HvJ EU, 16-07-2020, nr. C-311/18

Volgens artikel 45, lid 3, AVG en de rechtspraak van het Hof86. kan de Commissie slechts constateren dat een derde land een passend beschermingsniveau verzekert wanneer zij met redenen omkleed heeft geconcludeerd dat het beschermingsniveau van de grondrechten van de betrokkenen aldaar ‘in wezen gelijkwaardig’ is aan het beschermingsniveau dat krachtens deze verordening, gelezen in samenhang met het Handvest, in de Unie is vereist.

Het onderzoek of het in een derde land verzekerde beschermingsniveau passend is, impliceert dus noodzakelijkerwijs een vergelijking tussen enerzijds de in dat land bestaande regels en praktijken en anderzijds de in de Unie geldende beschermingsnormen. Met zijn tweede vraag verzoekt de verwijzende rechter het Hof te verduidelijken op welke maatstaven deze vergelijking moet berusten.87.

Meer specifiek wil deze rechter weten of de bevoegdheid op het gebied van de nationale veiligheid die artikel 4, lid 2, VEU en artikel 2, lid 2, AVG aan de lidstaten voorbehouden, betekent dat het rechtsstelsel van de Unie geen beschermingsnormen kent waarmee de in een derde land geboden waarborgen inzake de verwerking door de overheidsinstanties van de naar dat land doorgegeven gegevens ten behoeve van de nationale veiligheid moeten worden vergeleken bij de beoordeling of ze passend zijn. Voor zover dit inderdaad het geval is, wenst de verwijzende rechter te vernemen hoe het relevante referentiekader moet worden bepaald.

In dit verband dient men voor ogen te houden dat de bestaansreden van de beperkingen die het Unierecht aan internationale doorgiften van persoonsgegevens stelt door te verlangen dat de continuïteit van het niveau van bescherming van de rechten van de betrokkenen wordt gewaarborgd, is te voorkomen dat de binnen de Unie geldende normen worden omzeild.88. Zoals Facebook Ireland heeft betoogd, zou het, gelet op deze doelstelling, volstrekt ongerechtvaardigd zijn om van een derde land te verlangen dat het vereisten naleeft die niet congrueren met de op de lidstaten rustende verplichtingen.

Overeenkomstig artikel 51, lid 1, is het Handvest slechts van toepassing op de lidstaten wanneer zij het Unierecht ten uitvoer brengen. Of een adequaatheidsbesluit, gelet op de beperkingen op de uitoefening van de grondrechten van de betrokkenen zoals die voortvloeien uit de regelgeving van het derde land van bestemming, al dan niet geldig is, hangt derhalve af van een vergelijking tussen deze beperkingen en de beperkingen die de lidstaten krachtens de bepalingen van het Handvest mogen opleggen uitsluitend voor zover een vergelijkbare regeling van een lidstaat binnen de werkingssfeer van het Unierecht zou vallen.

De passende aard van het beschermingsniveau dat in het derde land van bestemming wordt geboden, kan echter niet worden beoordeeld zonder rekening te houden met eventuele inmengingen in de uitoefening van de grondrechten van de betrokkenen als gevolg van overheidsmaatregelen op met name het gebied van de nationale veiligheid die, indien zij door een lidstaat werden vastgesteld, buiten de werkingssfeer van het Unierecht zouden vallen. Met het oog op deze beoordeling schrijft artikel 45, lid 2, onder a), AVG voor dat zonder enige beperking rekening wordt gehouden met de in die derde staat geldende regelgeving op het gebied van de nationale veiligheid.

De beoordeling van het passende karakter van het beschermingsniveau in het licht van dergelijke overheidsmaatregelen betekent naar mijn mening dat de waarborgen waarmee die maatregelen gepaard gaan, worden vergeleken met het beschermingsniveau dat binnen de Unie vereist is krachtens het recht van de lidstaten, met inbegrip van hun verplichtingen krachtens het EVRM. Aangezien de toetreding tot het EVRM de lidstaten ertoe verplicht hun interne recht in overeenstemming te brengen met de bepalingen van dit Verdrag en dit Verdrag dus, zoals Facebook Ireland, de Duitse en de Tsjechische regering alsook de Commissie in wezen hebben betoogd, een gemene deler binnen de lidstaten is, vormen deze bepalingen volgens mij de relevante vergelijkingsmaatstaf bij deze beoordeling.

Zoals ik hierboven heb uiteengezet89., hebben de vereisten inzake de nationale veiligheid van de Verenigde Staten in casu voorrang boven de verplichtingen die krachtens het privacyschildbesluit op de ondernemingen met zelfcertificering rusten. De geldigheid van dit besluit hangt er dus vanaf of deze vereisten gepaard gaan met waarborgen die een beschermingsniveau verzekeren dat in wezen gelijkwaardig is aan het beschermingsniveau dat in de Unie moet worden verzekerd.

Om deze vraag te kunnen beantwoorden, moet eerst worden vastgesteld wat precies de normen zijn — dat wil zeggen de normen van het Handvest dan wel de normen van het EVRM — waaraan vergelijkbare regelingen op het gebied van de surveillance van elektronische communicatie met die welke de Commissie in het privacyschildbesluit heeft onderzocht, moeten voldoen. Het bepalen van de toepasselijke normen hangt af van het antwoord op de vraag of regelingen als section 702 FISA en EO 12333, indien zij afkomstig waren van een lidstaat, al dan niet zouden vallen onder de beperking van de werkingssfeer van de AVG ingevolge artikel 2, lid 2, van deze verordening, gelezen in samenhang met artikel 4, lid 2, VEU.

Dienaangaande volgt uit de bewoordingen van artikel 4, lid 2, VEU en de vaste rechtspraak dat het Unierecht en met name de instrumenten van afgeleid recht op het gebied van de bescherming van persoonsgegevens niet van toepassing zijn op activiteiten op het gebied van de bescherming van de nationale veiligheid, voor zover dit specifieke activiteiten van de staten of de overheidsdiensten zijn en deze activiteiten niets van doen hebben met de gebieden waarop particulieren activiteiten ontplooien.90.

Dit beginsel impliceert enerzijds dat een regeling op het gebied van de nationale veiligheid niet binnen de werkingssfeer van het Unierecht valt wanneer zij uitsluitend staatsactiviteiten regelt, zonder van toepassing te zijn op enige activiteit die door particulieren wordt uitgeoefend. Derhalve is het Unierecht naar mijn mening niet van toepassing op nationale maatregelen inzake het verzamelen en gebruiken van persoonsgegevens die rechtstreeks door de staat ten uitvoer worden gelegd voor doeleinden van nationale veiligheid, zonder dat daarbij specifieke verplichtingen aan particuliere marktdeelnemers worden opgelegd. In het bijzonder zou een door een lidstaat vastgestelde maatregel die, net als EO 12333, zijn veiligheidsdiensten rechtstreeks toegang tot gegevens verleent tijdens de doorvoer ervan, buiten de werkingssfeer van het Unierecht vallen, zoals de Commissie ter terechtzitting heeft betoogd.91.

Een veel complexere vraag is anderzijds de vraag of nationale bepalingen die op eendere wijze als section 702 FISA de aanbieders van elektronischecommunicatiediensten ertoe verplichten om hun medewerking te verlenen aan de voor de nationale veiligheid bevoegde autoriteiten, zodat deze autoriteiten toegang krijgen tot bepaalde persoonsgegevens, ook buiten de werkingssfeer van het Unierecht vallen.

Terwijl het PNR-arrest voor een bevestigend antwoord op deze vraag pleit, rechtvaardigt de redenering in de arresten Tele2 Sverige en Ministerio Fiscal wellicht juist dat hierop een ontkennend antwoord wordt gegeven.

In het PNR-arrest heeft het Hof de beschikking nietig verklaard waarbij de Commissie de adequaatheid had geconstateerd van het beschermingsniveau van de persoonsgegevens in het Passenger Name Record (PNR) van vliegtuigpassagiers die werden doorgegeven aan de bevoegde Amerikaanse autoriteit op het gebied van douane en grensbescherming.92. Het Hof was van oordeel dat de verwerking waarop deze beschikking betrekking had — te weten de doorgifte van de PNR-gegevens door luchtvaartmaatschappijen aan de betrokken autoriteit — gelet op het doel ervan, van de werkingssfeer van richtlijn 95/46 was uitgesloten op basis van de in artikel 3, lid 2, van die richtlijn bedoelde uitsluitingsgrond. Volgens het Hof was deze verwerking niet noodzakelijk voor een dienstverrichting, maar voor het waarborgen van de openbare veiligheid en voor de wetshandhaving. Aangezien de betrokken doorgifte geschiedde binnen een door de overheid ingesteld kader dat betrekking had op de openbare veiligheid, was deze doorgifte uitgesloten van de werkingssfeer van deze richtlijn, ondanks het feit dat de PNR-gegevens aanvankelijk door particuliere marktdeelnemers werden verzameld in het kader van een binnen deze werkingssfeer vallende commerciële activiteit en dat deze doorgifte door die marktdeelnemers werd georganiseerd.93.

In het daaropvolgende arrest Tele2 Sverige94. heeft het Hof geoordeeld dat nationale bepalingen op basis van artikel 15, lid 1, van richtlijn 2002/58/EG95. die zowel het bewaren van verkeers- en locatiegegevens door aanbieders van telecommunicatiediensten regelen als de toegang van overheidsinstanties tot de bewaarde gegevens voor de in die bepaling genoemde doeleinden — waaronder de strafrechtelijke handhaving en de bescherming van de nationale veiligheid — binnen de werkingssfeer van deze richtlijn en daarmee van het Handvest vallen. Volgens het Hof zijn noch de bepalingen betreffende het bewaren van de gegevens noch de bepalingen betreffende de toegang tot de bewaarde gegevens van de werkingssfeer van deze richtlijn uitgesloten op grond van artikel 1, lid 3, ervan, dat onder meer verwijst naar de activiteiten van de staat op strafrechtelijk gebied en op het gebied van de bescherming van de nationale veiligheid.96. Het Hof heeft deze rechtspraak bevestigd in het arrest Ministerio Fiscal.97.

Section 702 FISA verschilt echter van een dergelijke regeling doordat deze bepaling de aanbieders van elektronischecommunicatiediensten geen verplichting oplegt om de gegevens te bewaren of ze anderszins te verwerken wanneer de inlichtingendiensten niet om toegang tot de gegevens hebben verzocht.

De vraag rijst dan ook of nationale bepalingen die deze aanbieders ertoe verplichten om gegevens ter beschikking van de overheidsinstanties te stellen voor doeleinden van nationale veiligheid, los van enige verplichting om deze gegevens te bewaren, binnen de werkingssfeer van de AVG en dus van het Handvest vallen.98.

Een eerste mogelijke benadering is om de twee hierboven genoemde koersen in de rechtspraak zoveel mogelijk met elkaar te verzoenen door de conclusie van het Hof in de arresten Tele2 Sverige en Ministerio Fiscal met betrekking tot de toepasselijkheid van het Unierecht op maatregelen die de toegang tot gegevens door nationale autoriteiten voor doeleinden van onder meer nationale veiligheid regelen99., aldus uit te leggen dat deze conclusie enkel geldt voor gevallen waarin de gegevens zijn bewaard krachtens een wettelijke verplichting die op basis van artikel 15, lid 1, van richtlijn 2002/58 is ingevoerd. Daarentegen zou deze conclusie niet opgaan in de afwijkende feitelijke context van het PNR-arrest, waarin sprake was van de doorgifte naar een voor de binnenlandse veiligheid bevoegde Amerikaanse autoriteit van gegevens die voor commerciële doeleinden en uit eigen initiatief waren bewaard door luchtvaartmaatschappijen.

Een tweede benadering zou kunnen zijn — en dit is ook wat de Commissie voorstaat en wat ikzelf overtuigender acht — dat uit de redenering in de arresten Tele2 Sverige en Ministerio Fiscal kan worden geconcludeerd dat het Unierecht van toepassing is op nationale regels die aanbieders van elektronischecommunicatiediensten ertoe verplichten om hun medewerking te verlenen aan de met de nationale veiligheid belaste autoriteiten, zodat deze autoriteiten toegang tot bepaalde gegevens kunnen krijgen, zonder dat het ertoe doet of deze regels al dan niet gekoppeld zijn aan een voorafgaande verplichting om de gegevens te bewaren.

De kern van deze redenering berustte namelijk niet op het doel van de betrokken bepalingen, zoals in het PNR-arrest, maar op het feit dat deze bepalingen de activiteiten van de aanbieders regelden en hen ertoe verplichtten om gegevens te verwerken. Deze activiteiten vormden geen activiteiten van de staat op de gebieden bedoeld in artikel 1, lid 3, van richtlijn 2002/58 en artikel 3, lid 2, van richtlijn 95/46, waarvan de inhoud in wezen is overgenomen in artikel 2, lid 2, AVG.

Zo merkte het Hof in het arrest Tele2 Sverige op dat ‘de toegang […] tot de door die aanbieders bewaarde gegevens […] betrekking [heeft] op de verwerking van persoonsgegevens door die aanbieders, en [dat] deze verwerking […] binnen de werkingssfeer van die richtlijn [valt]’.100. Insgelijks oordeelde het in het arrest Ministerio Fiscal dat wanneer wettelijke maatregelen aanbieders de verplichting opleggen om de bevoegde autoriteiten toegang tot de bewaarde persoonsgegevens te verlenen, ‘dit noodzakelijkerwijs impliceert dat die aanbieders die gegevens verwerken’.101.

Het door de verwerkingsverantwoordelijke ter beschikking van een overheidsinstantie stellen van gegevens strookt met de definitie van ‘verwerking’ in artikel 4, punt 2, AVG.102. Hetzelfde geldt voor de voorafgaande filtering van gegevens aan de hand van zoekcriteria met de bedoeling om enkel de gegevens waartoe de overheidsinstanties om toegang hebben verzocht, te isoleren.103.

Ik concludeer hieruit dat, volgens de redenering van het Hof in de arresten Tele2 Sverige en Ministerio Fiscal, de AVG en dus ook het Handvest van toepassing zijn op een nationale regeling die de aanbieder van elektronischecommunicatiediensten ertoe verplicht om zijn medewerking aan de met de nationale veiligheid belaste autoriteiten te verlenen door gegevens tot hun beschikking te stellen, eventueel na filtering ervan, ook zonder dat er sprake is van enige wettelijke verplichting om deze gegevens te bewaren.

Deze uitlegging lijkt bovendien ook, althans impliciet, voort te vloeien uit het arrest Schrems. Zoals de DPC, de Oostenrijkse en de Poolse regering alsook de Commissie hebben onderstreept, heeft het Hof in het kader van het onderzoek van de geldigheid van de veiligehavenbeschikking in dat arrest geoordeeld dat het recht van het derde land ten aanzien waarvan een adequaatheidsbesluit geldt, dient te voorzien in waarborgen tegen inmengingen van zijn overheidsinstanties in de grondrechten van de betrokkenen voor doeleinden van nationale veiligheid die in grote lijnen overeenkomen met de waarborgen zoals die voortvloeien uit de artikelen 7, 8 en 47 van het Handvest.104.

Meer concreet volgt hieruit dat een nationale maatregel die aanbieders van elektronischecommunicatiediensten ertoe verplicht om een verzoek van de voor de nationale veiligheid bevoegde autoriteiten om toegang tot bepaalde gegevens die die aanbieders in het kader van hun commerciële activiteiten en zonder enige wettelijke verplichting hebben bewaard, in te willigen door de gevraagde gegevens te identificeren door middel van een voorafgaande filtering daarvan aan de hand van zoekopdrachten (zoals in het kader van het PRISM-programma), niet onder artikel 2, lid 2, AVG valt. Hetzelfde geldt voor een nationale maatregel die van ondernemingen die de ‘ruggengraat’ van de telecommunicatie exploiteren, verlangt dat zij de met de nationale veiligheid belaste autoriteiten toegang verlenen tot gegevens die via de door hen geëxploiteerde infrastructuur passeren (zoals in het kader van het Upstream-programma).

Wanneer de betrokken gegevens daarentegen eenmaal in het bezit zijn van de overheidsinstanties, vallen het bewaren en het daaropvolgende gebruik ervan door deze instanties ten behoeve van de nationale veiligheid mijns inziens — om dezelfde redenen als die welke ik hierboven in punt 211 van deze conclusie heb genoemd — onder de uitzondering van artikel 2, lid 2, AVG, zodat zij niet binnen de werkingssfeer van deze verordening en dus ook niet van het Handvest vallen.

Op grond van het voorgaande ben ik van mening dat de toetsing van de geldigheid van het privacyschildbesluit, gelet op de beperkingen op de daarin opgenomen beginselen zoals die wellicht voortvloeien uit de activiteiten van de Amerikaanse inlichtingendiensten, een onderzoek in twee stappen vergt.

In de eerste plaats zal moeten worden onderzocht of het door de Verenigde Staten geboden niveau van bescherming tegen de beperkingen die voortvloeien uit de toepassing van section 702 FISA, voor zover deze bepaling de NSA toestaat om aanbieders ertoe te verplichten om persoonsgegevens tot zijn beschikking te stellen, in grote lijnen overeenkomt met het niveau dat door de AVG-bepalingen en het Handvest wordt geboden.

In de tweede plaats zullen de EVRM-bepalingen als het relevante referentiekader dienen bij de beantwoording van de vraag of de mogelijke beperkingen waartoe de toepassing van EO 12333 kan leiden, doordat het de inlichtingendiensten is toegestaan om zelf zonder medewerking van particuliere marktdeelnemers persoonsgegevens te verzamelen, afbreuk doen aan het passende karakter van het door de Verenigde Staten geboden beschermingsniveau. Deze bepalingen zullen tevens als vergelijkingsmaatstaf dienen bij de beoordeling van het passende karakter van dit beschermingsniveau tegen de achtergrond van het feit dat de door deze autoriteiten verworven gegevens worden bewaard en gebruikt ten behoeve van de nationale veiligheid.

Eerst moet echter nog worden bepaald of de vaststelling dat het geboden beschermingsniveau passend is, veronderstelt dat het verzamelen van gegevens krachtens EO 12333 gepaard gaat met een beschermingsniveau dat in grote lijnen overeenkomt met het niveau dat binnen de Unie moet worden gewaarborgd, zelfs wanneer het verzamelen buiten het grondgebied van de Verenigde Staten geschiedt, tijdens de fase van doorvoer van de gegevens vanuit de Unie naar dit derde land.

Voor het Hof zijn drie verschillende standpunten verdedigd met betrekking tot de noodzaak voor de Commissie om bij de beoordeling van het passende karakter van het in een derde land verzekerde beschermingsniveau al dan niet rekening te houden met nationale maatregelen betreffende de toegang tot de gegevens door de autoriteiten van dit derde land, buiten het eigen grondgebied, tijdens de fase van doorvoer van de gegevens vanuit de Unie naar dit grondgebied.

Ten eerste stellen Facebook Ireland en de regeringen van de Verenigde Staten en het Verenigd Koninkrijk in wezen dat het bestaan van dergelijke maatregelen niet van invloed is op de vaststelling of het geboden beschermingsniveau passend is. Ter onderbouwing van hun standpunt wijzen zij erop dat het voor een derde staat onmogelijk is om alle communicatiekanalen buiten zijn grondgebied waarlangs gegevens vanuit de Unie worden doorgevoerd, te controleren, zodat nimmer kan worden gegarandeerd dat een andere derde staat niet heimelijk gegevens verzamelt tijdens de doorvoer van die gegevens.

Ten tweede betogen de DPC, Schrems, het EPIC, de Oostenrijkse en de Nederlandse regering, het Parlement en de EDPB dat het in artikel 44 AVG geformuleerde vereiste van continuïteit van het beschermingsniveau impliceert dat dit niveau gedurende de gehele doorgifte passend dient te zijn, met inbegrip van de fase waarin de gegevens via onderzeese kabels passeren alvorens het grondgebied van het derde land van bestemming te bereiken.

Hoewel de Commissie dit beginsel erkent, stelt zij ten derde dat de vaststelling of het geboden beschermingsniveau passend is uitsluitend ziet op de bescherming die het betrokken derde land binnen zijn eigen grenzen verzekert, zodat de omstandigheid dat tijdens de doorvoer naar dit derde land geen passend beschermingsniveau is verzekerd, de geldigheid van een adequaatheidsbesluit niet aantast. Het is volgens artikel 32 AVG echter aan de verwerkingsverantwoordelijke om zorg te dragen voor een veilige doorgifte door de persoonsgegevens tijdens de doorvoer naar dit derde land zoveel mogelijk te beschermen.

Ik wijs er in dit verband op dat artikel 44 AVG de doorgifte naar een derde land afhankelijk stelt van de naleving van de voorwaarden zoals uiteengezet in de bepalingen van hoofdstuk V van deze verordening, voor zover de gegevens ‘na doorgifte’ mogelijk worden verwerkt. Dit kan hetzij aldus worden opgevat dat aan deze voorwaarden moet worden voldaan wanneer de gegevens ter bestemming zijn aangekomen — zoals de regering van de Verenigde Staten in haar schriftelijke antwoord op de vragen van het Hof heeft gesteld -, hetzij aldus dat deze voorwaarden gelden zodra de doorgifte in gang is gezet (met inbegrip dus van de fase van doorvoer).

Aangezien de bewoordingen van artikel 44 AVG geen uitsluitsel bieden, noopt een teleologische uitlegging mij ertoe om voor de tweede uitlegging te kiezen, waarmee ik mij schaar achter de tweede benadering, zoals hierboven omschreven. Indien het in die bepaling geformuleerde vereiste van continuïteit van het beschermingsniveau geacht werd slechts te gelden voor surveillancemaatregelen die binnen het grondgebied van het derde land van bestemming worden toegepast, zou dit derde land dit vereiste immers kunnen omzeilen door dergelijke maatregelen buiten zijn grondgebied toe te passen tijdens de fase van doorvoer van de gegevens. Om dit risico uit te sluiten moet de beoordeling of het door een derde land geboden beschermingsniveau passend is zich uitstrekken tot alle bepalingen, met name op het gebied van de nationale veiligheid, van de rechtsorde van dit derde land105., dus zowel de bepalingen met betrekking tot de surveillance op zijn eigen grondgebied als de bepalingen die de surveillance van gegevens tijdens de doorvoer ervan naar dit grondgebied toestaan.106.

Niemand betwist echter dat, zoals door de EDPB is benadrukt, de beoordeling of het beschermingsniveau passend is uitsluitend betrekking heeft op de bepalingen van de rechtsorde van het derde land van bestemming van de gegevens, zoals uit artikel 45, lid 1, AVG volgt. De door Facebook Ireland en de regeringen van de Verenigde Staten en het Verenigd Koninkrijk gestelde onmogelijkheid om te waarborgen dat een andere derde staat deze gegevens niet heimelijk tijdens de fase van doorvoer verzamelt, doet hieraan niet af. Bovendien kan een dergelijk risico niet worden uitgesloten, ook niet nadat de gegevens in het derde land van bestemming zijn aangekomen.

Daarnaast is het eveneens waar dat de Commissie, wanneer zij het passende karakter van het door een derde land gewaarborgde beschermingsniveau beoordeelt, in voorkomend geval zou kunnen worden geconfronteerd met het verzuim van dit derde land om haar in kennis te stellen van het bestaan van bepaalde geheime surveillanceprogramma's. Dit betekent echter niet dat de Commissie, wanneer zij in kennis wordt gesteld van dergelijke programma's, deze buiten beschouwing mag laten wanneer zij het passende karakter van het beschermingsniveau onderzoekt. Zo ook is de Commissie, wanneer haar na de vaststelling van een adequaatheidsbesluit ter ore komt dat het betrokken derde land op zijn grondgebied of nog tijdens de doorvoer bepaalde geheime surveillanceprogramma's implementeert, gehouden tot een heroverweging van haar eerdere vaststelling dat dit derde land een passend beschermingsniveau verzekert, indien die onthulling twijfel daaromtrent doet rijzen.107.

Hoewel het vaststaat dat het Hof niet bevoegd is om het recht van een derde land op een in de rechtsorde van dat land bindende wijze uit te leggen, hangt de geldigheid van het privacyschildbesluit af van de juistheid van de beoordelingen door de Commissie met betrekking tot het door het recht en de praktijken van de Verenigde Staten verzekerde niveau van bescherming van de grondrechten van de personen wier gegevens naar dat derde land worden doorgegeven. De Commissie diende namelijk bij de motivering van de vaststelling van het passende karakter van het beschermingsniveau acht te slaan op de in artikel 45, lid 2, AVG genoemde aspecten, waaronder met name de inhoud van het recht van dat derde land.108.

In zijn uitspraak van 3 oktober 2017 heeft de High Court, na de door de procespartijen overgelegde bewijsstukken te hebben beoordeeld, een gedetailleerde uiteenzetting van de door hem vastgestelde relevante aspecten van het Amerikaanse recht gegeven.109. Deze uiteenzetting stemt in grote lijnen overeen met de constateringen die de Commissie in het privacyschildbesluit heeft gedaan met betrekking tot de inhoud van de voorschriften voor het verzamelen van en de toegang tot de doorgegeven gegevens door de Amerikaanse inlichtingendiensten en de in verband met deze activiteiten bestaande rechtsmiddelen en toezichtmechanismen.

De verwijzende rechter en sommige van de partijen en belanghebbenden die opmerkingen bij het Hof hebben ingediend, betwisten vooral de rechtsgevolgen die de Commissie aan deze constateringen heeft verbonden — namelijk de conclusie dat de Verenigde Staten een adequaat niveau van bescherming waarborgen van de grondrechten van de personen wier gegevens krachtens dit besluit worden doorgegeven — en niet haar beschrijving van de inhoud van het Amerikaanse recht.

Derhalve zal ik de geldigheid van het privacyschildbesluit voornamelijk beoordelen in het licht van de door de Commissie zelf gedane constateringen met betrekking tot de inhoud van het Amerikaanse recht en wel door te onderzoeken of deze constateringen de vaststelling van dit adequaatheidsbesluit rechtvaardigden.

In dit verband onderschrijf ik niet het door de DPC en Schrems verdedigde standpunt dat de door de High Court gedane constateringen met betrekking tot het recht van de Verenigde Staten het Hof binden in het kader van het onderzoek van de geldigheid van het privacyschildbesluit. Volgens hen is alleen de verwijzende rechter bevoegd om de inhoud van dat recht vast te stellen, omdat buitenlands recht een feitelijke vraag is krachtens het Ierse procesrecht.

Het is inderdaad vaste rechtspraak dat de verwijzende rechter als enige bevoegd is om de relevante feiten vast te stellen en om het recht van een lidstaat uit te leggen en toe te passen op het bij hem aanhangige geding.110. Deze rechtspraak brengt de taakverdeling tussen het Hof en de verwijzende rechter in het kader van de bij artikel 267 VWEU ingestelde procedure tot uiting. Terwijl het Hof uitsluitend bevoegd is om het Unierecht uit te leggen en zich over de geldigheid van het afgeleide recht uit te spreken, staat het aan de nationale rechter, daartoe aangezocht in een concreet geschil, om de feitelijke en regelgevende context van dat geschil vast te stellen, zodat het Hof hem een nuttig antwoord kan geven.

Naar mijn mening kan de bestaansgrond van deze exclusieve bevoegdheid van de verwijzende rechter niet geacht worden ook te gelden voor de vaststelling van het recht van een derde land als een aspect dat mogelijkerwijs van invloed is op de conclusie van het Hof ten aanzien van de geldigheid van een handeling van afgeleid recht.111. Aangezien de ongeldigverklaring van een dergelijke handeling erga omnes geldt in de rechtsorde van de Unie112., kan de conclusie van het Hof niet afhangen van de oorsprong van de prejudiciële verwijzing. Zoals Facebook Ireland en de regering van de Verenigde Staten hebben onderstreept, zou dit echter wel het geval zijn indien het Hof gebonden was aan de constateringen van de verwijzende rechter met betrekking tot het recht van een derde staat, omdat deze constateringen kunnen variëren naargelang van de nationale rechter waarvan zij afkomstig zijn.

Gelet op deze overwegingen ben ik van mening dat wanneer het antwoord op een prejudiciële vraag over de geldigheid van een handeling van de Unie een beoordeling van de inhoud van het recht van een derde staat impliceert, het Hof niet gebonden is aan de constateringen van de verwijzende rechter met betrekking tot het recht van dit derde land, ofschoon het er wel rekening mee mag houden. In voorkomend geval kan het Hof hiervan afwijken of hierop een aanvulling geven door, met inachtneming van het beginsel van tegenspraak, andere bronnen in aanmerking te nemen bij de vaststelling van de elementen die noodzakelijk zijn ter beoordeling van de betrokken handeling.113.

Ik herinner eraan dat de geldigheid van het privacyschildbesluit ervan afhangt of de rechtsorde van de Verenigde Staten aan personen wier gegevens vanuit de Unie naar dit derde land worden doorgegeven, een niveau van bescherming biedt dat in wezen gelijkwaardig is aan het niveau dat binnen de lidstaten wordt gewaarborgd krachtens de AVG en het Handvest en, op gebieden die buiten de werkingssfeer van het Unierecht vallen, krachtens hun verplichtingen uit hoofde van het EVRM.

Zoals het Hof in het arrest Schrems heeft onderstreept114., betekent dit niet dat het beschermingsniveau ‘hetzelfde’ moet zijn als het binnen de Unie vereiste niveau. De middelen waarmee een derde land de rechten van de betrokkenen beschermt, mogen afwijken van die welke binnen de Unie zijn vereist door de AVG, gelezen in samenhang met het Handvest, maar ‘deze middelen moeten in de praktijk niettemin doeltreffend genoeg blijken te zijn om een bescherming te bieden die in grote lijnen overeenkomt met die welke binnen de Unie wordt gewaarborgd’.

Naar mijn mening betekent dit ook dat het recht van de derde staat van bestemming zijn eigen waardenstelsel tot uiting mag brengen waardoor het respectieve gewicht van de verschillende in geding zijnde belangen kan verschillen van het gewicht dat daaraan in de rechtsorde van de Unie wordt toegekend. Overigens wordt een zeer hoge standaard gehanteerd voor het binnen de Unie vereiste niveau van bescherming van persoonsgegevens, vergeleken met het beschermingsniveau dat in de rest van de wereld geldt. Het criterium van de ‘wezenlijke gelijkwaardigheid’ moet mijns inziens dan ook met een zekere soepelheid worden gehanteerd zodat recht wordt gedaan aan de verschillende juridische en culturele tradities. Niettemin impliceert dit criterium, wil het niet zinledig zijn, dat bepaalde minimale waarborgen en algemene vereisten van bescherming van de grondrechten zoals die uit het Handvest en het EVRM voortvloeien, hun pendant hebben in de rechtsorde van het derde land van bestemming.115.

Zo moeten, overeenkomstig artikel 52, lid 1, van het Handvest, beperkingen op de uitoefening van de in dit Handvest erkende rechten en vrijheden bij wet worden gesteld en de wezenlijke inhoud van die rechten en vrijheden eerbiedigen. Met inachtneming van het evenredigheidsbeginsel kunnen alleen beperkingen worden gesteld indien zij noodzakelijk zijn en daadwerkelijk aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen beantwoorden. Deze vereisten komen in grote lijnen overeen met die van artikel 8, lid 2, EVRM.116.

Volgens artikel 52, lid 3, van het Handvest geldt dat, voor zover de in de artikelen 7, 8 en 47 van het Handvest gegarandeerde rechten corresponderen met die van de artikelen 8 en 13 van het EVRM, de inhoud en reikwijdte ervan hetzelfde zijn, met dien verstande dat het recht van de Unie daaraan een ruimere bescherming kan toekennen. Vanuit die optiek zijn de maatstaven van de artikelen 7, 8 en 47 van het Handvest, zoals uitgelegd door het Hof, in bepaalde opzichten strenger dan die van artikel 8 EVRM volgens de uitlegging die het Europees Hof voor de Rechten van de Mens (hierna: ‘EHRM’) daaraan geeft, zoals ik hieronder zal aantonen.

Ik wijs er eveneens op dat bij elk van deze rechterlijke instanties zaken aanhangig zijn die nopen tot een herbezinning over bepaalde aspecten van hun respectieve rechtspraak. Enerzijds zijn twee recente arresten van het EHRM op het gebied van de surveillance van elektronische communicatie — te weten de arresten Centrüm för Rättvisa tegen Zweden117. en Big Brother Watch tegen Verenigd Koninkrijk118. — ter heroverweging verwezen naar de Grote kamer. Anderzijds hebben drie nationale rechters het Hof aangezocht in het kader van prejudiciële verwijzingen die het debat aanzwengelen over de vraag of de rechtspraak van het Hof zoals die volgt uit het arrest Tele2 Sverige119. niet moet worden bijgesteld.

Na deze verduidelijking zal ik thans de geldigheid van het privacyschildbesluit toetsen aan artikel 45, lid 1, AVG, gelezen in samenhang met het Handvest en het EVRM, voor zover daarin enerzijds het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens [onder b)] en anderzijds het recht op een doeltreffende voorziening in rechte [onder c)] worden gegarandeerd.

In de overwegingen 67 tot en met 124 van het privacyschildbesluit maakt de Commissie gewag van de mogelijkheid dat de Amerikaanse overheidsinstanties toegang hebben tot gegevens die vanuit de Unie worden doorgegeven en deze gegevens gebruiken voor doeleinden van nationale veiligheid in het kader van met name programma's die op section 702 FISA of EO 12333 gebaseerd zijn.

De uitvoering van deze programma's impliceert inmengingen van de Amerikaanse inlichtingendiensten die, indien afkomstig van de autoriteiten van een lidstaat, zouden worden opgevat als een inmenging in de uitoefening van het recht op eerbiediging van het privéleven zoals gewaarborgd in artikel 7 van het Handvest en artikel 8 EVRM. Dit betekent ook dat de betrokkenen het risico lopen dat hun persoonsgegevens worden verwerkt in strijd met de vereisten van artikel 8 van het Handvest.120.

Ik preciseer op voorhand dat het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens de bescherming omvatten van niet alleen de inhoud van de communicatie maar ook de locatie- en verkeersgegevens121. (samen ook wel aangeduid als ‘metagegevens’). Zowel het Hof als het EHRM heeft namelijk erkend dat metagegevens, net als inhoudelijke gegevens, zeer nauwkeurige informatie kunnen opleveren over het privéleven van een individuele persoon.122.

Volgens de rechtspraak van het Hof is het voor de vaststelling van een inmenging in de uitoefening van het door artikel 7 van het Handvest gewaarborgde recht van weinig belang of de betrokken gegevens al dan niet gevoelig zijn en of de betrokkenen door de surveillancemaatregel enig nadeel hebben ondervonden.123.

In casu leiden de op section 702 FISA gebaseerde surveillanceprogramma's in de eerste plaats tot inmengingen in de uitoefening van de grondrechten van personen wier communicatie overeenstemt met de door de NSA gehanteerde selectietermen en dus door de aanbieders van elektronischecommunicatiediensten wordt doorgegeven aan deze instantie.124. Meer concreet vormt de op de aanbieders rustende verplichting om de gegevens ter beschikking van de NSA te stellen, voor zover deze verplichting afwijkt van het beginsel van de vertrouwelijkheid van communicatie125., op zich reeds een inmenging, ook wanneer deze gegevens nadien niet door de inlichtingendiensten worden ingezien en gebruikt.126. Het bewaren van en de daadwerkelijke toegang tot de ter beschikking gestelde meta- en inhoudelijke gegevens door die diensten vormen een aanvullende inmenging, evenals het gebruik ervan.127.

Bovendien blijkt uit de constateringen van de verwijzende rechter128. en andere bronnen, zoals het door de Amerikaanse regering aan het Hof meegedeelde rapport van de PCLOB over de programma's die op grond van section 702 FISA zijn uitgevoerd129., dat de NSA in het kader van het Upstream-programma ten behoeve van zijn filteringsactiviteiten reeds toegang had tot uitgebreide datapakketten die onderdeel zijn van de gegevensstromen die langs de ruggengraat van de telecommunicatie passeren en communicatie omvatten waarin de door de NSA gehanteerde selectietermen niet voorkomen. De NSA mag deze datapakketten slechts onderzoeken om snel en geautomatiseerd te bepalen of zij deze selectietermen bevatten. Alleen aldus gefilterde communicatie wordt vervolgens bewaard in de databases van de NSA. Ook deze toegang tot gegevens ten behoeve van de filtering ervan vormt naar mijn mening een inmenging in de uitoefening van het recht op eerbiediging van het privéleven van de betrokkenen, ongeacht het latere gebruik van de bewaarde gegevens.130.

Bovendien vallen het ter beschikking stellen en de filtering van de betrokken gegevens131., de toegang tot deze gegevens door de inlichtingendiensten, alsmede het eventuele bewaren, analyseren en gebruiken van die gegevens onder het begrip ‘verwerking’ in de zin van artikel 4, punt 2, AVG en artikel 8, lid 2, van het Handvest. Deze verwerkingen moeten dus voldoen aan de vereisten van laatstgenoemde bepaling.132.

Op haar beurt kan de surveillance krachtens EO 12333 impliceren dat de inlichtingendiensten rechtstreeks toegang tot de gegevens hebben tijdens de doorvoer ervan, hetgeen een inmenging in de uitoefening van het door artikel 8 EVRM gewaarborgde recht oplevert. Bovenop deze inmenging komt nog een inmenging in de vorm van het eventuele latere gebruik van die gegevens.

Op grond van de rechtspraak van het Hof133. en het EHRM134. houdt het vereiste dat elke inmenging in de uitoefening van de grondrechten ‘bij wet [moet] worden gesteld’ in de zin van artikel 52, lid 1, van het Handvest en artikel 8, lid 2, EVRM, niet alleen in dat de maatregel die in de inmenging voorziet, een wettelijke grondslag in het nationale recht moet hebben maar ook dat deze wettelijke grondslag moet voldoen aan bepaalde vereisten van toegankelijkheid en voorzienbaarheid om het risico van willekeur uit te sluiten.

In dit verband verschillen de partijen en de belanghebbenden die opmerkingen bij het Hof hebben ingediend vooral van mening over de vraag of section 702 FISA en EO 12333 voldoen aan de voorwaarde dat de wet voorzienbaar moet zijn.

Deze voorwaarde, zoals uitgelegd door het Hof135. en het EHRM136., vereist dat een regeling die een inmenging in de uitoefening van het recht op eerbiediging van het privéleven met zich brengt, duidelijke en nauwkeurige regels betreffende de draagwijdte en de toepassing van de betrokken maatregel bevat die minimale vereisten opleggen, zodat de betrokkenen over voldoende garanties beschikken dat hun gegevens worden beschermd tegen het risico van misbruik alsook tegen elke onrechtmatige toegang tot en elk onrechtmatig gebruik van deze gegevens. Deze regels moeten met name aangeven in welke omstandigheden en onder welke voorwaarden overheidsinstanties persoonsgegevens mogen bewaren en gebruiken en er toegang toe mogen hebben.137. Daarnaast moet de wettelijke grondslag die de inmenging toestaat zelf de draagwijdte van de beperking op de uitoefening van het recht op eerbiediging van het privéleven bepalen.138.

Met Schrems en het EPIC betwijfel ik of EO 12333 — en hetzelfde geldt voor PPD 28, waarin de garanties worden opgesomd die voor alle inlichtingenactiviteiten op het gebied van berichtenverkeer gelden139. — voldoende voorzienbaar is om als ‘wet’ te kunnen worden beschouwd.

Deze instrumenten vermelden uitdrukkelijk dat zij de betrokkenen geen rechten toekennen die juridisch afdwingbaar zijn.140. De betrokkenen kunnen de garanties van PPD 28 dus niet voor de rechter inroepen.141. Bovendien heeft de Commissie in het privacyschildbesluit geoordeeld dat de garanties in deze presidentiële richtlijn weliswaar bindend zijn voor de inlichtingendiensten142., doch ‘[z]onder [dat zij] juridisch geformuleerd […] zijn’143.. EO 12333 en PPD 28 lijken veeleer interne administratieve instructies te zijn die door de president van de Verenigde Staten kunnen worden ingetrokken of gewijzigd. Het EHRM heeft reeds uitgemaakt dat interne administratieve instructies niet als ‘wet’ kunnen worden gekwalificeerd.144.

Wat section 702 FISA betreft, betwist Schrems de voorzienbaarheid van deze bepaling omdat de keuze van de selectiecriteria die voor de filtering van gegevens zullen worden gehanteerd niet met voldoende waarborgen tegen risico's van misbruik is omkleed. Aangezien dit vraagstuk tevens verband houdt met het strikt noodzakelijke karakter van de in section 702 FISA bedoelde inmengingen, zal ik dit verderop in mijn betoog bespreken.145.

De derde prejudiciële vraag overlapt de vraag of is voldaan aan de voorwaarde dat inmengingen bij ‘wet’ zijn gesteld. Met deze vraag wil de verwijzende rechter in wezen vernemen of het passende karakter van het in een derde land gewaarborgde beschermingsniveau uitsluitend moet worden onderzocht aan de hand van de juridisch bindende regels die in dat derde land van kracht zijn en de praktijken die tot doel hebben de naleving van die regels te waarborgen, of ook aan de hand van de diverse niet-bindende instrumenten en buitengerechtelijke controlemechanismen die dat land kent.

Dienaangaande bevat artikel 45, lid 2, onder a), AVG een niet-uitputtende lijst van aspecten waarmee de Commissie rekening moet houden bij de beoordeling of een derde land een passend beschermingsniveau biedt. Hieronder valt ook de geldende wetgeving en de wijze waarop deze wetgeving wordt toegepast. Deze bepaling laat ook de impact van andere soorten regels, zoals beroepsregels en veiligheidsmaatregelen, niet onvermeld. Daarnaast schrijft zij voor dat rekening wordt gehouden met het bestaan van ‘effectieve en afdwingbare rechten’ en ‘effectieve mogelijkheden om administratief beroep of beroep in rechte in te stellen voor betrokkenen wier persoonsgegevens worden doorgegeven’.146.

In haar geheel gelezen en gelet op het niet-uitputtende karakter van de erin opgenomen lijst impliceert deze bepaling volgens mij dat bij de algehele beoordeling of het betrokken derde land een passend beschermingsniveau biedt, rekening mag worden gehouden met praktijken en regelingen die niet op een toegankelijke en voorzienbare wettelijke grondslag zijn gebaseerd, als ondersteuning van waarborgen die zelf wel zijn gebaseerd op een juridische grondslag met deze kenmerken. Daarentegen kunnen dergelijke praktijken of regelingen, zoals de DPC, Schrems, de Oostenrijkse regering en de EDPB betogen, die waarborgen niet vervangen en dus niet zelf het vereiste beschermingsniveau verzekeren.

Het in artikel 52, lid 1, van het Handvest geformuleerde vereiste dat elke beperking van de door het Handvest gewaarborgde rechten of vrijheden de wezenlijke inhoud daarvan moet eerbiedigen, betekent dat wanneer een inmenging inbreuk op die rechten of vrijheden maakt, dit door geen enkel legitiem doel kan worden gerechtvaardigd. De inmenging wordt dan geacht in strijd met het Handvest te zijn, zonder dat hoeft te worden onderzocht of zij geschikt en noodzakelijk is om het nagestreefde doel te bereiken.

Het Hof heeft in dit verband geoordeeld dat een nationale regeling op grond waarvan de autoriteiten algemeen toegang kunnen krijgen tot de inhoud van elektronische communicatie, een aantasting van de wezenlijke inhoud van het door artikel 7 van het Handvest gewaarborgde recht op eerbiediging van het privéleven vormt.147. Daarentegen heeft het Hof geoordeeld — ofschoon het wel de risico's verbonden met de toegang tot en de analyse van verkeers- en locatiegegevens benadrukte148. — dat de wezenlijke inhoud van dit recht niet wordt aangetast door een nationale regeling die de overheidsinstanties algemeen toegang tot deze gegevens geeft.149.

Section 702 FISA kan mijns inziens niet worden geacht de Amerikaanse inlichtingendiensten de bevoegdheid te verlenen om op algemene wijze toegang te krijgen tot de inhoud van elektronische communicatie.

Ten eerste geldt krachtens section 702 FISA dat de toegang van de inlichtingendiensten tot de gegevens met het oog op de eventuele analyse en het eventuele gebruik ervan beperkt is tot gegevens die beantwoorden aan selectiecriteria die aan individuele doelwitten zijn gekoppeld.

Ten tweede zou het Upstream-programma inderdaad tot een algemene toegang tot de inhoud van elektronische communicatie ten behoeve van de geautomatiseerde filtering ervan kunnen leiden, indien selectietermen niet alleen werden toegepast op de velden ‘van’ en ‘naar’, maar ook op de volledige inhoud van de communicatiestromen (zoekopdracht ‘over’ de selectieterm)150., maar zoals de Commissie — in tegenstelling tot Schrems en het EPIC — betoogt, kan de tijdelijke toegang van inlichtingendiensten tot de volledige inhoud van elektronische communicatie met als enige doel om deze te filteren aan de hand van selectiecriteria niet op één lijn worden gesteld met een algemene toegang tot deze inhoud.151. De inmenging die uit deze, in de tijd beperkte toegang ten behoeve van geautomatiseerde filtering voortvloeit, is naar mijn mening van minder ernstige aard dan de inmenging die voortvloeit uit een algemene toegang van overheidsinstanties tot deze inhoud met als doel om deze inhoud te analyseren en eventueel te gebruiken.152. De tijdelijke toegang ten behoeve van filtering stelt deze instanties niet in staat om metagegevens of inhoud van communicatie die niet aan de selectiecriteria voldoen, te bewaren en met name niet om, zoals de Amerikaanse regering heeft opgemerkt, profielen op te stellen van individuele personen waarop deze criteria niet doelen.

Tegen deze achtergrond hangt het antwoord op de vraag of het doelgericht zoeken aan de hand van selectietermen in het kader van de op section 702 FISA gebaseerde programma's de bevoegdheden van inlichtingendiensten effectief beperkt, af van de afbakening van de keuze van de selectietermen.153. Schrems stelt in dit verband dat het Amerikaanse recht, bij gebreke van voldoende toezicht, niet waarborgt dat er niet reeds in het stadium van de filtering sprake is van algemene toegang tot de inhoud van de communicatie, zodat de wezenlijke inhoud van het recht op eerbiediging van het privéleven van de betrokken personen wordt aangetast.

Zoals ik hieronder meer uitvoerig zal uiteenzetten154., neig ook ik ertoe om te betwijfelen of de keuze van de selectietermen voldoende is afgebakend opdat is voldaan aan de criteria van voorzienbaarheid en evenredigheid van de inmengingen. Het bestaan van deze afbakening, hoe imperfect ook, verzet zich echter tegen de conclusie dat section 702 FISA overheidsinstanties algemeen toegang geeft tot de inhoud van elektronische communicatie en dus de wezenlijke inhoud van het door artikel 7 van het Handvest gewaarborgde recht aantast.

Ik benadruk eveneens dat het Hof zich in advies 1/15 op het standpunt heeft gesteld dat de wezenlijke inhoud van het door artikel 8 van het Handvest gewaarborgde recht op bescherming van persoonsgegevens onaangetast blijft wanneer de doeleinden van de verwerking zijn afgebakend en de verwerking vergezeld gaat van regels die met name de beveiliging, de vertrouwelijkheid en de integriteit van de gegevens moeten verzekeren en deze gegevens moeten beschermen tegen onrechtmatige toegang en verwerking.155.

In het privacyschildbesluit heeft de Commissie geconstateerd dat zowel section 702 FISA als PPD 28 de doeleinden afbakent waarvoor gegevens mogen worden verzameld in het kader van programma's die op basis van section 702 FISA worden uitgevoerd.156. In dat besluit heeft zij er eveneens op gewezen dat PPD 28 regels bevat voor de toegang tot de gegevens en voor de opslag en verspreiding daarvan, teneinde de beveiliging van die gegevens te verzekeren en te voorkomen dat niet-toegestane toegang plaatsvindt.157. Zoals uit het vervolg van mijn uiteenzetting zal blijken158., betwijfel ik in het bijzonder of de doeleinden van de betrokken verwerkingen voldoende duidelijk en gedetailleerd zijn omschreven om een beschermingsniveau te waarborgen dat in grote lijnen overeenkomt met het beschermingsniveau dat in de rechtsorde van de Unie geldt. Deze mogelijke tekortkomingen wettigen in mijn ogen echter niet de conclusie dat dergelijke programma's de wezenlijke inhoud van het recht op bescherming van persoonsgegevens zouden aantasten indien zij binnen de Unie werden uitgevoerd.

Bovendien herinner ik eraan dat het passende karakter van het beschermingsniveau dat in het kader van op EO 12333 gebaseerde surveillance-activiteiten wordt verzekerd, moet worden getoetst aan de EVRM-bepalingen. In dit verband volgt uit het privacyschildbesluit dat de enige beperkingen die worden gesteld aan de uitvoering van op EO 12333 gebaseerde maatregelen om gegevens over niet-Amerikanen te verzamelen, de beperkingen krachtens PPD 28 zijn.159. Deze presidentiële richtlijn bepaalt dat het gebruik van buitenlandse inlichtingen ‘zo specifiek als haalbaar’ moet zijn, maar vermeldt uitdrukkelijk de mogelijkheid om gegevens ‘bulksgewijs’ te verzamelen buiten het Amerikaanse grondgebied teneinde bepaalde specifieke doeleinden van nationale veiligheid te verwezenlijken.160. Volgens Schrems beschermen de bepalingen van PPD 28, die overigens geen rechten voor individuen schept, de betrokkenen niet tegen het risico van algemene toegang tot de inhoud van hun elektronische communicatie.

Ik volsta hier met de opmerking dat het EHRM in zijn rechtspraak over artikel 8 EVRM nergens het begrip ‘aantasting’ van de wezenlijke inhoud of het wezen van het recht op eerbiediging van het privéleven heeft gehanteerd.161. Tot op heden heeft deze rechterlijke instantie niet geoordeeld dat regelingen die toestaan dat elektronische communicatie wordt onderschept, ook niet als dit massaal geschiedt, als zodanig de beoordelingsmarge van de lidstaten overschrijden. Het EHRM acht dergelijke regelingen verenigbaar met artikel 8, lid 2, EVRM mits zij vergezeld gaan van een aantal minimumwaarborgen.162. In deze omstandigheden lijkt het mij niet gepast om te concluderen dat een surveillanceregeling als bedoeld in EO 12333 de beoordelingsmarge van de lidstaten zou overschrijden, zonder dat wordt onderzocht met welke waarborgen die eventueel gepaard gaat.

Volgens artikel 52, lid 1, van het Handvest moet elke beperking op de uitoefening van de in dit Handvest erkende rechten daadwerkelijk beantwoorden aan een door de Unie erkende doelstelling van algemeen belang. Artikel 8, lid 2, van het Handvest bepaalt voorts dat de verwerking van persoonsgegevens zonder toestemming van de betrokkene enkel mag geschieden op basis van een ‘gerechtvaardigde grondslag waarin de wet voorziet’. Op zijn beurt somt artikel 8, lid 2, EVRM op welke doelstellingen een inmenging in de uitoefening van het recht op eerbiediging van het privéleven kunnen rechtvaardigen.

Krachtens het privacyschildbesluit kan het onderschrijven van de daarin opgenomen beginselen worden beperkt om te voldoen aan verplichtingen in verband met de nationale veiligheid, het algemeen belang en de naleving van de wetgeving.163. In de overwegingen 67 tot en met 124 van dit besluit worden meer specifiek de beperkingen onderzocht die voortvloeien uit de toegang tot de gegevens en het gebruik daarvan door Amerikaanse overheidsinstanties voor doeleinden van nationale veiligheid.

Vast staat dat de bescherming van de nationale veiligheid een legitieme doelstelling is die een afwijking van de vereisten van de AVG164. en van de in de artikelen 7 en 8 van het Handvest verankerde grondrechten kan rechtvaardigen.165. Schrems, de Oostenrijkse regering en het EPIC merken evenwel op dat de doelstellingen die met de op section 702 FISA en EO 12333 gebaseerde programma's worden nagestreefd, verder reiken dan alleen de nationale veiligheid. Deze instrumenten hebben namelijk tot doel om ‘buitenlandse inlichtingen’ te verkrijgen, een begrip dat verschillende soorten informatie omvat, waaronder ook doch niet noodzakelijk uitsluitend informatie in verband met de nationale veiligheid.166. Zo vallen gegevens betreffende het voeren van het buitenlandbeleid onder het begrip ‘buitenlandse inlichtingen’ in de zin van section 702 FISA.167. Op zijn beurt omschrijft EO 12333 dit begrip als informatie over de capaciteit, intenties of activiteiten van buitenlandse regeringen, organisaties of personen.168. Schrems betwist de legitimiteit van deze doelstelling, omdat zij het kader van de nationale veiligheid te buiten zou gaan.

In mijn ogen kan de bescherming van belangen die verband houden met het voeren van het buitenlandbeleid in zekere mate ook onder de noemer van de nationale veiligheid vallen.169. Daarnaast acht ik het niet ondenkbaar dat sommige van de doelstellingen die onder het begrip ‘buitenlandse inlichtingen’ in de zin van section 702 FISA en EO 12333 vallen en geen betrekking hebben op de bescherming van de nationale veiligheid, belangrijke doelstellingen van algemeen belang zijn die een inmenging kunnen rechtvaardigen in de uitoefening van de grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens. Deze doelstellingen wegen hoe dan ook minder zwaar dan de doelstelling van bescherming van de nationale veiligheid bij de afweging van de grondrechten van de betrokkenen tegen het doel dat met de inmenging wordt nagestreefd.170.

Daarnaast vereist artikel 52, lid 1, van het Handvest echter ook nog dat de nationale veiligheid of een ander legitiem doel daadwerkelijk wordt nagestreefd door de maatregelen die in de betrokken inmengingen voorzien.171. Verder moeten de doelstellingen van de inmengingen zodanig worden geformuleerd dat zij aan de vereisten van duidelijkheid en nauwkeurigheid voldoen.172.

Volgens Schrems is de doelstelling van de in section 702 FISA en EO 12333 bedoelde surveillancemaatregelen niet voldoende nauwkeurig omschreven om de garanties van voorzienbaarheid en evenredigheid in acht te nemen. Dit komt vooral omdat deze instrumenten het begrip ‘buitenlandse inlichtingen’ bijzonder ruim omschrijven. Bovendien heeft de Commissie in overweging 109 van het privacyschildbesluit vastgesteld dat section 702 FISA vereist dat het verkrijgen van informatie op het gebied van buitenlandse inlichtingen een ‘significant doel’ van de verwerving is, zonder dat deze formulering a priori uitsluit, zoals door het EPIC is opgemerkt, dat andere, niet nader omschreven doelstellingen worden nagestreefd.

Om deze redenen kan men zich afvragen — zonder dat het uitgesloten is dat de surveillancemaatregelen krachtens section 702 FISA of EO 12333 legitieme doeleinden nastreven — of die maatregelen voldoende duidelijk en nauwkeurig zijn omschreven om het risico van misbruik te voorkomen en om te kunnen toetsen of de daaruit voortvloeiende inmengingen evenredig zijn.173.

Het Hof heeft herhaaldelijk onderstreept dat de in de artikelen 7 en 8 van het Handvest verankerde rechten geen absolute gelding hebben maar moeten worden beschouwd in relatie tot hun functie in de samenleving en overeenkomstig het evenredigheidsbeginsel moeten worden afgewogen tegen andere grondrechten.174. Zoals Facebook Ireland heeft benadrukt, valt onder deze andere rechten ook het door artikel 6 van het Handvest gewaarborgde recht op veiligheid.

In dit verband is het eveneens vaste rechtspraak dat elke inmenging in de uitoefening van de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten aan een strenge evenredigheidstoets wordt onderworpen.175.

In het bijzonder volgt uit het arrest Schrems dat ‘[n]iet beperkt tot het strikt noodzakelijke […] een regeling [is] die algemeen toestaat dat alle persoonsgegevens […] worden bewaard, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel en zonder dat wordt voorzien in een objectief criterium ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan voor specifieke doeleinden, die strikt beperkt zijn en als rechtvaardiging kunnen dienen voor de inmenging als gevolg van zowel de toegang tot als het gebruik van deze gegevens’176..

Het Hof heeft eveneens geoordeeld dat de toegang, behalve in naar behoren gerechtvaardigde gevallen van spoedeisendheid, moet worden onderworpen aan een voorafgaande controle door hetzij een rechterlijke instantie, hetzij een onafhankelijke bestuurlijke entiteit, wier beslissing ertoe strekt om de toegang tot de gegevens en het gebruik ervan te beperken tot hetgeen strikt noodzakelijk is voor de verwezenlijking van het nagestreefde doel.177.

Thans somt artikel 23, lid 2, AVG een reeks garanties op waarin een lidstaat moet voorzien wanneer hij afwijkt van de bepalingen van deze verordening. De regeling die een dergelijke afwijking toestaat, moet bepalingen bevatten inzake onder meer de doelstellingen van de verwerking, het toepassingsgebied van de afwijking, de waarborgen ter voorkoming van misbruik, de opslagperioden en het recht van betrokkenen om van de afwijking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel daarvan.

In casu stelt Schrems dat section 702 FISA onvoldoende waarborgen biedt tegen de risico's van misbruik en onrechtmatige toegang tot de gegevens. Met name is de keuze van de selectiecriteria onvoldoende afgebakend, zodat deze bepaling geen verzekeringen biedt tegen een algemene toegang tot de inhoud van de communicatie.

De regering van de Verenigde Staten en de Commissie betogen daarentegen dat section 702 FISA de keuze van de selectietermen beperkt door middel van objectieve criteria, aangezien deze bepaling het verzamelen van elektronischecommunicatiegegevens van niet-Amerikaanse personen buiten de Verenigde Staten uitsluitend toestaat om buitenlandse inlichtingen te verkrijgen.

Ik betwijfel of deze criteria voldoende duidelijk en nauwkeurig zijn en of er sprake is van voldoende waarborgen om risico's van misbruik te voorkomen.

Om te beginnen wordt in overweging 109 van het privacyschildbesluit aangegeven dat de selectietermen voorafgaand aan de toepassing ervan niet individueel worden goedgekeurd door de FISC of een ander onafhankelijk rechterlijk of administratief orgaan. De Commissie heeft in dat besluit geconstateerd dat de FISC ‘geen toestemming [geeft] voor individuele surveillancemaatregelen [maar] in plaats daarvan toestemming voor surveillanceprogramma's […] op basis van jaarlijkse certificeringen’, hetgeen de regering van de Verenigde Staten ten overstaan van het Hof heeft bevestigd. Volgens deze overweging ‘bevatten de door de FISC goed te keuren certificeringen geen informatie over de individuele personen die het doelwit moeten worden, maar bepalen ze in plaats daarvan categorieën buitenlandse inlichtingen’ die kunnen worden verzameld. De Commissie stelt eveneens vast dat ‘[de] FISC […] niet — op grond van een redelijk vermoeden of een andere norm — [beoordeelt] of natuurlijke personen het juiste doelwit zijn om buitenlandse inlichtingen te verwerven’, ofschoon het wel de voorwaarde controleert dat ‘het verkrijgen van buitenlandse inlichtingen een significant doel van de verwerving is’.

Verder staat in deze overweging dat de NSA op grond van section 702 FISA alleen communicatie mag verzamelen ‘als redelijkerwijs kan worden aangenomen dat een bepaald communicatiemiddel wordt gebruikt voor de doorgifte van buitenlandse inlichtingen’. Volgens overweging 70 van het privacyschildbesluit vindt de bepaling van de selectietermen plaats binnen het nationaal kader voor de prioriteiten op het gebied van inlichtingen (National Intelligence Priorities Framework; NIPF). Dit besluit behelst geen vereisten voor de NSA om de keuze van de selectietermen nader te motiveren of te rechtvaardigen in het licht van deze administratieve prioriteiten.178.

Ten slotte verwijst overweging 71 van het privacyschildbesluit naar het in PPD 28 geformuleerde vereiste dat het verzamelen van buitenlandse inlichtingen altijd ‘zo specifiek als haalbaar’ is. Afgezien van het feit dat deze presidentiële richtlijn geen rechten voor individuen schept, lijkt het mij allesbehalve vanzelfsprekend dat het criterium dat een activiteit ‘zo specifiek als haalbaar’ moet zijn, in grote lijnen overeenkomt met het criterium van de ‘strikte noodzaak’ zoals dat in artikel 52, lid 1, van het Handvest wordt gehanteerd met het oog op de rechtvaardiging van een inmenging in de uitoefening van de door de artikelen 7 en 8 ervan gewaarborgde rechten.179.

Gelet op deze overwegingen is het op grond van de in het privacyschildbesluit uiteengezette elementen niet zeker of de op section 702 FISA gebaseerde surveillancemaatregelen gepaard gaan met waarborgen met betrekking tot de beperking van de personen die aan een surveillancemaatregel kunnen worden onderworpen en de beperking van de doeleinden waarvoor gegevens mogen worden verzameld die in grote lijnen overeenkomen met de waarborgen die vereist zijn krachtens de AVG, gelezen in samenhang met de artikelen 7 en 8 van het Handvest.180.

Bovendien kent het EHRM de lidstaten in het kader van de beoordeling van het passende karakter van het beschermingsniveau waarmee de surveillance krachtens EO 12333 gepaard gaat, een ruime beoordelingsmarge toe bij de keuze van de middelen om hun nationale veiligheid te beschermen, zij dat deze marge beperkt wordt door het vereiste om te voorzien in passende en toereikende waarborgen tegen misbruik.181. In zijn rechtspraak over geheime surveillancemaatregelen onderzoekt het EHRM of het interne recht waarop deze maatregelen zijn gebaseerd, zodanig toereikende en doeltreffende waarborgen en beschermingsmechanismen biedt dat daarmee wordt voldaan aan de vereisten van ‘voorzienbaarheid’ en ‘noodzakelijkheid’ in een democratische samenleving.182.

Het EHRM somt in dit verband een aantal minimumwaarborgen op. Deze betreffen de duidelijke omschrijving van de aard van de vergrijpen die aanleiding kunnen geven tot een interceptiebevel, de definitie van de categorieën personen waarvan de communicatie mag worden onderschept, de begrenzing van de uitvoeringsduur van de maatregel, de procedure die moet worden gevolgd voor de inzage, verwerking en opslag van de verzamelde gegevens, de voorzorgsmaatregelen die in acht moeten worden genomen bij het doorgeven van de gegevens aan andere partijen en de omstandigheden waarin de verzamelde gegevens gewist of vernietigd mogen of moeten worden.183.

Of de waarborgen waarmee de inmenging gepaard gaat, passend en doeltreffend zijn hangt af van de omstandigheden van het geval, daaronder begrepen de aard, de omvang en de duur van de maatregelen, de redenen op grond waarvan deze maatregelen mogen worden gelast, de autoriteiten die bevoegd zijn om de maatregelen toe te staan, uit te voeren en daarop toe te zien, en het type rechtsmiddelen waarin het nationale recht voorziet.184.

Om te beoordelen of een geheime surveillancemaatregel gerechtvaardigd is, houdt het EHRM met name rekening met alle vormen van toezicht die worden uitgeoefend ‘wanneer de maatregel wordt gelast’, ‘terwijl de surveillance plaatsvindt’ en ‘nadat de surveillance is gestaakt’.185. Wat het eerste van deze drie stadia betreft, verlangt het EHRM dat een dergelijke maatregel wordt toegestaan door een onafhankelijk orgaan. Ofschoon de rechterlijke macht volgens het EHRM de beste garanties biedt voor onafhankelijkheid, onpartijdigheid en een regelmatige procesgang, hoeft het betrokken orgaan niet per se deel uit te maken van het gerechtelijk apparaat.186. Een grondige rechterlijke toetsing in een later stadium kan eventuele tekortkomingen in de machtigingsprocedure compenseren.187.

In casu blijkt uit het privacyschildbesluit dat de enige waarborgen ter beperking van het verzamelen en gebruiken van gegevens buiten het grondgebied van de Verenigde Staten worden geboden door PPD 28, omdat section 702 FISA buiten dit grondgebied niet van toepassing is. Ik ben er niet van overtuigd dat deze waarborgen volstaan om te voldoen aan de voorwaarden van ‘voorzienbaarheid’ en ‘noodzakelijkheid in een democratische samenleving’.

Om te beginnen heb ik reeds opgemerkt dat deze presidentiële richtlijn geen rechten voor individuen schept. Verder betwijfel ik of het vereiste dat de surveillance ‘zo specifiek als haalbaar’ is, in voldoende duidelijke en nauwkeurige bewoordingen is gesteld om de betrokkenen adequaat te beschermen tegen het risico van misbruik.188. Tot slot wordt in het privacyschildbesluit niet vastgesteld dat de surveillance op basis van EO 12333 is onderworpen aan voorafgaand toezicht door een onafhankelijk orgaan of aan rechterlijke toetsing achteraf.189.

In deze omstandigheden heb ik vraagtekens bij de juistheid van de constatering dat de Verenigde Staten in het kader van de activiteiten van hun inlichtingendiensten krachtens section 702 FISA en EO 12333 een passend beschermingsniveau verzekeren in de zin van artikel 45, lid 1, AVG, gelezen in samenhang met de artikelen 7 en 8 van het Handvest en artikel 8 EVRM.

In de eerste plaats heeft krachtens artikel 47, eerste alinea, van het Handvest eenieder wiens door het recht van de Unie gewaarborgde rechten en vrijheden zijn geschonden, recht op een doeltreffende voorziening in rechte.190. Volgens de tweede alinea van dit artikel heeft eenieder recht op een eerlijke en openbare behandeling van zijn zaak.191. De toegang tot een onafhankelijke rechter vormt de kern van het door artikel 47 van het Handvest gewaarborgde recht.192.

Dit recht op individuele rechtsbescherming geldt naast de verplichting die krachtens de artikelen 7 en 8 van het Handvest op de lidstaten rust om elke surveillancemaatregel, behoudens in naar behoren gerechtvaardigde gevallen van spoedeisendheid, te onderwerpen aan een voorafgaande controle door een rechterlijke instantie of een onafhankelijke administratieve autoriteit.193.

Weliswaar is het recht op een doeltreffende voorziening in rechte geen absolute garantie, zoals de Duitse en de Franse regering hebben betoogd194., omdat dit recht om redenen van nationale veiligheid kan worden beperkt, doch dit neemt niet weg dat hiervan slechts mag worden afgeweken voor zover de wezenlijke inhoud van dit recht niet wordt aangetast en voor zover de afwijking strikt noodzakelijk is om een legitiem doel te verwezenlijken.

Dienaangaande heeft het Hof in het arrest Schrems geoordeeld dat een regeling die niet in enige beroepsmogelijkheid voor de justitiabele voorziet om toegang tot de hem betreffende persoonsgegevens te verkrijgen, dan wel rectificatie of verwijdering van die gegevens, de wezenlijke inhoud van het in artikel 47 van het Handvest verankerde grondrecht aantast.195.

Ik onderstreep dat dit recht van inzage inhoudt dat een persoon de mogelijkheid heeft om, behoudens afwijkingen die strikt noodzakelijk zijn om een legitiem belang na te streven, van de overheidsinstanties uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens.196. Naar mijn mening is dit de praktische strekking van het recht van inzage wanneer de betrokkene niet weet of de overheidsinstanties hem betreffende persoonsgegevens hebben bewaard na afloop van, onder meer, een proces van automatische filtering van elektronischecommunicatiestromen.

Bovendien volgt uit de rechtspraak dat de autoriteiten van een lidstaat in beginsel ertoe verplicht zijn om iemand in te lichten over de toegang tot de gegevens, zodra deze mededeling geen gevaar meer kan opleveren voor de gevoerde onderzoeken.197. Een dergelijke mededeling vormt immers een eerste vereiste om het in artikel 47 van het Handvest neergelegde recht op een voorziening in rechte te kunnen uitoefenen.198. Deze verplichting is thans opgenomen in artikel 23, lid 2, onder h), AVG.

De overwegingen 111 tot en met 135 van het privacyschildbesluit bevatten een beknopte weergave van de rechtsmiddelen waarover personen wier gegevens worden doorgegeven, beschikken wanneer zij vrezen dat deze gegevens na doorgifte zullen worden verwerkt door de Amerikaanse inlichtingendiensten. Deze rechtsmiddelen staan ook beschreven in de uitspraak van de High Court van 3 oktober 2017 en in de opmerkingen van met name de regering van de Verenigde Staten.

Het is niet nodig om opnieuw uitvoerig op de inhoud van die uiteenzettingen in te gaan. De verwijzende rechter betwijfelt namelijk of de waarborgen voor de rechtsbescherming van de betrokkenen passend zijn, in hoofdzaak omdat de bijzonder strenge eisen inzake de procesbevoegdheid (standing)199., in combinatie met het ontbreken van enige verplichting om personen ten aanzien van wie een surveillancemaatregel is uitgevoerd daarvan in kennis te stellen zelfs wanneer die mededeling de doelstellingen ervan niet langer zou ondermijnen, het in de praktijk buitensporig moeilijk maken om de in het recht van de Verenigde Staten geboden rechtsmiddelen aan te wenden. De DPC, Schrems, de Oostenrijkse, de Poolse en de Portugese regering alsook de EDPB delen deze twijfel.200.

Ik volsta in dit verband met de opmerking dat de regels inzake de procesbevoegdheid geen afbreuk mogen doen aan een doeltreffende rechtsbescherming201., en constateer dat het privacyschildbesluit nergens melding maakt van een vereiste om de betrokkenen te informeren over het feit dat jegens hen een surveillancemaatregel is genomen202.. Aangezien dit zou kunnen belemmeren dat een beroep in rechte wordt ingesteld, lijkt het ontbreken van een verplichting om een dergelijke maatregel mee te delen, zelfs wanneer het informeren van de betrokkene niet langer de doeltreffendheid van die maatregel zou ondermijnen, problematisch in het licht van de in punt 320 van deze conclusie aangehaalde rechtspraak.

In voetnoot 169 van het privacyschildbesluit wordt bovendien erkend dat voor de beschikbare procedures ‘ofwel het bestaan van schade [is] vereist […] ofwel een bewijs dat de overheid voornemens is uit elektronische surveillance van de betrokkene verkregen of afgeleide informatie tegen die persoon te gebruiken of bekend te maken’. Zoals de verwijzende rechter, de DPC en Schrems hebben benadrukt, staat dit vereiste haaks op de rechtspraak van het Hof dat het voor de vaststelling van een inmenging in het recht op eerbiediging van het privéleven van een persoon niet nodig is dat de betrokkene door de gestelde inmenging al dan niet enig nadeel heeft ondervonden.203.

Ook het door Facebook Ireland en de regering van de Verenigde Staten verkondigde standpunt dat de zwakke punten van de rechtsbescherming van personen wier gegevens naar de Verenigde Staten worden doorgegeven, worden gecompenseerd door het toezicht dat de FISC vooraf en achteraf uitoefent en door de talrijke controlemechanismen binnen de uitvoerende en de wetgevende macht204., acht ik weinig overtuigend.

Ik heb er al op gewezen dat de FISC individuele surveillancemaatregelen vóór de uitvoering ervan niet aan toezicht onderwerpt, zoals ook in het privacyschildbesluit is vastgesteld.205. Zoals uit overweging 109 van dit besluit volgt en zoals ook de regering van de Verenigde Staten in haar schriftelijke antwoord op de vragen van het Hof heeft bevestigd, heeft het toezicht a posteriori op de toepassing van de selectietermen daarnaast tot doel om na te gaan of er, wanneer een inlichtingendienst bij de FISC een incident heeft gemeld in verband met de mogelijke niet-naleving van de procedures om het doelwit te specificeren en de minimaliseringsprocedures206., is voldaan aan de in de jaarlijkse certificering vastgestelde voorwaarden met betrekking tot de keuze van de selectietermen. De procedure bij de FISC lijkt personen wier gegevens naar de Verenigde Staten worden doorgegeven, derhalve geen doeltreffende individuele voorziening in rechte te bieden.

De in de overwegingen 95 tot en met 110 van het privacyschildbesluit vermelde buitengerechtelijke toezichtmechanismen zouden eventuele voorzieningen in rechte in voorkomend geval weliswaar kunnen versterken, maar zij kunnen in mijn ogen niet volstaan om een passend beschermingsniveau met betrekking tot het recht op beroep van de betrokkenen verzekeren. Met name vormen de algemeen inspecteurs, die deel uitmaken van de interne structuur van elke dienst, naar mijn mening geen onafhankelijk toezichtmechanisme. Op zijn beurt kan het toezicht dat wordt uitgeoefend door de PCLOB en de inlichtingencommissies van het Amerikaanse Congres, niet worden gelijkgesteld met een individueel beroepsrecht tegen surveillancemaatregelen.

Onderzocht moet derhalve worden of deze lacunes door de instelling van de ombudsman worden gecompenseerd doordat aan de betrokkenen een doeltreffende beroepsgang bij een onafhankelijk en onpartijdig orgaan wordt geboden.207.

In de tweede plaats wil ik eraan herinneren dat de bepalingen van het EVRM het relevante referentiekader vormen voor de beoordeling van de juistheid van de in het privacyschildbesluit gedane constatering van adequaatheid, gelet op de rechtsmiddelen die openstaan voor personen die vermoeden dat jegens hen op EO 12333 gebaseerde surveillance is uitgeoefend.

Zoals ik hierboven heb uiteengezet208., onderzoekt het EHRM in het kader van de beoordeling of een surveillancemaatregel voldoet aan de voorwaarden van ‘voorzienbaarheid’ en ‘noodzakelijkheid in een democratische samenleving’ in de zin van artikel 8, lid 2, EVRM209., alle controle- en toezichtmechanismen die ‘vóór, tijdens en na’ de uitvoering van die maatregel worden toegepast. Wanneer het instellen van een individueel beroep wordt belemmerd doordat een mededeling van de surveillancemaatregel niet mogelijk is zonder de doeltreffendheid daarvan te ondermijnen210., kan deze lacune worden gecompenseerd door middel van onafhankelijk toezicht vóór toepassing van de betrokken maatregel.211. Ofschoon het EHRM een dergelijke mededeling dus ‘wenselijk’ acht wanneer dit mogelijk is zonder de doeltreffendheid van de surveillancemaatregel te ondermijnen, heeft het dit niet tot een verplichting verheven.212.

Uit het privacyschildbesluit blijkt niet dat de op EO 12333 gebaseerde surveillancemaatregelen worden meegedeeld aan de betrokkenen of in enig stadium van de vaststelling of uitvoering ervan vergezeld gaan van mechanismen van onafhankelijk rechterlijk of administratief toezicht.

In deze omstandigheden moet worden onderzocht of de inschakeling van de ombudsman niettemin kan verzekeren dat er onafhankelijk toezicht wordt uitgeoefend op de surveillancemaatregelen, met inbegrip van die welke op EO 12333 zijn gebaseerd.

Volgens overweging 116 van het privacyschildbesluit moet het in bijlage III A bij dit besluit bedoelde ombudsmanmechanisme personen wier gegevens vanuit de Unie worden doorgegeven naar de Verenigde Staten, een aanvullend rechtsmiddel bieden.

Zoals de Amerikaanse regering heeft onderstreept, gelden voor de ontvankelijkheid van een klacht bij de ombudsman niet dezelfde regels inzake procesbevoegdheid als voor de toegang tot de Amerikaanse rechter. Dienaangaande wordt in overweging 119 van voornoemd besluit gepreciseerd dat wanneer de betrokkene zich tot de ombudsman wendt, hij niet hoeft aan te tonen dat zijn persoonsgegevens door de Amerikaanse overheid zijn geraadpleegd.

Evenals de DPC, Schrems, de Poolse en de Portugese regering en het EPIC betwijfel ik of dit mechanisme geëigend is om de gebrekkige rechtsbescherming voor personen wier gegevens vanuit de Unie naar de Verenigde Staten worden overgedragen, te compenseren.

Om te beginnen kan een buitengerechtelijk rechtsmiddel weliswaar een doeltreffende voorziening in rechte in de zin van artikel 47 VWEU vormen, maar geldt dit uitsluitend voor zover het betrokken orgaan een wettelijke grondslag heeft en aan het vereiste van onafhankelijkheid voldoet.213.

Uit het privacyschildbesluit blijkt dat het ombudsmanmechanisme, dat zijn oorsprong vindt in PPD 28214., geen wettelijke grondslag heeft. De ombudsman wordt aangesteld door de Secretary of State en maakt deel uit van het ministerie van Buitenlandse Zaken van de Verenigde Staten.215. Nergens in dit besluit wordt vermeld dat het ontslag van de ombudsman of de intrekking van zijn aanstelling met specifieke waarborgen is omkleed.216. Hoewel het wordt voorgesteld alsof de ombudsman onafhankelijk is van de ‘inlichtingendiensten’, legt hij verantwoording af aan de Secretary of State en is hij dus niet onafhankelijk van de uitvoerende macht.217.

Daarnaast hangt de doeltreffendheid van een buitengerechtelijk rechtsmiddel mijns inziens ook af van de vraag of het betrokken orgaan bindende en gemotiveerde besluiten kan nemen. Uit het privacyschildbesluit kan nergens worden afgeleid dat de ombudsman dergelijke besluiten neemt. Er wordt niet vastgesteld dat de instelling van de ombudsman ervoor zorgt dat verzoekende partijen inzage in hen betreffende gegevens kunnen krijgen en om rectificatie of schrapping van deze gegevens kunnen verzoeken, noch dat de ombudsman een vergoeding toekent aan personen die door een surveillancemaatregel zijn benadeeld. Met name zal, zoals blijkt uit bijlage III A, punt 4, onder e), van dit besluit, ‘[de] ombudsman […] bevestigen noch ontkennen dat de betrokkene het voorwerp is geweest van surveillance, noch zal [hij] de specifieke oplossing bevestigen die werd gekozen’.218. Hoewel de Amerikaanse regering heeft toegezegd dat zij het betrokken onderdeel van de inlichtingendiensten zal verplichten om elke schending van de toepasselijke voorschriften die door de ombudsman wordt vastgesteld, te corrigeren219., blijkt nergens in dit besluit dat deze toezegging gepaard gaat met wettelijke waarborgen waarop de betrokken individuen zich kunnen beroepen.

Met het instellen van het ombudsmanmechanisme wordt derhalve naar mijn mening geen beroepsgang bij een onafhankelijk orgaan geboden dat personen wier gegevens worden doorgegeven, de mogelijkheid biedt om hun recht op inzage van de gegevens te doen gelden of op te komen tegen de eventuele niet-naleving van de toepasselijke voorschriften door de inlichtingendiensten.

Volgens de rechtspraak ten slotte zou de eerbiediging van het door artikel 47 van het Handvest gewaarborgde recht in dat geval veronderstellen dat het besluit van dit bestuursorgaan, dat niet zelf aan de voorwaarden van onafhankelijkheid voldoet, later wordt onderworpen aan toezicht door een rechterlijk orgaan dat bevoegd is om op alle relevante vragen in te gaan.220. Uit de in het privacyschildbesluit vastgestelde gegevens blijkt echter dat de besluiten van de ombudsman niet aan onafhankelijk rechterlijk toezicht zijn onderworpen.

In deze omstandigheden betwijfel ik — gelijk ook de DPC, Schrems, het EPIC en de Poolse en de Portugese regering hebben betoogd — of de rechtsbescherming die in de rechtsorde van de Verenigde Staten wordt geboden aan personen wier gegevens vanuit de Unie naar dat land worden doorgegeven, in wezen gelijkwaardig is aan de rechtsbescherming zoals die voortvloeit uit de AVG, gelezen in samenhang met artikel 47 van het Handvest en artikel 8 EVRM.

In het licht van de voorgaande overwegingen waag ik te betwijfelen of het privacyschildbesluit verenigbaar is met artikel 45, lid 1, AVG, gelezen in samenhang met de artikelen 7, 8 en 47 van het Handvest en artikel 8 EVRM.