De Veiligehavenovereenkomst was bedoeld om Amerikaanse bedrijven in staat te stellen persoonlijke informatie over zichzelf te verzamelen. Gegevens van EU-burgers. De overeenkomst moet het traditionele niveau van gegevensbescherming voor EU-burgers handhaven, dat in de VS niet in dezelfde mate wordt gegarandeerd. Sinds september 2015 wordt de overeenkomst door de Europese Unie als ongeldig beschouwd, waardoor er een einde komt aan meer dan vijftien jaar praktijk op het gebied van het gegevensbeschermingsrecht.
Veilige haven? Een veilige haven?
In september 2015 kreeg de Veiligehavenovereenkomst een zware tegenslag te verduren. De advocaat-generaal van het Europees Hof van Justitie - Yves Bot - kwam in zijn conclusie tot de conclusie dat de Veiligehavenbeschikking niet geldig en niet bindend is. De Veiligehavenovereenkomst dateert van het jaar 2000 en maakt deel uit van de wetgeving inzake gegevensbescherming. Het besluit van de Europese Commissie moet bedrijven in staat stellen om persoonsgegevens door te geven aan de VS, op voorwaarde dat zij voldoen aan de Europese richtlijnen inzake gegevensbescherming. Er is geen "overeenkomst" in de eigenlijke zin van het woord - maar dit soort procedures is met de VS overeengekomen, zodat men kan spreken van een soort "overeenkomst". Op 06.10.2015 werd de Veiligehavenovereenkomst door het Europees Hof van Justitie (EHJ) ongeldig verklaard.
De geschiedenis van de Veiligehavenovereenkomst
Binnen de Europese Unie verbiedt de gegevensbeschermingsrichtlijn 95/46/EG de doorgifte van persoonsgegevens van lidstaten naar andere staten die geen gegevensbeschermingswetgeving met een soortgelijke beschermende functie hebben. De Verenigde Staten hebben nauwelijks wettelijke voorschriften op het gebied van gegevensbescherming die op één lijn liggen met de normen van de Europese Unie. De strenge EU-voorschriften leidden tot praktische problemen, reden waarom de VS en de EU in 2000 een overeenkomst sloten. Naleving van de gegevensbeschermingsrichtlijn zou leiden tot een stilstand van het gegevensverkeer, reden waarom de Veiligehavenverordening in het leven werd geroepen. Ondernemingen uit de VS kunnen zich inschrijven op een lijst van het Amerikaanse ministerie van Handel en zich aldus aansluiten bij de Veiligehavenregeling. Door toe te treden stemden de Amerikaanse bedrijven ermee in zich te houden aan de beginselen en voorschriften van de overeenkomst. De wettelijke regelingen werden op internationaal niveau nagenoeg aangevuld met particuliere regelingen. De Europese Commissie achtte het bewezen dat bedrijven binnen het nieuw opgezette systeem de EU-burgers en hun persoonsgegevens voldoende beschermen. Tegen de tijd dat de overeenkomst in september 2015 werd herroepen, hadden tal van bedrijven zich erbij aangesloten. Onder hen waren General Motors, Amazon, MicrosoftIBM, Google, FacebookDropbox en Hewlett-Packard.
Populaire kritiek op de Veiligehavenovereenkomst
De Veiligehavenovereenkomst is herhaaldelijk bekritiseerd. Negatieve stemmen ontkenden de overeenkomst een voldoende beschermende functie. Men kon niet vertrouwen op het "woord" van Amerikaanse bedrijven en daarom zou er bewijs moeten worden geleverd. Na enkele jaren werd de US Patriot Act in het leven geroepen: Door de nieuwe juridische situatie konden de Amerikaanse veiligheidsautoriteiten toegang krijgen tot alle gegevens zonder de eigenaar van de gegevens op de hoogte te hoeven stellen. Naar aanleiding van de onthullingen van klokkenluider Edward Snowden werd in 2013 een herziening van het systeem geëist. In 2013 kondigde EU-commissaris voor Justitie Viviane Reding een hervorming van de Europese gegevensbescherming aan. Alle bedrijven moeten worden gestraft met een boete van maximaal twee procent van hun jaaromzet, als ze een illegale gegevensoverdracht hebben uitgevoerd.
Het arrest van het Europees Hof van Justitie van september 2015
In september 2015 heeft de advocaat-generaal van het Europees Hof van Justitie - Yves Bot - verklaard dat de Veiligehavenovereenkomst niet langer geldig en bindend is. Het High Court of Ireland had het Europese Hof van Justitie gevraagd of en in hoeverre de Veiligehavenverordening van toepassing is. De zaak in kwestie betrof de overdracht van gegevens door Facebook naar de VS. In de motivering van het arrest stelt de advocaat-generaal dat de Europese Unie niet bevoegd is om in te grijpen en de bevoegdheden van de lidstaten te beperken. Zodra de naleving van de door het EU-Handvest verleende grondrechten in een lidstaat in gevaar komt, moet ernaar kunnen worden gehandeld. Een van de grondrechten is de bescherming van persoonsgegevens. In de VS worden EU-burgers weerloos blootgesteld aan gegevensverzamelaars, aangezien de VS het verzamelen van gegevens van EU-burgers in aanzienlijke mate toestaan. Tegelijkertijd zijn er geen effectieve middelen om gerechtelijk verhaal te halen. De Amerikaanse inlichtingendiensten houden zich bezig met intensief toezicht, wat niet evenredig is en een gerichte inmenging in de gegevensbescherming mogelijk maakt. Het Europees Hof van Justitie heeft de verklaringen van de advocaat-generaal gevolgd en zo het einde van de overeenkomst bezegeld. In het dictum van het arrest wordt verwezen naar de Amerikaanse geheime diensten. Amerikaanse bedrijven worden onderworpen aan deze onderzoeken en worden gedwongen om alle beschermingsvoorschriften te ondermijnen. Daarom bestaat er geen effectieve bescherming van persoonsgegevens. Enerzijds wordt het grondrecht op eerbiediging van het privé-leven door deze procedure geschonden, maar anderzijds wordt ook het recht op een effectieve rechtsbescherming voor de rechter geschonden.
De aanpak van de Duitse gegevensbeschermingsautoriteiten
Na de publicatie van het arrest van het Europees Hof van Justitie hebben de Duitse gegevensbeschermingsautoriteiten snel gehandeld. In een standpuntnota van de gegevensbeschermingsfunctionarissen van de deelstaten en de federale overheid werd duidelijk gesteld dat de overdracht van gegevens is uitgesloten indien deze uitsluitend op basis van de Veiligehavenovereenkomst plaatsvindt. Nieuwe vergunningen op basis van de overeenkomst worden niet meer afgegeven. Daarnaast worden bedrijfsvoorschriften en gegevensexportovereenkomsten niet meer erkend. In het Verenigd Koninkrijk wordt ervan uitgegaan dat gegevensoverdracht nog steeds mogelijk is als er toestemming is gegeven of als er standaardcontractbepalingen van de EU van kracht zijn. Toestemming is volgens de Duitse commissarissen voor gegevensbescherming niet voldoende, omdat een massale en herhaalde overdracht van gegevens op een dergelijke schaal niet meer kan worden toegestaan.
Nieuwe regelgeving en aanbevelingen
Op federaal niveau werd de beslissing van het Europese Hof van Justitie toegejuicht door de bevoegde federale commissaris voor gegevensbescherming. In de nabije toekomst zal worden onderzocht of en in welke mate de uitspraak in Duitsland effect heeft op bindende bedrijfsvoorschriften en EU-standaardcontractclausules. Op 26.10.2015 werd de position paper gepubliceerd door de federale regering en de deelstaten. De toezichthoudende autoriteiten kondigden aan dat er actie zou worden ondernomen tegen elke doorgifte van gegevens op basis van de veilige haven. Sinds het vonnis is het volstrekt duidelijk dat de certificering in het kader van de vorige overeenkomst volstrekt ontoelaatbaar is. Bedrijven die persoonlijke gegevens doorgeven aan de VS riskeren pijnlijke boetes. Daarom moeten websiteteksten, reclamemateriaal en gegevensbeschermingsverklaringen zo snel mogelijk worden aangepast. Bovendien moeten de huidige gegevensoverdrachten worden gecontroleerd. De toepasselijkheid van bindende bedrijfsvoorschriften en standaardcontractbepalingen van de EU moet worden toegelicht. Wie niet zonder de doorgifte van gegevens naar de VS kan, moet gebruik maken van de standaardcontractbepalingen van de EU, waarmee het risico op een boete aanzienlijk kan worden geminimaliseerd, althans in de meeste gevallen. Het is absoluut noodzakelijk dat de encryptiemethoden worden gecontroleerd en toegepast. Indien toestemming kan worden verkregen, dient contact te worden gezocht met de DSK en dient te worden gevraagd of een dergelijke legitimatie toelaatbaar is voor gegevensoverdrachten. Indien toestemming kan worden verkregen, moet duidelijk worden gemaakt dat er een gegevensoverdracht naar de VS plaatsvindt. Bovendien moeten de mogelijke gevolgen worden vermeld. Een dergelijke toestemming kan nauwelijks worden gegeven in het geval van permanente en massale gegevensoverdracht, bijvoorbeeld van klantgegevens. Om de best mogelijke rechtsbescherming te bereiken, moeten de juridische kwesties per geval worden onderzocht. Technische en organisatorische maatregelen kunnen het risico op juridische overtredingen aanzienlijk verminderen.
