Onder het verdrag konden internetbedrijven als Facebook toestemming krijgen om de gegevens van Europeanen in de VS op te slaan. Het Hof vindt echter dat deze gegevens in dat land onvoldoende worden beschermd, en dat het verdrag daarom ongeldig is.

In de uitspraak (pdf) wordt ook duidelijk gemaakt dat het ongeacht het Europese verdrag al mogelijk had moeten zijn voor nationale toezichthouders als het Nederlandse College Bescherming Persoonsgegevens om te voorkomen dat gegevens naar servers in de VS worden gestuurd.

Het Hof volgt met zijn arrest het onlangs uitgesproken advies van advocaat-generaal Yves Bot. Door de conclusie van het Hof ontstaat onzekerheid over de legaliteit van data-opslag door internetbedrijven als Facebook en Google in de VS.

Het arrest is gedaan in een zaak tussen de Oostenrijkse student Max Schrems en Facebook. Schrems wilde dat de Ierse privacywaakhond onderzoek doet naar gegevensbescherming in de VS, maar vanwege het Safe Harbor-verdrag weigerde de Ierse waakhond een onderzoek te starten.

De Oostenrijker haalde in de zaak onthullingen van klokkenluider Edward Snowden aan. Uit NSA-documenten van Snowden bleek dat de inlichtingendienst op grote schaal privégegevens van internetgebruikers oogst. Volgens Schrems was dat een reden om Europese data niet aan de VS toe te vertrouwen.

In de uitspraak wijst het Hof op een bericht van de Europese Commissie aan het Europees Parlement, waarin het op grote schaal verzamelen van privédata door de VS "onaanvaardbaar" wordt genoemd. Met het oog op deze mededeling had de Commissie het verdrag direct moeten opschorten.

Het is voor het eerst dat het Hof een zaak behandelt waar de onthullingen van Snowden een direct gevolg op hebben gehad en dat de rechtbank hierdoor een grote beleidswijziging afdwingt.

Schrems zegt zeer verheugd te zijn met de uitspraak: "Dit arrest trekt een duidelijke grens. Het verduidelijkt dat massasurveillance onze fundamentele rechten schendt." Schrems verwacht dat het arrest in de toekomst kan worden gebruikt in rechtszaken tegen de praktijken van de eigen Europese inlichtingendiensten.

Momenteel onderhandelen de EU en VS nog over een nieuw Safe Harbor-verdrag. Het is onduidelijk wat voor effect de uitspraak hierop zal hebben, maar er werd al gewerkt aan nieuwe privacybeschermingen voor Europeanen.

Nu is het voor Europeanen bijvoorbeeld nog onmogelijk om inzage in hun gegevens door de Amerikaanse autoriteiten aan te vechten in de rechtbank in de VS.

Dinsdagmiddag om 15.00 uur houden vice-voorzitter Frans Timmermans van de Europese Commissie en eurocommissaris Věra Jourová (Justitie) een persconferentie over het arrest. Het lijkt er op dat de Commissie het verdrag direct zal moeten opschorten, want het Hof spreekt in zijn arrest niet over een overgangsperiode.

De exacte gevolgen van de uitspraak voor internetbedrijven zijn nog onduidelijk. Als zij gegevens in de VS willen blijven opslaan, zal daar een andere juridische basis voor moeten worden gevonden.

Het Hof stelt dat de Ierse privacywaakhond nu alsnog zal moeten voldoen aan het verzoek van Schrems om de privacybeschermingen van de VS te onderzoeken, en te bepalen of deze voldoende zijn voor de opslag van Europese gegevens.

In totaal hebben ruim vijfduizend bedrijven een certificaat waarmee zij gebruik mogen maken van het Safe Harbor-verdrag. Hiervoor moesten zij voldoen aan verschillende voorwaarden, waaronder de invoering van een geldig privacybeleid. Er was echter geen externe toezichthouder die in de gaten hield of bedrijven zich wel aan de voorwaarden hielden.

In een reactie op de uitspraak stelt Facebook dat het bedrijf zich bij data-overdracht tussen de VS en Europa baseert op "meerdere methodes" die in de Europese wet zijn voorgeschreven, naast het Safe Harbor-verdrag.

"Het is essentieel dat de Europese en Amerikaanse overheden blijven zorgen voor betrouwbare methodes om wettelijk data over te dragen en de kwesties rondom de nationale veiligheid oplossen", aldus een woordvoerder.