld dat de toegang, behalve in naar behoren gerechtvaardigde gevallen van spoedeisendheid, moet worden onderworpen aan een voorafgaande controle door hetzij een rechterlijke instantie, hetzij een onafhankelijke bestuurlijke entiteit, wier beslissing ertoe strekt om de toegang tot de gegevens en het gebruik ervan te beperken tot hetgeen strikt noodzakelijk is voor de verwezenlijking van het nagestreefde doel.(177)
294. Thans somt artikel 23, lid 2, AVG een reeks garanties op waarin een lidstaat moet voorzien wanneer hij afwijkt van de bepalingen van deze verordening. De regeling die een dergelijke afwijking toestaat, moet bepalingen bevatten inzake onder meer de doelstellingen van de verwerking, het toepassingsgebied van de afwijking, de waarborgen ter voorkoming van misbruik, de opslagperioden en het recht van betrokkenen om van de afwijking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel daarvan.
295. In casu stelt Schrems dat section 702 FISA onvoldoende waarborgen biedt tegen de risico’s van misbruik en onrechtmatige toegang tot de gegevens. Met name is de keuze van de selectiecriteria onvoldoende afgebakend, zodat deze bepaling geen verzekeringen biedt tegen een algemene toegang tot de inhoud van de communicatie.
296. De regering van de Verenigde Staten en de Commissie betogen daarentegen dat section 702 FISA de keuze van de selectietermen beperkt door middel van objectieve criteria, aangezien deze bepaling het verzamelen van elektronischecommunicatiegegevens van niet-Amerikaanse personen buiten de Verenigde Staten uitsluitend toestaat om buitenlandse inlichtingen te verkrijgen.
297. Ik betwijfel of deze criteria voldoende duidelijk en nauwkeurig zijn en of er sprake is van voldoende waarborgen om risico’s van misbruik te voorkomen.
298. Om te beginnen wordt in overweging 109 van het privacyschildbesluit aangegeven dat de selectietermen voorafgaand aan de toepassing ervan niet individueel worden goedgekeurd door de FISC of een ander onafhankelijk rechterlijk of administratief orgaan. De Commissie heeft in dat besluit geconstateerd dat de FISC „geen toestemming [geeft] voor individuele surveillancemaatregelen [maar] in plaats daarvan toestemming voor surveillanceprogramma’s […] op basis van jaarlijkse certificeringen”, hetgeen de regering van de Verenigde Staten ten overstaan van het Hof heeft bevestigd. Volgens deze overweging „bevatten de door de FISC goed te keuren certificeringen geen informatie over de individuele personen die het doelwit moeten worden, maar bepalen ze in plaats daarvan categorieën buitenlandse inlichtingen” die kunnen worden verzameld. De Commissie stelt eveneens vast dat „[de] FISC […] niet – op grond van een redelijk vermoeden of een andere norm – [beoordeelt] of natuurlijke personen het juiste doelwit zijn om buitenlandse inlichtingen te verwerven”, ofschoon het wel de voorwaarde controleert dat „het verkrijgen van buitenlandse inlichtingen een significant doel van de verwerving is”.
299. Verder staat in deze overweging dat de NSA op grond van section 702 FISA alleen communicatie mag verzamelen „als redelijkerwijs kan worden aangenomen dat een bepaald communicatiemiddel wordt gebruikt voor de doorgifte van buitenlandse inlichtingen”. Volgens overweging 70 van het privacyschildbesluit vindt de bepaling van de selectietermen plaats binnen het nationaal kader voor de prioriteiten op het gebied van inlichtingen (National Intelligence Priorities Framework; NIPF). Dit besluit behelst geen vereisten voor de NSA om de keuze van de selectietermen nader te motiveren of te rechtvaardigen in het licht van deze administratieve prioriteiten.(178)
300. Ten slotte verwijst overweging 71 van het privacyschildbesluit naar het in PPD 28 geformuleerde vereiste dat het verzamelen van buitenlandse inlichtingen altijd „zo specifiek als haalbaar” is. Afgezien van het feit dat deze presidentiële richtlijn geen rechten voor individuen schept, lijkt het mij allesbehalve vanzelfsprekend dat het criterium dat een activiteit „zo specifiek als haalbaar” moet zijn, in grote lijnen overeenkomt met het criterium van de „strikte noodzaak” zoals dat in artikel 52, lid 1, van het Handvest wordt gehanteerd met het oog op de rechtvaardiging van een inmenging in de uitoefening van de door de artikelen 7 en 8 ervan gewaarborgde rechten.(179)
301. Gelet op deze overwegingen is het op grond van de in het privacyschildbesluit uiteengezette elementen niet zeker of de op section 702 FISA gebaseerde surveillancemaatregelen gepaard gaan met waarborgen met betrekking tot de beperking van de personen die aan een surveillancemaatregel kunnen worden onderworpen en de beperking van de doeleinden waarvoor gegevens mogen worden verzameld die in grote lijnen overeenkomen met de waarborgen die vereist zijn krachtens de AVG, gelezen in samenhang met de artikelen 7 en 8 van het Handvest.(180)
302. Bovendien kent het EHRM de lidstaten in het kader van de beoordeling van het passende karakter van het beschermingsniveau waarmee de surveillance krachtens EO 12333 gepaard gaat, een ruime beoordelingsmarge toe bij de keuze van de middelen om hun nationale veiligheid te beschermen, zij dat deze marge beperkt wordt door het vereiste om te voorzien in passende en toereikende waarborgen tegen misbruik.(181) In zijn rechtspraak over geheime surveillancemaatregelen onderzoekt het EHRM of het interne recht waarop deze maatregelen zijn gebaseerd, zodanig toereikende en doeltreffende waarborgen en beschermingsmechanismen biedt dat daarmee wordt voldaan aan de vereisten van „voorzienbaarheid” en „noodzakelijkheid” in een democratische samenleving.(182)
303. Het EHRM somt in dit verband een aantal minimumwaarborgen op. Deze betreffen de duidelijke omschrijving van de aard van de vergrijpen die aanleiding kunnen geven tot een interceptiebevel, de definitie van de categorieën personen waarvan de communicatie mag worden onderschept, de begrenzing van de uitvoeringsduur van de maatregel, de procedure die moet worden gevolgd voor de inzage, verwerking en opslag van de verzamelde gegevens, de voorzorgsmaatregelen die in acht moeten worden genomen bij het doorgeven van de gegevens aan andere partijen en de omstandigheden waarin de verzamelde gegevens gewist of vernietigd mogen of moeten worden.(183)
304. Of de waarborgen waarmee de inmenging gepaard gaat, passend en doeltreffend zijn hangt af van de omstandigheden van het geval, daaronder begrepen de aard, de omvang en de duur van de maatregelen, de redenen op grond waarvan deze maatregelen mogen worden gelast, de autoriteiten die bevoegd zijn om de maatregelen toe te staan, uit te voeren en daarop toe te zien, en het type rechtsmiddelen waarin het nationale recht voorziet.(184)
305. Om te beoordelen of een geheime surveillancemaatregel gerechtvaardigd is, houdt het EHRM met name rekening met alle vormen van toezicht die worden uitgeoefend „wanneer de maatregel wordt gelast”, „terwijl de surveillance plaatsvindt” en „nadat de surveillance is gestaakt”.(185) Wat het eerste van deze drie stadia betreft, verlangt het EHRM dat een dergelijke maatregel wordt toegestaan door een onafhankelijk orgaan. Ofschoon de rechterlijke macht volgens het EHRM de beste garanties biedt voor onafhankelijkheid, onpartijdigheid en een regelmatige procesgang, hoeft het betrokken orgaan niet per se deel uit te maken van het gerechtelijk apparaat.(186) Een grondige rechterlijke toetsing in een later stadium kan eventuele tekortkomingen in de machtigingsprocedure compenseren.(187)
306. In casu blijkt uit het privacyschildbesluit dat de enige waarborgen ter beperking van het verzamelen en gebruiken van gegevens buiten het grondgebied van de Verenigde Staten worden geboden door PPD 28, omdat section 702 FISA buiten dit grondgebied niet van toepassing is. Ik ben er niet van overtuigd dat deze waarborgen volstaan om te voldoen aan de voorwaarden van „voorzienbaarheid” en „noodzakelijkheid in een democratische samenleving”.
307. Om te beginnen heb ik reeds opgemerkt dat deze presidentiële richtlijn geen rechten voor individuen schept. Verder betwijfel ik of het vereiste dat de surveillance „zo specifiek als haalbaar” is, in voldoende duidelijke en nauwkeurige bewoordingen is gesteld om de betrokkenen adequaat te beschermen tegen het risico van misbruik.(188) Tot slot wordt in het privacyschildbesluit niet vastgesteld dat de surveillance op basis van EO 12333 is onderworpen aan voorafgaand toezicht door een onafhankelijk orgaan of aan rechterlijke toetsing achteraf.(189)
308. In deze omstandigheden heb ik vraagtekens bij de juistheid van de constatering dat de Verenigde Staten in het kader van de activiteiten van hun inlichtingendiensten krachtens section 702 FISA en EO 12333 een passend beschermingsniveau verzekeren in de zin van artikel 45, lid 1, AVG, gelezen in samenhang met de artikelen 7 en 8 van het Handvest en artikel 8 EVRM.
c) Geldigheid van het privacyschildbesluit in het licht van het recht op een doeltreffende voorziening in rechte
309. Met de vijfde prejudiciële vraag wordt het Hof verzocht te bepalen of personen wier gegevens naar de Verenigde Staten worden doorgegeven, aldaar rechtsbescherming genieten die in wezen gelijkwaardig is aan die welke binnen de Unie moet worden verzekerd krachtens artikel 47 van het Handvest. Met zijn tiende vraag wil de verwijzende rechter in wezen vernemen of de vijfde vraag bevestigend moet worden beantwoord als gevolg van de instelling bij het privacyschildbesluit van het ombudsmanmechanisme.
310. Ik stel vooraf vast dat de Commissie in overweging 115 van het privacyschildbesluit erkent dat het Amerikaanse rechtsstelsel lacunes bevat op het gebied van de rechtsbescherming van individuele personen.
311. Ten eerste worden volgens deze overweging „ten minste enkele rechtsgrondslagen waarop de Amerikaanse inlichtingendiensten zich kunnen baseren (bv. EO 12333), niet […] bestreken” door de gerechtelijke verhaalsmogelijkheden. EO 12333 en PPD 28 kennen namelijk geen rechten toe aan de betrokkenen en kunnen door hen niet voor de rechter worden ingeroepen. Een doeltreffende rechtsbescherming veronderstelt echter op mijn minst dat particulieren over rechten beschikken die zij in rechte kunnen inroepen.
312. Ten tweede „bestaan er weliswaar in beginsel gerechtelijke verhaalsmogelijkheden voor niet-Amerikanen, zoals voor surveillance op grond van de FISA, maar [zijn] de mogelijke gronden […] beperkt […] en [zullen] vorderingen […]niet-ontvankelijk worden verklaard wanneer zij geen ‚status’ kunnen aantonen […], waardoor de toegang tot gewone rechterlijke instanties wordt beperkt”.
313. Blijkens de overwegingen 116 tot en met 124 van het privacyschildbesluit is de instelling van de ombudsman bedoeld om deze beperkingen te compenseren. De Commissie concludeert in overweging 139 van dit besluit dat, „als geheel genomen, de toezichts‑ en verhaalsmechanismen waarin het privacyschild voorziet, […] de betrokkene rechtsmiddelen bieden om toegang te krijgen tot de hem betreffende persoonsgegevens en, uiteindelijk, om deze gegevens te laten corrigeren of wissen” (cursivering van mij).
314. Onder verwijzing naar de algemene beginselen uit de rechtspraak van het Hof en het EHRM over het beroepsrecht tegen maatregelen tot surveillance van communicatie, zal ik onderzoeken of de in het privacyschildbesluit beschreven beroepsgangen waarin het Amerikaanse recht voorziet, een adequate rechtsbescherming van de betrokken personen verzekeren [afdeling 1)]. Vervolgens zal ik bezien of de invoering van het buitengerechtelijke mechanisme van de ombudsman in voorkomend geval volstaat om eventuele lacunes in de rechtsbescherming van deze personen te compenseren [afdeling 2)].
1) Doeltreffendheid van de beroepsgangen waarin het Amerikaanse recht voorziet
315. In de eerste plaats heeft krachtens artikel 47, eerste alinea, van het Handvest eenieder wiens door het recht van de Unie gewaarborgde rechten en vrijheden zijn geschonden, recht op een doeltreffende voorziening in rechte.(190) Volgens de tweede alinea van dit artikel heeft eenieder recht op een eerlijke en openbare behandeling van zijn zaak.(191) De toegang tot een onafhankelijke rechter vormt de kern van het door artikel 47 van het Handvest gewaarborgde recht.(192)
316. Dit recht op individuele rechtsbescherming geldt naast de verplichting die krachtens de artikelen 7 en 8 van het Handvest op de lidstaten rust om elke surveillancemaatregel, behoudens in naar behoren gerechtvaardigde gevallen van spoedeisendheid, te onderwerpen aan een voorafgaande controle door een rechterlijke instantie of een onafhankelijke administratieve autoriteit.(193)
317. Weliswaar is het recht op een doeltreffende voorziening in rechte geen absolute garantie, zoals de Duitse en de Franse regering hebben betoogd(194), omdat dit recht om redenen van nationale veiligheid kan worden beperkt, doch dit neemt niet weg dat hiervan slechts mag worden afgeweken voor zover de wezenlijke inhoud van dit recht niet wordt aangetast en voor zover de afwijking strikt noodzakelijk is om een legitiem doel te verwezenlijken.
318. Dienaangaande heeft het Hof in het arrest Schrems geoordeeld dat een regeling die niet in enige beroepsmogelijkheid voor de justitiabele voorziet om toegang tot de hem betreffende persoonsgegevens te verkrijgen, dan wel rectificatie of verwijdering van die gegevens, de wezenlijke inhoud van het in artikel 47 van het Handvest verankerde grondrecht aantast.(195)
319. Ik onderstreep dat dit recht van inzage inhoudt dat een persoon de mogelijkheid heeft om, behoudens afwijkingen die strikt noodzakelijk zijn om een legitiem belang na te streven, van de overheidsinstanties uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens.(196) Naar mijn mening is dit de praktische strekking van het recht van inzage wanneer de betrokkene niet weet of de overheidsinstanties hem betreffende persoonsgegevens hebben bewaard na afloop van, onder meer, een proces van automatische filtering van elektronischecommunicatiestromen.
320. Bovendien volgt uit de rechtspraak dat de autoriteiten van een lidstaat in beginsel ertoe verplicht zijn om iemand in te lichten over de toegang tot de gegevens, zodra deze mededeling geen gevaar meer kan opleveren voor de gevoerde onderzoeken.(197) Een dergelijke mededeling vormt immers een eerste vereiste om het in artikel 47 van het Handvest neergelegde recht op een voorziening in rechte te kunnen uitoefenen.(198) Deze verplichting is thans opgenomen in artikel 23, lid 2, onder h), AVG.
321. De overwegingen 111 tot en met 135 van het privacyschildbesluit bevatten een beknopte weergave van de rechtsmiddelen waarover personen wier gegevens worden doorgegeven, beschikken wanneer zij vrezen dat deze gegevens na doorgifte zullen worden verwerkt door de Amerikaanse inlichtingendiensten. Deze rechtsmiddelen staan ook beschreven in de uitspraak van de High Court van 3 oktober 2017 en in de opmerkingen van met name de regering van de Verenigde Staten.
322. Het is niet nodig om opnieuw uitvoerig op de inhoud van die uiteenzettingen in te gaan. De verwijzende rechter betwijfelt namelijk of de waarborgen voor de rechtsbescherming van de betrokkenen passend zijn, in hoofdzaak omdat de bijzonder strenge eisen inzake de procesbevoegdheid (standing)(199), in combinatie met het ontbreken van enige verplichting om personen ten aanzien van wie een surveillancemaatregel is uitgevoerd daarvan in kennis te stellen zelfs wanneer die mededeling de doelstellingen ervan niet langer zou ondermijnen, het in de praktijk buitensporig moeilijk maken om de in het recht van de Verenigde Staten geboden rechtsmiddelen aan te wenden. De DPC, Schrems, de Oostenrijkse, de Poolse en de Portugese regering alsook de EDPB delen deze twijfel.(200)
323. Ik volsta in dit verband met de opmerking dat de regels inzake de procesbevoegdheid geen afbreuk mogen doen aan een doeltreffende rechtsbescherming(201), en constateer dat het privacyschildbesluit nergens melding maakt van een vereiste om de betrokkenen te informeren over het feit dat jegens hen een surveillancemaatregel is genomen(202). Aangezien dit zou kunnen belemmeren dat een beroep in rechte wordt ingesteld, lijkt het ontbreken van een verplichting om een dergelijke maatregel mee te delen, zelfs wanneer het informeren van de betrokkene niet langer de doeltreffendheid van die maatregel zou ondermijnen, problematisch in het licht van de in punt 320 van deze conclusie aangehaalde rechtspraak.
324. In voetnoot 169 van het privacyschildbesluit wordt bovendien erkend dat voor de beschikbare procedures „ofwel het bestaan van schade [is] vereist […] ofwel een bewijs dat de overheid voornemens is uit elektronische surveillance van de betrokkene verkregen of afgeleide informatie tegen die persoon te gebruiken of bekend te maken”. Zoals de verwijzende rechter, de DPC en Schrems hebben benadrukt, staat dit vereiste haaks op de rechtspraak van het Hof dat het voor de vaststelling van een inmenging in het recht op eerbiediging van het privéleven van een persoon niet nodig is dat de betrokkene door de gestelde inmenging al dan niet enig nadeel heeft ondervonden.(203)
325. Ook het door Facebook Ireland en de regering van de Verenigde Staten verkondigde standpunt dat de zwakke punten van de rechtsbescherming van personen wier gegevens naar de Verenigde Staten worden doorgegeven, worden gecompenseerd door het toezicht dat de FISC vooraf en achteraf uitoefent en door de talrijke controlemechanismen binnen de uitvoerende en de wetgevende macht(204), acht ik weinig overtuigend.
326. Ik heb er al op gewezen dat de FISC individuele surveillancemaatregelen vóór de uitvoering ervan niet aan toezicht onderwerpt, zoals ook in het privacyschildbesluit is vastgesteld.(205) Zoals uit overweging 109 van dit besluit volgt en zoals ook de regering van de Verenigde Staten in haar schriftelijke antwoord op de vragen van het Hof heeft bevestigd, heeft het toezicht a posteriori op de toepassing van de selectietermen daarnaast tot doel om na te gaan of er, wanneer een inlichtingendienst bij de FISC een incident heeft gemeld in verband met de mogelijke niet-naleving van de procedures om het doelwit te specificeren en de minimaliseringsprocedures(206), is voldaan aan de in de jaarlijkse certificering vastgestelde voorwaarden met betrekking tot de keuze van de selectietermen. De procedure bij de FISC lijkt personen wier gegevens naar de Verenigde Staten worden doorgegeven, derhalve geen doeltreffende individuele voorziening in rechte te bieden.
327. De in de overwegingen 95 tot en met 110 van het privacyschildbesluit vermelde buitengerechtelijke toezichtmechanismen zouden eventuele voorzieningen in rechte in voorkomend geval weliswaar kunnen versterken, maar zij kunnen in mijn ogen niet volstaan om een passend beschermingsniveau met betrekking tot het recht op beroep van de betrokkenen verzekeren. Met name vormen de algemeen inspecteurs, die deel uitmaken van de interne structuur van elke dienst, naar mijn mening geen onafhankelijk toezichtmechanisme. Op zijn beurt kan het toezicht dat wordt uitgeoefend door de PCLOB en de inlichtingencommissies van het Amerikaanse Congres, niet worden gelijkgesteld met een individueel beroepsrecht tegen surveillancemaatregelen.
328. Onderzocht moet derhalve worden of deze lacunes door de instelling van de ombudsman worden gecompenseerd doordat aan de betrokkenen een doeltreffende beroepsgang bij een onafhankelijk en onpartijdig orgaan wordt geboden.(207)
329. In de tweede plaats wil ik eraan herinneren dat de bepalingen van het EVRM het relevante referentiekader vormen voor de beoordeling van de juistheid van de in het privacyschildbesluit gedane constatering van adequaatheid, gelet op de rechtsmiddelen die openstaan voor personen die vermoeden dat jegens hen op EO 12333 gebaseerde surveillance is uitgeoefend.
330. Zoals ik hierboven heb uiteengezet(208), onderzoekt het EHRM in het kader van de beoordeling of een surveillancemaatregel voldoet aan de voorwaarden van „voorzienbaarheid” en „noodzakelijkheid in een democratische samenleving” in de zin van artikel 8, lid 2, EVRM(209), alle controle‑ en toezichtmechanismen die „vóór, tijdens en na” de uitvoering van die maatregel worden toegepast. Wanneer het instellen van een individueel beroep wordt belemmerd doordat een mededeling van de surveillancemaatregel niet mogelijk is zonder de doeltreffendheid daarvan te ondermijnen(210), kan deze lacune worden gecompenseerd door middel van onafhankelijk toezicht vóór toepassing van de betrokken maatregel.(211) Ofschoon het EHRM een dergelijke mededeling dus „wenselijk” acht wanneer dit mogelijk is zonder de doeltreffendheid van de surveillancemaatregel te ondermijnen, heeft het dit niet tot een verplichting verheven.(212)
331. Uit het privacyschildbesluit blijkt niet dat de op EO 12333 gebaseerde surveillancemaatregelen worden meegedeeld aan de betrokkenen of in enig stadium van de vaststelling of uitvoering ervan vergezeld gaan van mechanismen van onafhankelijk rechterlijk of administratief toezicht.
332. In deze omstandigheden moet worden onderzocht of de inschakeling van de ombudsman niettemin kan verzekeren dat er onafhankelijk toezicht wordt uitgeoefend op de surveillancemaatregelen, met inbegrip van die welke op EO 12333 zijn gebaseerd.
2) Invloed van het ombudsmanmechanisme op het niveau van bescherming van het recht op een doeltreffende voorziening in rechte
333. Volgens overweging 116 van het privacyschildbesluit moet het in bijlage III A bij dit besluit bedoelde ombudsmanmechanisme personen wier gegevens vanuit de Unie worden doorgegeven naar de Verenigde Staten, een aanvullend rechtsmiddel bieden.
334. Zoals de Amerikaanse regering heeft onderstreept, gelden voor de ontvankelijkheid van een klacht bij de ombudsman niet dezelfde regels inzake procesbevoegdheid als voor de toegang tot de Amerikaanse rechter. Dienaangaande wordt in overweging 119 van voornoemd besluit gepreciseerd dat wanneer de betrokkene zich tot de ombudsman wendt, hij niet hoeft aan te tonen dat zijn persoonsgegevens door de Amerikaanse overheid zijn geraadpleegd.
335. Evenals de DPC, Schrems, de Poolse en de Portugese regering en het EPIC betwijfel ik of dit mechanisme geëigend is om de gebrekkige rechtsbescherming voor personen wier gegevens vanuit de Unie naar de Verenigde Staten worden overgedragen, te compenseren.
336. Om te beginnen kan een buitengerechtelijk rechtsmiddel weliswaar een doeltreffende voorziening in rechte in de zin van artikel 47 VWEU vormen, maar geldt dit uitsluitend voor zover het betrokken orgaan een wettelijke grondslag heeft en aan het vereiste van onafhankelijkheid voldoet.(213)
337. Uit het privacyschildbesluit blijkt dat het ombudsmanmechanisme, dat zijn oorsprong vindt in PPD 28(214), geen wettelijke grondslag heeft. De ombudsman wordt aangesteld door de Secretary of State en maakt deel uit van het ministerie van Buitenlandse Zaken van de Verenigde Staten.(215) Nergens in dit besluit wordt vermeld dat het ontslag van de ombudsman of de intrekking van zijn aanstelling met specifieke waarborgen is omkleed.(216) Hoewel het wordt voorgesteld alsof de ombudsman onafhankelijk is van de „inlichtingendiensten”, legt hij verantwoording af aan de Secretary of State en is hij dus niet onafhankelijk van de uitvoerende macht.(217)
338. Daarnaast hangt de doeltreffendheid van een buitengerechtelijk rechtsmiddel mijns inziens ook af van de vraag of het betrokken orgaan bindende en gemotiveerde besluiten kan nemen. Uit het privacyschildbesluit kan nergens worden afgeleid dat de ombudsman dergelijke besluiten neemt. Er wordt niet vastgesteld dat de instelling van de ombudsman ervoor zorgt dat verzoekende partijen inzage in hen betreffende gegevens kunnen krijgen en om rectificatie of schrapping van deze gegevens kunnen verzoeken, noch dat de ombudsman een vergoeding toekent aan personen die door een surveillancemaatregel zijn benadeeld. Met name zal, zoals blijkt uit bijlage III A, punt 4, onder e), van dit besluit, „[de] ombudsman […] bevestigen noch ontkennen dat de betrokkene het voorwerp is geweest van surveillance, noch zal [hij] de specifieke oplossing bevestigen die werd gekozen”.(218) Hoewel de Amerikaanse regering heeft toegezegd dat zij het betrokken onderdeel van de inlichtingendiensten zal verplichten om elke schending van de toepasselijke voorschriften die door de ombudsman wordt vastgesteld, te corrigeren(219), blijkt nergens in dit besluit dat deze toezegging gepaard gaat met wettelijke waarborgen waarop de betrokken individuen zich kunnen beroepen.
339. Met het instellen van het ombudsmanmechanisme wordt derhalve naar mijn mening geen beroepsgang bij een onafhankelijk orgaan geboden dat personen wier gegevens worden doorgegeven, de mogelijkheid biedt om hun recht op inzage van de gegevens te doen gelden of op te komen tegen de eventuele niet-naleving van de toepasselijke voorschriften door de inlichtingendiensten.
340. Volgens de rechtspraak ten slotte zou de eerbiediging van het door artikel 47 van het Handvest gewaarborgde recht in dat geval veronderstellen dat het besluit van dit bestuursorgaan, dat niet zelf aan de voorwaarden van onafhankelijkheid voldoet, later wordt onderworpen aan toezicht door een rechterlijk orgaan dat bevoegd is om op alle relevante vragen in te gaan.(220) Uit de in het privacyschildbesluit vastgestelde gegevens blijkt echter dat de besluiten van de ombudsman niet aan onafhankelijk rechterlijk toezicht zijn onderworpen.
341. In deze omstandigheden betwijfel ik – gelijk ook de DPC, Schrems, het EPIC en de Poolse en de Portugese regering hebben betoogd – of de rechtsbescherming die in de rechtsorde van de Verenigde Staten wordt geboden aan personen wier gegevens vanuit de Unie naar dat land worden doorgegeven, in wezen gelijkwaardig is aan de rechtsbescherming zoals die voortvloeit uit de AVG, gelezen in samenhang met artikel 47 van het Handvest en artikel 8 EVRM.
342. In het licht van de voorgaande overwegingen waag ik te betwijfelen of het privacyschildbesluit verenigbaar is met artikel 45, lid 1, AVG, gelezen in samenhang met de artikelen 7, 8 en 47 van het Handvest en artikel 8 EVRM.
V. Conclusie
343. Ik stel het Hof voor om de door de High Court gestelde prejudiciële vragen te beantwoorden als volgt:
„Bij de analyse van de prejudiciële vragen is niet gebleken van feiten of omstandigheden die de geldigheid kunnen aantasten van besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens richtlijn 95/46/EG van het Europees Parlement en de Raad, zoals gewijzigd bij uitvoeringsbesluit (EU) 2016/2297 van de Commissie van 16 december 2016.”