Hoe één Oostenrijker Facebook een hak zet

Het robbertje dat de 28-jarige Oostenrijker Max Schrems uitvecht met Facebook, de vriendenclub van 1,3 miljard gebruikers, is onderhand legendarisch.

Woensdagochtend haalde Schrems een belangrijke veldslag binnen in zijn dataoorlog met de Californische internetreus. Schrems apprecieert het niet dat Facebook, zoals vele andere techgiganten, zijn gegevens doorspeelt naar Amerikaanse serverparken. Zeker niet sinds Edward Snowden in 2013 aan het licht bracht dat de Amerikaanse veiligheidsdiensten en masse rondsnuffelen in die serverparken.

Yves Bot, advocaat-generaal van het Europese Hof van Justitie, gaf woensdagochtend een advies dat Schrems in de kaart speelt. Het 15 jaar oude akkoord tussen de Europese Unie en de Verenigde Staten dat die transfer van data mogelijk maakt, is volgens hem ‘ongeldig’. Het advies, dat de rechters wel niet noodzakelijk volgen, legt de macht over datatransfers bovendien weer grotendeels bij de nationale privacywaakhonden.

Wat is de voorgeschiedenis?

In principe verbieden de Europese regels dat gegevens van Europese consumenten getransfereerd worden naar andere landen. Maar omdat de Verenigde Staten veel handelscontacten hebben met de EU-landen, pasten beide partners daar in 2000 een mouw aan. Amerikaanse bedrijven kunnen met het Safe Harbor-akkoord data van Europese burgers naar de Verenigde Staten verplaatsen, ‘als er een gepast beschermingsniveau is’.

Dat liep een hele tijd goed, tot klokkenluider Edward Snowden in 2013 onthulde dat de Amerikaanse veiligheidsdienst NSA massale afluisterprogramma’s had. Grote techreuzen zoals Facebook, Google, Yahoo en Microsoft hadden boter op hun hoofd. De Oostenrijker Max Schrems trok samen met andere duizenden Facebook-gebruikers in een groepsvordering ten strijde tegen Facebook. De Amerikaanse afluisterpraktijken kon je niet bepaald omschrijven ‘als een gepaste bescherming’, was de redenering. Schrems vocht de transfer van zijn data van de Ierse Facebook-poot naar de Verenigde Staten aan. De Ierse rechters verwezen naar het Safe Harbour-programma, verwierpen de klacht, maar Schrems trok via het Ierse hooggerechtshof naar het Europees Hof.

Wat zegt het advies?

Het advies van Bot is volgens waarnemers veel scherper dan vooraf verwacht. De vraag waarover de Europese rechters zich volgens het Ierse hooggerechtshof over moesten buigen was of de nationale privacywaakhonden de transfer van data mogen opschorten als ze vinden dat er geen ‘gepaste bescherming is’. Maar het advies van Bot gaat uiteindelijk veel verder en schoffelt meteen het Safe Harbor-programma onderuit.

‘Dat de Europese Commisssie besloten heeft dat een ander land een voldoende beschermingsniveau biedt voor de opvang van persoonlijke gegevens betekent niet dat de nationale waakhond daar geen zeggenschap meer over heeft. Hun macht om tussenbeide te komen moet intact blijven. Als zo’n waakhond oordeelt dat een transfer van data de bescherming van de Europese burgers ondermijnt, kan die dat schorsen, klinkt het in het advies.’ Maar de echte ‘bom’ staat iets verderop in het advies: de Europese Commissie kan niet voldoende beschermingsgaranties bieden tegen de Amerikaanse afluisterpraktijken, waardoor Safe Harbor ongeldig is.

Wat zijn de gevolgen?

Het advies van Bot is niet-bindend, de rechters kunnen er nog altijd van afwijken. Maar in de meeste gevallen volgen de rechters en het advies. Brendan Van Alsenoy, die voor de KU Leuven het privacybeleid van Facebook onderzoekt, was bij de zittingen en is van mening dat ‘de teneur wel duidelijk is’. ‘Deze uitspraak is niet alleen een overwinning voor Schrems, maar het schoffelt ook Safe Harbor in het algemeen onderuit. Dat is erg vergaand.’

Als de rechters Bot volgen, zijn de gevolgen verreikend. ‘Het Safe Harbour-programma lag al langer onder vuur aan deze kant van de Oceaan’, legt Tom De Cordier van het advocatenkantoor CMS De Backer uit. ‘Vooral in Duitsland was het oordeel dat de deal te licht woog en vooral gesloten was uit handelsbelangen. Je mag ook niet vergeten dat in tussentijd het EU-handvest van kracht is geworden, dat de Europese grondrechten bovenaan de hiërarchie plaatste.’ Het advies zet dan ook meer druk op de onderhandelingen over de Safe Harbor die al twee jaar geleden van start gingen.

Als er geen resultaat komt, dan oordeelt het advies dat alle 28 lidstaten de datatransfers kunnen opschorten. ‘Het advies zegt dat wat de Europese Commissie destijds onderhandelde niet exclusief is en ondermijnt dus de gedachte van harmonisering. Elke lidstaat kan haar eigen koers bepalen: sommige zullen zeer ‘business-friendly’ zijn, zoals de Britten en de Ieren, anderen dan weer minder’, besluit De Cordier.