Een nieuw rapport is zeer kritisch op de rechtmatigheid van het EU-US Data Privacy Framework (DPF). Het nieuwe EU-US Data Privacy Framework (DPF) moet de gegevensuitwisseling tussen de twee continenten reguleren. Dit artikel vat de tekortkomingen, zoals bevonden in het rapport 'Reconstitutionalising privacy: EU-US data transfers and their impact on the rule of law, rights and trust' en presentatie daarvan op het CPDP.ai 2024 congres, samen.
Het rapport biedt een sombere analyse van het vermogen van het huidige juridische raamwerk om te voldoen aan de privacy- en rechtsstaatbeschermingseisen van de Europese Unie (EU). Het rapport volgt op twee eerdere juridische raamwerken, Privacy Shield en het Privacy Shield 2.0, die in de arresten Schremms I en II door het Europese Hof van Justitie zijn afgekeurd en consequent zorgden voor het huidige Data Protection Framework. Het raamwerk is van belang omdat het de juridische basis vormt voor de gigantische gegevensuitwisseling tussen de twee continenten.
Het rapport werd vorige week op het CPDP.ai congres gepresenteerd. Het kwam tot stand uit een samenwerking tussen het Centre for European Policy Studies, het Leibniz Institute for Information Infrastructure en de University of Liverpool.
Onder de AVG moeten internationale gegevensoverdrachten naar derde landen voldoen aan strikte voorwaarden, waaronder adequate beschermingsniveaus die gelijkwaardig zijn aan die binnen de EU. Recentelijk poogden de VS te voldoen aan deze eisen met het aannemen van Executive Order (EO) 14086.
Desondanks concludeert het rapport dat het huidige Data Protection Framework nog steeds diepe juridische onzekerheid veroorzaakt. Dit is vooral omdat het besluit is gebaseerd op de autoriteit van de huidige Amerikaanse regering onder president Joe Biden, wat met de naderende verkiezingen bijdraagt aan de juridische onzekerheid.
Calli Schroeder, werkzaam bij het Electronic Privacy Information Center, wijst bij een paneldiscussie over het rapport op culturele verschillen tussen de VS en de EU op het gebied van privacy. De VS zien privacy en innovatie vaak als tegengestelde factoren, terwijl de EU het recht op privacy juist als fundamenteel recht ziet.
Schroeder stelt dat de huidige framework niet voldoet aan de fundamentele eisen die de AVG stelt en ook de culturele kloof tussen de continenten niet dekt. Ze zegt dat de Amerikaanse uitvoeringsbesluit het resultaat is van de immense opgave die de AVG voorstelt voor de Amerikanen, en benadrukt dat de wetgever niet in staat is federale privacywetgeving aan te nemen, soms zelfs als sprake is van bipartisan support.
Schroeder: "De druk van grote technologiebedrijven is iets waar we ook echt serieuze problemen mee hebben als het gaat om regelgeving in de VS: ze kunnen die wetgeving en regels waarin we proberen in te grijpen binnendringen, de taal manipuleren veel invloed uitoefenen op staats-, lokaal en federaal niveau."
Executive order 14086 introduceerde een nieuw verhaalsmechanisme om effectieve rechtsgang te bieden, een kernvereiste geformuleerd in het Schrems II arrest (2). Met de oprichting van het Data Protection Review Court (DPRC) hoopt de VS te voldoen aan dit vereiste. Maar het Data Protection Review Court (DPRC) kwalificeert volgens het rapport niet als een onafhankelijk gerechtelijk tribunaal, wat een onmisbare voorwaarde is voor een eerlijk proces en de rechtsstaat in het EU-rechtssysteem.
Het Data Protection Review Court is eerder een administratief orgaan onder het Amerikaanse ministerie van Justitie en is direct verantwoording verschuldigd aan de president. De zogenaamde rechters zullen individuele klachten beoordelen in vertrouwelijke, eenzijdige procedures en beslissingen nemen die niet kunnen worden aangevochten.
Het gebrek aan een onafhankelijke rechterlijke toetsing schuurt met de beginselen van EU-recht. Panelist Margot Kaminski, professor aan de University of Colorado op het gebied AI en privacy, benadrukt de comparatieve complexiteit van het Data Protection Framework. Ze stelt dat juridische begrippen zoals het proportionaliteits- en noodzakelijkheidsbeginsel in Europese context een andere betekenis hebben dan in Amerikaanse context.
In de context van de Amerikaanse executive order zullen de termen, anders dan in de Europese context, namelijk geen enkele vorm van machtenscheiding impliceren. Dit komt doordat de executive order louter betrekking heeft op de uitvoerende branche van de Amerikaanse overheid. Hier valt de Data Protection Review Court dus ook onder.
Nog een tekortkoming van het Data Protection Framework is dat het onduidelijk blijft of het zal leiden tot enige betekenisvolle verandering in de manier waarop Amerikaanse inlichtingendiensten EU-burgers monitoren. Amerikaanse surveillance-instrumenten zoals Executive Order 12333 over buitenlandse elektronische inlichtingen en Sectie 702 van de Foreign Intelligence Surveillance Act (FISA) blijven van kracht.
Deze stellen Amerikaanse autoriteiten in staat om op grote schaal elektronische communicatie van niet-Amerikanen buiten het land te verzamelen voor inlichtingendoeleinden, zonder individuele rechterlijke toetsing. Verder definieert EO 14086 cruciale termen zoals 'bulkverzameling' niet adequaat. In plaats daarvan koos de EO voor een definitie en reikwijdte van 'bulkverzameling' die het Europese Hof van Justitie bekritiseerde in Schrems II. Ook hier is dus geen sprake van een concrete toenadering door de Amerikanen.
Volgens de privacy-advocaten van non-profit None Of Your Business (NYOB) is het Data Protection Framework grotendeels een kopie van het eerdere Privacy Shield. De organisatie kondigde vorig jaar aan het Data Protection Framework aan te vechten (3).
Het panel liet weten weinig vertrouwen te hebben dat het Data Protection Framework een rechtelijke toetsing door het Europese Hof van Justitie zal doorstaan. Daarmee lijkt de derde poging tot een gegevensuitwisselingsraamwerk tussen de VS en de EU te mislukken en zal verder moeten worden gepingpongd tussen de Europese Commissie en de Amerikaanse overheid.
(1) https://cdn.ceps.eu/wp-content/uploads/2024/05/TASK-FORCE-REPORT-EU-US-DATA-TRANSFER-1.pdf
(2) https://curia.europa.eu/juris/liste.jsf?num=C-311/18
(3) https://noyb.eu/nl/european-commission-gives-eu-us-data-transfers-third-round-cjeu
