Woordenlijst · EU-recht inzake gegevensoverdracht Schrems I (Schrems v. Data Protection Commissioner (zaak C-362/14, 2015))
Uitspraak van het HvJ-EU uit 2015 die het VS-EU Safe Harbor-kader ongeldig verklaarde na de onthullingen van Edward Snowden, met als bevinding dat Amerikaanse surveillancewetten adequate bescherming van EU-persoonsgegevens onmogelijk maakten.
## Wat Schrems I eigenlijk was
Schrems I is de afkorting voor de uitspraak uit 2015 **Schrems v. Data Protection Commissioner (zaak C-362/14)** van het Hof van Justitie van de Europese Unie (HvJ-EU). Het hof verklaarde het **VS-EU Safe Harbor-kader** ongeldig — het mechanisme voor gegevensoverdracht dat sinds 2000 Amerikaanse bedrijven toestond EU-persoonsgegevens te ontvangen door zich te zelfcertificeren als conform aan EU-privacynormen.
De zaak werd aangespannen door de Oostenrijkse privacyactivist **Maximilian Schrems**, wiens uitdaging tegen de overdracht door Facebook van zijn persoonsgegevens naar de VS de uitspraak in gang zette.
## De historische context
In **juni 2013** lekte NSA-contractant **Edward Snowden** documenten die massasurveillance van communicatiedata door de VS onthulden, onder andere via programma's als PRISM die data verkregen van grote Amerikaanse techbedrijven.
Het argument van Schrems was eenvoudig: het Safe Harbor-kader veronderstelde adequate Amerikaanse bescherming van EU-data, maar Snowdens onthullingen maakten duidelijk dat Amerikaanse surveillancewetten (FISA Section 702, Executive Order 12333) geen zinvolle bescherming voor niet-Amerikaanse personen boden. Daarmee was de basis van Safe Harbor onjuist.
Het HvJ-EU was het daarmee eens.
## Wat het HvJ-EU feitelijk uitsprak
De uitspraak van oktober 2015 stelde vast dat:
1. Het Safe Harbor-adequaatheidsbesluit van de Europese Commissie **ongeldig** was
2. Nationale toezichthouders **onafhankelijke bevoegdheid** hebben om overdrachtsclaims te onderzoeken, ook wanneer een adequaatheidsbesluit bestaat
3. EU-betrokkenen moeten **effectief rechterlijk verhaal** hebben voor surveillancetoegang — wat het Amerikaanse recht niet bood
4. Surveillancetoegang moet **proportioneel** zijn — Amerikaanse programma's die data in bulk verzamelden, waren dat niet
De uitspraak vernietigde Safe Harbor onmiddellijk en veroorzaakte chaos voor de duizenden Amerikaanse bedrijven die erop vertrouwden voor EU-gegevensoverdrachten.
## Wat volgde op Schrems I
### Privacy Shield (2016)
De EU en de VS onderhandelden een opvolgerkader: **Privacy Shield**. Het scherpte enkele Safe Harbor-bepalingen aan (rol van Ombudsperson, schriftelijke toezeggingen van Amerikaanse inlichtingendiensten over toegangsbeperkingen). Trad in werking in juli 2016.
### Schrems II (2020)
Schrems daagde Privacy Shield uit op dezelfde gronden. Het HvJ-EU oordeelde in **Schrems II (zaak C-311/18, 2020)** dat ook Privacy Shield ongeldig was, omdat dezelfde fundamentele kwestie bleef bestaan: Amerikaanse surveillancewetgeving bood ontoereikende bescherming.
Zie [Schrems II](/nl/glossary/schrems-ii/) voor de tweede zaak.
### EU-VS Data Privacy Framework (2023)
Na Schrems II onderhandelden de EU en VS opnieuw een opvolger: het [EU-VS Data Privacy Framework](/nl/glossary/eu-us-data-privacy-framework/), dat in juli 2023 in werking trad. Schrems heeft aangegeven ook dit te willen aanvechten op in essentie vergelijkbare gronden.
## Waarom Schrems I nog steeds telt
### 1. Vestigde het juridische patroon
Schrems I creëerde het analytische kader dat nog steeds wordt gebruikt: wanneer EU-gegevensoverdrachten afhangen van adequaatheid of equivalente mechanismen, moeten die mechanismen worden geëvalueerd tegen de werkelijke surveillancewetten van het derde land — niet tegen papieren toezeggingen.
### 2. Maakte AVG-handhaving mogelijk
Schrems I stelde vast dat toezichthouders onafhankelijke onderzoeksbevoegdheid hebben. Dat werd belangrijk toen de AVG in 2018 in werking trad.
### 3. Creëerde het structurele probleem
De structurele kwestie die Schrems I identificeerde — dat Amerikaanse surveillancewetten zonder hervorming niet aan EU-adequaatheid kunnen voldoen — heeft drie opeenvolgende kaders overleefd (Safe Harbor → Privacy Shield → EU-VS DPF). Zonder hervorming van Amerikaanse surveillance gaat dit waarschijnlijk verder.
### 4. Vormde de Europese tech-industrie
Schrems I, II en de onderliggende spanning creëerden voortdurende vraag naar EU-residente, EU-jurisdictie-alternatieven voor Amerikaanse tech — veel van wat BetterInEurope catalogiseert.
## Wat Schrems I in de praktijk betekent
Voor Europese bedrijven vandaag:
### De keten van zaken
Wanneer je beoordeelt of je persoonsgegevens kunt overdragen aan Amerikaanse aanbieders, navigeer je de keten die Schrems I startte: Safe Harbor ongeldig → Privacy Shield ongeldig → EU-VS DPF (huidig, kwetsbaar voor uitdaging).
### De diepere vraag
Schrems I maakte duidelijk dat VS-EU-gegevensoverdracht fundamenteel een vraag is over Amerikaanse surveillancehervorming, niet alleen papierwerk. Zolang FISA 702 en CLOUD Act bestaan, blijven kaders die daarop zijn gebouwd structureel kwetsbaar.
### Waarom "EU-resident, EU-jurisdictie" telt
Bedrijven die echt Europees zijn (niet alleen EU-actieve dochterondernemingen van Amerikaanse firma's) ontwijken het hele Schrems-vraagstuk. Ze vallen niet onder CLOUD Act of FISA 702.
## Praktische implicaties
Voor de meeste Europese tech-kopers:
- **Schrems I is geschiedenis**, maar de gevolgen vormen huidige beslissingen
- **EU-VS DPF is huidig recht**, maar Schrems-uitdagingen lopen door
- **Echte Europese alternatieven** ontwijken het vraagstuk volledig
- **Transfer Impact Assessments** ([TIA's](/nl/glossary/tia/)) zijn vereist wanneer overdrachten doorgaan
Het eenvoudigste pad naar duurzame naleving is het kiezen van aanbieders waar de vraag zich niet stelt.
Was dit nuttig?
Bedankt voor je feedback!