Facebook is niet per se in overtreding door persoonlijke data van inwoners van Europa naar de Verenigde Staten te sturen, concludeert advocaat-generaal Henrik Øe in een advies aan het Europees Hof van Justitie. Een Europees besluit uit 2010 maakt het in beginsel namelijk mogelijk dat deze gegevens naar de VS verstuurd mogen worden.

De conclusie van de advocaat-generaal is niet bindend, maar wordt doorgaans wel overgenomen door het Europees Hof van Justitie. Als het hof het advies overneemt, moet later concreet getoetst worden of er passende maatregelen zijn getroffen om data te beschermen.

Øe velt zijn oordeel in een zaak tussen het Europese kantoor van Facebook en Max Schrems, een Oostenrijkse jurist en privacyactivist. Die diende in 2013 een klacht tegen Facebook in omdat het bedrijf volgens hem onwettig gegevens van inwoners van de Europese Unie naar servers in de VS stuurt.

Volgens Schrems voldoet Facebook niet aan de eisen die het Europese besluit stelt. Hij verwijst daarbij naar de onthullingen van klokkenluider Edward Snowden uit 2013 over het werk van de Amerikaanse inlichtingendiensten. Die inlichtingenpraktijken bewijzen volgens hem dat de VS de gegevens van Europeanen onvoldoende beschermt.

Øe gaat daar niet in mee: de advocaat-generaal concludeert dat het Europese besluit geldig is. Dat zou betekenen dat Facebook zich op deze bepaling kan beroepen om persoonlijke gegevens naar servers in de VS te kunnen sturen. Of dat definitief is, blijkt in 2020. Het Europees Hof doet naar verwachting binnen enkele maanden uitspraak.

Privacytoezichthouder waarschijnlijk na uitspraak aan zet

Waarschijnlijk is de privacytoezichthouder van Ierland, waar Schrems in 2013 met zijn klacht over Facebook aanklopte, na de uitspraak aan zet. Als het Europees Hof meegaat met de conclusie van Øe, kan de waakhond de overeenkomst die Facebook-gebruikers met het bedrijf daadwerkelijk gaan toetsen op rechtmatigheid.

De advocaat-generaal benadrukt dat Facebook verplicht is om uit te zoeken of de Amerikaanse wet in strijd is met de overeenkomst die het bedrijf gebruikt. Het is aan de Ierse privacytoezichthouder om dat uit te zoeken en in te grijpen als de waakhond constateert dat dat niet het geval is. De toezichthouder kan in dat geval de datadeling opschorten of voorkomen.