Skip to main content

Schrems I

TL;DR

Schrems I was een zaak die het Europese Hof van Justitie bereikte. Genoemd naar Max Schrems, was het gebaseerd op de claim dat, in de context van het NSA PRISM programma, aan het publiek geopenbaard door Edward Snowden, Amerikaanse bedrijven niet in staat zouden zijn om adequate bescherming van persoonsgegevens te garanderen. Daarom werd geoordeeld dat het op grond van de Europeserichtlijn inzake gegevensbescherming niet legaal was om persoonsgegevens tussen de EU en de VS door te geven. Dit leidde tot de ongeldigverklaring van de Safe Harbor-overeenkomst en had ernstige gevolgen voor de activiteiten van verschillende ondernemingen.

Wat betekent Schrems I?

Schrems I is de algemene naam voor een rechtszaak in verband met gegevensbescherming voor het Hof van Justitie. De zaak is vernoemd naar Max Schrems, een Oostenrijkse activist die een klacht indiende tegen Facebook, met als argument dat het bedrijf niet kon zorgen voor passende maatregelen ter bescherming van zijn persoonsgegevens, omdat die van de EU naar de Verenigde Staten werden doorgegeven.

De zaak begon in 2013 in Ierland, het hoofdkwartier van Facebook in Europa, met een klacht bij de Ierse commissaris voor gegevensbescherming. De zaak escaleerde en kwam in 2015 voor het Europees Hof van Justitie, omdat Max Schrems niet tevreden was met het antwoord dat hij kreeg en vervolgens een klacht indiende tegen de commissaris voor gegevensbescherming zelf. Het Europese Hof oordeelde in oktober 2015 in het voordeel van Schrems.

Wat waren de gevolgen van Schrems I ?

Dit betekende dat een hele transnationale overeenkomst tussen de EU en de VS, de zogenaamde Safe Harbor, automatisch ongeldig werd verklaard. In de praktijk was het niet meer mogelijk om de gegevens van Europese burgers door te geven aan de VS, omdat werd geoordeeld dat deze laatste geen adequate normen voor privacy kon garanderen. Dit was in de context van het NSA PRISM-schandaal, waaruit bleek dat privégegevens door de Amerikaanse dienst zonder enige toestemming werden ingezien.

Alle bedrijven die zaken deden waarbij gegevens van EU-burgers betrokken waren, werden dus niet langer beschermd door de veilige haven, en het was voor hen enige tijd illegaal om persoonsgegevens te verwerken. Dit zou grote gevolgen hebben voor verschillende bedrijven. Elk bedrijf moest nu nagaan of eenvoudige processen, zoals gebruikers die hun websites bezoeken, ertoe kunnen leiden dat hun persoonsgegevens (IP, locatie, andere in cookies opgeslagen gegevens) illegaal naar de VS worden doorgegeven. Dit was het geval als die websites gebruik maakten van apps van derden uit de VS, zoals bijvoorbeeld Google Analytics.

Hoewel de EU en de VS werkten aan een volgende overeenkomst, het Privacy Shield, werd ook deze in 2020 ongeldig verklaard, nadat een andere klacht van dezelfde man had geleid tot de zaak Schrems II.