Op 13 juli heeft de Kamer voor overheidsopdrachten van de Duitse deelstaat Baden-Württemberg uitspraak gedaan in een zaak over een openbare aanbestedingsprocedure voor een digitale beheersoftware. Daarbij oordeelde zij dat de doorgifte van persoonsgegevens aan de VS op basis van modelcontractbepalingen in strijd is met de GDPR.
Opgemerkt zij dat de Kamer geen gegevensbeschermingsautoriteit is en dat de zaak strikt genomen geen gegevensbeschermingszaak is. De beslissing is echter vrij belangrijk. Verschillende Europese gegevensbeschermingsautoriteiten hebben bij de behandeling van de 101 klachten van noyb een strenge aanpak van gegevensoverdrachten gehanteerd. De onderhavige beslissing wijst erop dat de harde aanpak van gegevensoverdrachten nu wellicht aan kracht wint buiten de enge grenzen van het gegevensbeschermingsrecht.
Bovendien is de beslissing vooral gericht op de bestuursrechtelijke invalshoek. De gegevensbeschermingsaspecten worden niet erg duidelijk uitgelegd en de redenering van de kamer op een aantal cruciale punten moet door de lezer worden afgeleid. Deze beslissing is niet gemakkelijk te ontcijferen, maar we hebben ons best gedaan om de kern ervan nauwkeurig en leesbaar weer te geven.
Laten we erin duiken!
De zaak in kwestie
Een overheidsinstantie schreef een aanbesteding uit voor de aanschaf van software voor digitaal beheer. De gunningscriteria omvatten vereisten inzake gegevensbescherming en -beveiliging: meer bepaald moesten alle gegevens worden verwerkt in overeenstemming met de GDPR en de federale wetgeving inzake gegevensbescherming. De aanbesteding werd gewonnen door de EU-dochteronderneming van een Amerikaans bedrijf (de namen van de bedrijven zijn weggelaten).
Een ander bedrijf dat aan de aanbesteding deelnam, vroeg de Kamer om het besluit te onderzoeken, met als argument dat de door het winnende bedrijf aangeboden dienst doorgifte van Amerikaanse gegevens inhield, wat in strijd is met de GDPR. In feite vertrouwde de winnende onderneming op de spin-off onderneming van AWS in de EU (Amazon Web Services EMEA SARL) als verwerker. AWS EMEA bood de mogelijkheid om gegevens in de EU op te slaan, maar zou in specifieke scenario's toch persoonsgegevens aan het moederbedrijf doorgeven:
- Om de dienst te onderhouden of ondersteuning te bieden.
- Om te voldoen aan de wet of een juridisch bindend bevel.
Standaardcontractbepalingen (SCC's) waren het mechanisme voor gegevensoverdracht onder de GDPR. Als extra beschermingsmaatregel versleutelde het bedrijf de gegevens en nam het de verplichting op zich om alle "overbodige of buitensporige" verzoeken om toegang tot gegevens van autoriteiten aan te vechten.
De kamer oordeelde dat de gegevensoverdracht inderdaad in strijd was met hoofdstuk V van de GDPR. De overheidsinstantie werd gelast de offertes opnieuw te beoordelen, aangezien naleving van de GDPR een van de vereisten was die in de aankondiging van de aanbesteding waren opgenomen.
De belangrijkste punten van het arrest
- De SCC's bieden geen passende bescherming voor de doorgifte van persoonsgegevens naar de VS.
- De aanvullende waarborgen werden onvoldoende geacht (maar argumenten over encryptie werden door de kamer om procedurele redenen niet in overweging genomen)
- De loutere toegankelijkheid van persoonsgegevens van een Amerikaanse provider betekent dat er sprake is van een gegevensoverdracht en dat de GDPR-regels voor gegevensoverdrachten van toepassing zijn. In feite waren de gegevens in het onderhavige geval gelokaliseerd in de EU. Toch waren ze toegankelijk voor het Amerikaanse moederbedrijf (de zaak lijkt in dit opzicht enigszins op de recente Datatilsynet-beschikking over Google Workspace ).
De redenering achter deze uitspraak is in overeenstemming met de logica van meerdere Europese gegevensbeschermingsautoriteiten en vindt haar verdienste in het feit dat Amerikaanse bedrijven die als "aanbieder van elektronische communicatiediensten" worden aangemerkt, verplicht zijn gegevens aan Amerikaanse inlichtingendiensten te verstrekken indien daarom wordt verzocht.
De gevolgen van de uitspraak
Enkele punten moeten worden benadrukt. Ten eerste is de Kamer voor overheidsopdrachten noch een gegevensbeschermingsautoriteit noch een rechtbank, maar veeleer een onafhankelijke autoriteit die zich bezighoudt met administratief recht. Daarom zal de beslissing waarschijnlijk niet zoveel gewicht in de schaal leggen als een beslissing van een gegevensbeschermingsautoriteit. Ten tweede is de kamer alleen bevoegd voor de Duitse deelstaat Baden-Württemberg; andere Duitse autoriteiten kunnen een andere aanpak volgen.
Dit gezegd zijnde, is de beslissing van grote betekenis. De Kamer voor overheidsopdrachten is niet een van de centrale actoren bij de handhaving van het EU-kader voor gegevensbescherming en is doorgaans niet betrokken bij de uitlegging van de GDPR. De beslissing is echter consistent met de aanpak die door verschillende Europese gegevensbeschermingsautoriteiten wordt onderschreven bij de behandeling van de 101 klachten van de noyb (die het resultaat is van de coördinatie-inspanningen van het Europees Comité voor gegevensbescherming). Dit zou een teken kunnen zijn dat een harde aanpak van gegevensoverdrachten aan kracht wint en autoriteiten beïnvloedt die minder betrokken zijn bij de handhaving van de GDPR.
Slotopmerkingen
Privacy is een mensenrecht en moet als zodanig worden behandeld. De regelgevende instanties van de EU laten eindelijk hun tanden zien. Voor organisaties die binnen de wet willen blijven, zijn er tal van Europese alternatieven die de Amerikaanse tegenhangers die u nu gebruikt, kunnen vervangen.
Wij hebben Simple Analytics gebouwd als een privacy-eerst alternatief voor Google Analytics. Wij geloven dat het niet alleen een kwestie is van binnen de wet blijven. Het gaat verder dan dat. Wij geloven in het creëren van een onafhankelijk web dat vriendelijk is voor websitebezoekers. Daarom hebben we Simple Analytics gebouwd zonder trackingmechanismen of de mogelijkheid om persoonlijke gegevens te verzamelen, terwijl het u toch de inzichten geeft die u nodig heeft. Als dit resoneert met u, voel je vrij om ons te proberen.