Hoe Amerikaanse Geheime Diensten Toegang Konden Krijgen Tot Gegevens Uit De EU INDIGNATIE AI & Politiek

Spread the love en help Indignatie

Inhoud

De EU-wetgeving inzake gegevensbescherming biedt slechts beperkte bescherming tegen Amerikaanse geheime diensten. Een rapport voor de gegevensbeschermingsconferentie van de federale en deelstaatregeringen laat zien dat zelfs als de servers zich in de EU bevinden, gevoelige gegevens gevaar kunnen lopen.

Wat te doen als nieuwsgierige Amerikaanse autoriteiten in de gegevens van EU-burgers willen snuffelen? Zelfs experts vinden de antwoorden ingewikkeld. Toen het Europese Hof van Justitie (HvJ) in de zomer van 2020 de overeenkomst inzake gegevensoverdracht tussen de EU en de Verenigde Staten vernietigde met het arrest Schrems II, heerste er grote machteloosheid. Het zogenaamde Privacy Shield had de uitwisseling van gegevens over de Atlantische Oceaan wettelijk geregeld. Zonder overeenkomst zou er geen juridisch veilige gegevensoverdracht meer kunnen zijn. Tot op de dag van vandaag is er niets belangrijks veranderd.

De belangrijkste kritiek van het HvJ: De geheime diensten in de VS hebben te veel toegang tot allerlei gegevens. Omdat de Amerikaanse gegevensbeschermingswetten de Europese niet kunnen bijhouden, mogen de gegevens van EU-burgers niet langer in de VS terechtkomen. De gevolgen van het besluit zijn verstrekkend.

Hoe ver de gegevensbeschermingsconferentie van de federale en deelstaatregeringen nu probeert te beoordelen met behulp van een deskundig advies. Het is geschreven door de Amerikaanse advocaat Stephen Vladeck, die voor Facebook een expert was in het Privacy Shield-proces. Namens de gegevensbeschermingsfunctionarissen houdt Vladeck zich voornamelijk bezig met een belangrijk onderdeel van de Amerikaanse inlichtingenwetgeving. Het gaat over hoe onderzoekers gegevens mogen verzamelen van mensen buiten de Verenigde Staten.

Banken en luchtvaartmaatschappijen kunnen ook worden getroffen

Dit artikel, “Artikel 702” van de Foreign Intelligence Surveillance Act , werd in de loop van het Schrems II-arrest door het Hof van Justitie beoordeeld als onverenigbaar met de Europese gegevensbeschermingsregelgeving. De sectie geeft Amerikaanse inlichtingendiensten toestemming om communicatiegegevens van alle niet-Amerikaanse burgers op te vragen of er zelf rechtstreeks gebruik van te maken. Deze aantasting van de grondrechten wordt doorgaans gerechtvaardigd door de strijd tegen het terrorisme.

Volgens de wet is dit inzagerecht van toepassing op alle gegevens die worden gegenereerd door aanbieders van elektronische communicatiediensten. Het rapport benadrukt dat het niet alleen gaat om telecombedrijven, e-mailproviders of datacenteroperators, maar ook om andere bedrijven die elektronisch met klanten communiceren. Volgens het rapport kan dit bijvoorbeeld ook gevolgen hebben voor banken, luchtvaartmaatschappijen of hotels.

De diensten voor elektronische communicatie zouden volgens het rapport niet eens aan het publiek hoeven te worden aangeboden. Als een bedrijf zijn werknemers bijvoorbeeld een eigen e-mailservice aanbiedt, kunnen ze al onder de wet vallen. Dat betekent echter niet dat de geheime diensten alleen toegang hebben tot gegevens van deze interne e-maildienst. Een ieder die wordt aangemerkt als aanbieder van elektronische communicatiediensten moet op verzoek alle gegevens aan de diensten ter beschikking stellen.

Degenen die geen gegevens vrijgeven riskeren boetes

Als gevolg van de uitspraak van het HvJ over trans-Atlantisch dataverkeer zijn overheden en bedrijven in de Europese Unie overgestapt op het opslaan en verwerken van data alleen binnen de EU. Op het eerste gezicht zou dit bescherming kunnen bieden tegen toegang door Amerikaanse autoriteiten. Het probleem: Volgens het deskundigenoordeel is deze maatregel in sommige gevallen niet voldoende. Want een Amerikaans bedrijf met een EU-dochteronderneming zou ook door de geheime diensten kunnen worden verplicht om gegevens vrij te geven – zelfs als de gegevens op een server binnen de EU staan.

Volgens het rapport verandert het feit dat de Europese Algemene Verordening Gegevensbescherming (AVG) dergelijke gegevensoverdracht verbiedt, niets aan de reikwijdte van de Amerikaanse wet. De Amerikaanse moedermaatschappijen zouden boetes moeten verwachten als ze weigeren de gegevens van de Europese servers vrij te geven.

De juridische situatie voor EU-ondernemingen met een filiaal of dochteronderneming in de VS is niet helemaal duidelijk. De deskundige acht het in ieder geval mogelijk dat een Amerikaanse dochteronderneming van een moedermaatschappij uit de EU verplicht kan worden om alle gegevens vrij te geven waarover de onderneming zeggenschap kan uitoefenen. Het valt niet uit te sluiten dat dit betrekking zou hebben op alle gegevens van de moedermaatschappij die de dochteronderneming in theorie zou kunnen inzien.

Hoe gezondheidsgegevens bij Amerikaanse inlichtingendiensten terecht kunnen komen

Wat dit in de praktijk voor bedrijven kan betekenen, blijkt uit het voorbeeld van apps en programma’s die patiënten kunnen hebben voorgeschreven door een arts. Begin 2021 publiceerde het Federaal Instituut voor Drugs en Medische Hulpmiddelen (BfArM), dat verantwoordelijk is voor de apps, een paper over de bescherming van gevoelige, persoonlijke gezondheidsgegevens .

Het was toen duidelijk: gegevensverwerking mag niet plaatsvinden op Amerikaanse servers – ook niet als de gebruikers om hun toestemming wordt gevraagd. Maar de BfArM bereikte ook zijn grenzen als het ging om EU-dochterondernemingen van Amerikaanse bedrijven. Zelfs als de gegevens op EU-servers staan, kon op dat moment niet worden uitgesloten dat het de wensen van de Amerikaanse autoriteiten zou opwekken. Een oplossing voor het juridische conflict was er toen nog niet. De ontwikkelaars van de apps zouden alleen verplicht moeten worden om alle rechtsmiddelen uit te putten als ze worden getroffen door een verzoek om vrijgave van gegevens van de Amerikaanse autoriteiten.

Inlichtingenrecht vs. AVG

Het voorbeeld laat zien hoe verstrekkend de gevolgen van Amerikaanse inlichtingenwetten binnen de EU kunnen zijn. Dit kan een juridisch dilemma opleveren voor bedrijven die in beide regio’s actief zijn. Veel EU-bedrijven gebruiken de infrastructuur van grote Amerikaanse bedrijven zoals Google of Amazon voor digitale diensten. Zelfs als de servers worden beheerd door hun EU-dochterondernemingen binnen de EU, beschermt dat de bedrijven niet automatisch tegen invasieve Amerikaanse wetten. Tegelijkertijd moeten ze echter ook voldoen aan de bepalingen van de AVG.

De Duitse gegevensbeschermingsautoriteiten laten nog open welke conclusies zij uit het rapport zullen trekken. Er wordt gezegd dat de gevolgen voor Duitsland momenteel worden beoordeeld. Op termijn kunnen de onzekerheden voor bedrijven waarschijnlijk worden weggenomen door een nieuwe overeenkomst. Dat is echter niet in zicht, aangezien de Europese wetgeving inzake gegevensbescherming en de wetten van de Amerikaanse geheime dienst nog steeds niet samenwerken.

Over de auteur

Jana Ballweber
Jana schrijft sinds 2020 bij Indignatie. Ze studeert momenteel journalistiek aan de universiteit van Mainz, nadat ze eerder wetenschapscommunicatie en journalistiek in Karlsruhe had gestudeerd. Haar interesses zijn vooral digitalisering en gegevensbescherming in de gezondheidszorg en in de wetenschap.