Het Europees Parlement,

–  gezien het Handvest van de grondrechten van de Europese Unie (het “Handvest”), en met name de artikelen 7, 8, 16, 47 en 52,

–  gezien het arrest van het Hof van Justitie van de Europese Unie (HvJ-EU) van 6 oktober 2015 in zaak C-362/14, Maximillian Schrems/Data Protection Commissioner (Schrems I)(1),

–  gezien het arrest van het HvJ-EU van 16 juli 2020 in zaak C-311/18, Data Protection Commissioner/Facebook Ireland Ltd, Maximillian Schrems (Schrems II)(2),

–  gezien zijn onderzoek naar de onthullingen van Edward Snowden over grootschalig elektronisch toezicht op EU-burgers, met inbegrip van de bevindingen in zijn resolutie van 12 maart 2014 over het surveillanceprogramma van de NSA in de VS, toezichthoudende instanties in verschillende lidstaten en gevolgen voor de grondrechten van EU-burgers en voor de trans-Atlantische samenwerking op het gebied van justitie en binnenlandse zaken(3),

–  gezien zijn resolutie van 26 mei 2016 over trans-Atlantische gegevensstromen(4),

–  gezien zijn resolutie van 6 april 2017 over de gepastheid van de door het EU-VS-privacyschild geboden bescherming(5),

–  gezien zijn resolutie van 5 juli 2018 over de gepastheid van de door het EU-VS-privacyschild geboden bescherming(6),

–  gezien zijn resolutie van 20 mei 2021 over de uitspraak van het HvJ-EU van 16 juli 2020 – Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems (Schrems II), zaak C-311/18(7),

–  gezien het ontwerp van uitvoeringsbesluit van de Commissie overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad betreffende het passende niveau van bescherming van persoonsgegevens in het kader van het kader voor gegevensbescherming EU-VS,

–  gezien uitvoeringsdecreet 14086 van de president van de Verenigde Staten van 7 oktober 2022 inzake de versterking van de waarborgen met betrekking tot de activiteiten van de VS op het gebied van inlichtingen uit berichtenverkeer,

–  gezien uitvoeringsdecreet 12333 van de president van de Verenigde Staten van 4 december 1981 inzake de inlichtingenactiviteiten van de VS,

–  gezien de verordening van de Amerikaanse minister van Justitie betreffende de toetsingsinstantie voor gegevensbescherming (Data Protection Review Court, DPRC),

–  gezien Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)(8), en met name hoofdstuk V,

–  gezien Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie(9),

–  gezien de adequaatheidsreferentie van de Groep artikel 29 (WP 254 rev.01) zoals bevestigd door het Europees Comité voor gegevensbescherming (European Data Protection Board, EDPB), gezien de Aanbevelingen 01/2020 van het EDPB inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen, en de Aanbevelingen 02/2020 van de EDPB over de Europese essentiële garanties voor surveillancemaatregelen,

–  gezien Advies 5/2023 van het Europees Comité voor gegevensbescherming van 28 februari 2023 over het ontwerp van uitvoeringsbesluit van de Europese Commissie over de passende bescherming van persoonsgegevens in het kader van het EU-VS-gegevensbeschermingskader,

–  gezien artikel 132, lid 2, van zijn Reglement,

A.  overwegende dat het HvJ-EU in zijn Schrems I-arrest de Beschikking van de Commissie van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het Amerikaanse Ministerie van Handel zijn gepubliceerd, ongeldig heeft verklaard(10) en erop heeft gewezen dat ongedifferentieerde toegang van inlichtingendiensten tot de inhoud van elektronische communicatie in strijd is met de wezenlijke inhoud van het grondrecht op vertrouwelijkheid van communicatie als bedoeld in artikel 7 van het Handvest; overwegende dat het Hof erop heeft gewezen dat een derde land met het oog op een adequaatheidsbesluit geen identiek niveau van bescherming moet garanderen, maar wel een beschermingsniveau “dat in grote lijnen overeenkomt” met het binnen de Unie gewaarborgde beschermingsniveau, wat op verschillende manieren kan worden bereikt;

B.  overwegende dat het HvJ-EU in zijn Schrems II-arrest Uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming ongeldig heeft verklaard(11) en heeft geconcludeerd dat deze niet voorziet in voldoende rechtsmiddelen tegen grootschalige surveillance voor niet-Amerikaanse onderdanen en dat dit in strijd is met de wezenlijke inhoud van het grondrecht op een voorziening in rechte als bedoeld in artikel 47 van het Handvest;

C.  overwegende dat de president van de Verenigde Staten op 7 oktober 2022 uitvoeringsdecreet 14086 heeft ondertekend inzake de versterking van de waarborgen met betrekking tot de activiteiten van de VS op het gebied van inlichtingen uit berichtenverkeer (EO 14086);

D.  overwegende dat de Commissie op 13 december 2022 de procedure in gang heeft gezet voor de vaststelling van een adequaatheidsbesluit voor het kader voor gegevensbescherming EU-VS;

E.  overwegende dat de Commissie bij het onderzoek van het door een derde land geboden beschermingsniveau verplicht is de inhoud te beoordelen van de in dat land geldende regels die voortvloeien uit zijn nationale recht of internationale verplichtingen, alsmede de praktijk die erop gericht is de naleving van die regels te waarborgen; overwegende dat de Commissie geen adequaatheidsbesluit zou mogen nemen indien uit zo’n beoordeling zou blijken dat er sprake is van onvoldoende passendheid en gelijkwaardigheid, aangezien dit een voorwaarde voor de uitvoering van de overeenkomst vormt; overwegende dat de Commissie verplicht is de adequaatheid op te schorten wanneer er geen gelijkwaardigheid meer is; overwegende dat de algemene verordening gegevensbescherming (AVG) voorschrijft dat een relevante beoordeling een continu proces moet zijn waarbij rekening wordt gehouden met wijzigingen in de toepasselijke regels en praktijken;

F.  overwegende dat de mogelijkheid van grensoverschrijdende overdracht van persoonsgegevens een belangrijke motor van innovatie, productiviteit en economisch concurrentievermogen kan zijn, zolang er in passende waarborgen wordt voorzien; overwegende dat deze overdrachten moeten worden uitgevoerd met volledige inachtneming van het recht op de bescherming van persoonsgegevens en het recht op privacy; overwegende dat de bescherming van de in het Handvest verankerde grondrechten tot een van de doelen van de EU behoort;

G.  herinnert eraan dat de AVG van toepassing is op alle ondernemingen die persoonsgegevens van betrokkenen in de EU verwerken, voor zover de verwerkingswerkzaamheden verband houden met het aanbieden van goederen of diensten aan die betrokkenen in de Unie, of het monitoren van hun gedrag voor zover dat gedrag plaatsvindt in de Unie;

H.  overwegende dat grootschalige surveillance door overheidsactoren, dat wil zeggen ongedifferentieerde gegevensverzameling zonder enige waarborgen om inbreuken op de privacy van personen te beperken, nadelig is voor het vertrouwen van Europese burgers en ondernemingen in digitale diensten, en bij uitbreiding in de digitale economie; overwegende dat het Amerikaanse agentschappen weliswaar verboden is om de gegevens van Amerikaanse burgers die in de Verenigde Staten wonen bulksgewijs te verzamelen, maar dat dit verbod niet van toepassing is op EU-burgers; overwegende dat grootschalige surveillance door overheidsactoren nadelig is voor het vertrouwen van Europese burgers en ondernemingen in digitale diensten, en bij uitbreiding in de digitale economie;

I.  overwegende dat verwerkingsverantwoordelijken altijd aansprakelijk moeten zijn voor de naleving van de gegevensbeschermingsverplichtingen, onder meer door de naleving aan te tonen voor elke gegevensverwerking, ongeacht de aard, omvang, context en doeleinden van de verwerking en de risico’s voor betrokkenen;

J.  overwegende dat er in de Verenigde Staten geen federale wetgeving inzake privacy en gegevensbescherming bestaat; overwegende dat EO 14086 definities van belangrijke gegevensbeschermingsconcepten bevat, zoals de beginselen van noodzakelijkheid en evenredigheid, en daarmee een belangrijke stap voorwaarts betekent ten opzichte van eerdere doorgiftemechanismen; overwegende dat de manier waarop deze beginselen worden geïnterpreteerd nauwlettend moet worden gevolgd; overwegende dat een uitgebreide beoordeling van de wijze waarop deze beginselen in de Amerikaanse rechtsorde worden toegepast mogelijk niet mogelijk is vanwege een gebrek aan transparantie in de procedures van het DPRC;

1.  wijst erop dat de eerbiediging van de privacy en het gezinsleven en de bescherming van persoonsgegevens wettelijk afdwingbare grondrechten zijn die verankerd zijn in de Verdragen, het Handvest en het Europees Verdrag voor de rechten van de mens, alsook in wetgeving en jurisprudentie; benadrukt dat adequaatheidsbesluiten uit hoofde van de AVG rechtsbesluiten zijn, geen politieke keuzes, en dat het recht op privacy en gegevensbescherming alleen kan worden afgewogen tegen andere grondrechten en niet tegen commerciële of politieke belangen;

2.  neemt nota van de inspanningen in EO 14086 om grenzen te stellen aan de activiteiten van de VS op het gebied van inlichtingen uit berichtenverkeer, door de beginselen van evenredigheid en noodzakelijkheid van toepassing te verklaren op het Amerikaanse rechtskader inzake inlichtingen uit berichtenverkeer, en in een lijst te voorzien van legitieme doelstellingen voor dergelijke activiteiten; merkt op dat deze beginselen bindend zouden zijn voor de gehele Amerikaanse inlichtingengemeenschap en volgens de procedure in het kader van EO 14086 zouden kunnen worden ingeroepen door betrokkenen; benadrukt dat dit uitvoeringsbesluit voorziet in aanzienlijke verbeteringen die ervoor moeten zorgen dat deze beginselen in grote lijnen overeenkomen met die in het kader van de EU-wetgeving; wijst er echter op dat deze beginselen reeds lang belangrijke elementen zijn van de gegevensbeschermingsregeling van de EU en dat de materiële definities ervan in EO 14086 niet overeenkomen met de definitie ervan in het EU-recht en de interpretatie ervan door het HvJ-EU; wijst er voorts op dat deze beginselen voor de toepassing van het kader voor gegevensbescherming EU-VS uitsluitend zullen worden geïnterpreteerd in het licht van het recht en de rechtstradities van de VS en niet die van de EU; merkt op dat EO 14086 twaalf legitieme doelstellingen opsomt die kunnen worden nagestreefd met de verzameling van inlichtingen uit berichtenverkeer, en vijf doelstellingen waarvoor deze verzamelmethode verboden is; merkt op dat de lijst van legitieme nationale veiligheidsdoelstellingen kan worden gewijzigd en uitgebreid door de president van de VS, zonder dat de wijzigingen in kwestie openbaar moeten worden gemaakt of de EU moet worden ingelicht; wijst erop dat EO 14086 vereist dat activiteiten op het gebied van inlichtingen uit berichtenverkeer worden uitgevoerd op een wijze die noodzakelijk is en in verhouding staat tot de “gevalideerde inlichtingenprioriteit”, wat een ruime interpretatie lijkt te zijn van deze concepten; benadrukt dat voor een alomvattende beoordeling van de beginselen van evenredigheid en noodzakelijkheid in het kader van EO 14086 deze beginselen operationeel moeten worden gemaakt en ten uitvoer moeten worden gelegd in het beleid en de procedures van de Amerikaanse inlichtingendiensten; maakt zich zorgen over het feit dat analisten niet voor elk besluit tot surveillance een evenredigheidsbeoordeling hoeven uit te voeren;

3.  merkt op dat EO 14086 in bepaalde gevallen het bulksgewijs verzamelen van gegevens in het kader van activiteiten op het gebied van inlichtingen uit berichtenverkeer, met inbegrip van de inhoud van communicatie, mogelijk maakt; neemt tegelijkertijd nota van het feit dat EO 14086 bepaalt dat doelgerichte verzameling voorrang moet hebben op bulksgewijze verzameling; herinnert eraan dat EO 14086 weliswaar verschillende waarborgen omvat met betrekking tot bulksgewijze gegevensverzameling, maar dat hiervoor geen onafhankelijke voorafgaande toestemming nodig is, net zomin als in uitvoeringsdecreet 12333; herinnert eraan dat het HvJ-EU in Schrems II verklaarde dat de Amerikaanse surveillance een inbreuk is op het Europees recht omdat er geen “objectief criterium” vereist is dat “als rechtvaardiging [kan] dienen” voor de inmenging in de privacy door de overheid; wijst erop dat dit het doel van de lijst, die moet dienen om de inlichtingenactiviteiten van de VS te beperken, zou ondermijnen; herinnert eraan dat naar aanleiding van presidentiële beleidsrichtlijn nr. 28 (PPD-28), die de basis vormde voor het adequaatheidsbesluit over het “privacyschild”, de Raad van toezicht op de privacy en de burgerlijke vrijheden (Privacy and Civil Liberties Oversight Board, PCLOB) een evaluatieverslag(12) heeft uitgebracht en geconcludeerd heeft dat in PPD-28 de bestaande praktijken van de inlichtingendienstengewoon in wezen worden bestendigd; is ervan overtuigd dat PPD-28 geen eind zal maken aan de elektronische massasurveillance van EU-burgers door de autoriteiten van de VS;

4.  deelt de zorgen van het EDPB over het feit dat EO 14086 onvoldoende waarborgen biedt inzake het bulksgewijs verzamelen van gegevens, namelijk het ontbreken van onafhankelijke voorafgaande toestemming hiervoor, duidelijke en strikte regels voor het bewaren van gegevens, het “tijdelijk” bulksgewijs verzamelen van gegevens, en het ontbreken van strengere waarborgen wat betreft de verspreiding van bulksgewijs verzamelde gegevens; wijst met name op de specifieke bezorgdheid dat rechtshandhavingsinstanties, indien verdere beperkingen op het verspreiden van gegevens aan Amerikaanse autoriteiten uitblijven, inzage zullen hebben in gegevens die zijzelf anders niet hadden mogen verzamelen; herinnert eraan dat verdere doorgifte de risico’s voor de gegevens bescherming daadwerkelijk vergroten; merkt op dat het EDPB heeft aangedrongen op de opname van een juridisch bindende verplichting om te analyseren en te bepalen of een derde land een aanvaardbaar minimumniveau van waarborgen biedt;

5.  wijst erop dat EO 14086 niet van toepassing is op gegevens waartoe overheidsinstanties toegang hebben via andere middelen, bijvoorbeeld de Amerikaanse Cloud Act of de Amerikaanse Patriot Act, het aankopen van commerciële gegevens of vrijwillige overeenkomsten voor het delen van gegevens;

6.  wijst erop dat de wortel van het probleem de surveillance van niet-Amerikanen uit hoofde van de Amerikaanse wetgeving is, alsook het feit dat Europese burgers in dat verband geen doeltreffende mogelijkheden voor beroep in rechte hebben; vraagt dat EU-burgers dezelfde rechten en voorrechten krijgen als Amerikaanse burgers met betrekking tot de activiteiten van de Amerikaanse inlichtingendiensten en toegang tot Amerikaanse rechters;

7.  stelt vast dat de term “inlichtingen uit berichtenverkeer” volgens de interpretatie van de VS betrekking heeft op alle methoden om toegang tot gegevens te krijgen waarin de Foreign Intelligence Surveillance Act (FISA) voorziet, met inbegrip van gegevens van aanbieders van “afstandscomputerdiensten”, zoals in 2008 toegevoegd bij FISA-wijzigingswet S1881a; verzoekt de Commissie in toekomstige onderhandelingen de definitie en het toepassingsgebied van “inlichtingen uit berichtenverkeer” in EO 14086 te verduidelijken; herinnert eraan dat de regering van de VS op grond van FISA, sectie 702, nog steeds aanspraak maakt op de bevoegdheid om elke niet-Amerikaan in het buitenland als doelwit te kiezen voor het verkrijgen van buitenlandse inlichtingen, een term die ruim gedefinieerd is;

8.  wijst erop dat er een nieuw verhaalmechanisme is ingesteld dat betrokkenen uit de EU in staat stelt een klacht in te dienen; benadrukt tegelijkertijd dat de besluiten van het DPRC geheim zullen zijn en niet openbaar of beschikbaar voor de klager, die alleen zal worden meegedeeld dat bij het onderzoek geen schendingen van de regelgeving zijn vastgesteld of dat het DPRC een besluit heeft genomen dat passende maatregelen vereist, waardoor zijn recht op toegang tot of rectificatie van zijn gegevens wordt ondermijnd; vreest dat dit betekent dat een persoon die een zaak aanhangig maakt geen kans maakt te worden geïnformeerd over de inhoudelijke uitkomst van de zaak en dat de beslissing definitief is; merkt op dat de voorgestelde verhaalprocedure niet voorziet in een beroepsmogelijkheid bij een federale rechter en daarom onder meer de klager geen mogelijkheid biedt tot het vorderen van schadevergoeding; verzoekt de Commissie de onderhandelingen met de Verenigde Staten voort te zetten teneinde de nodige wijzigingen tot stand te brengen die deze problemen aanpakken;

9.  constateert dat met EO 14086 verschillende waarborgen worden ingevoerd die de onafhankelijkheid van DPRC-rechters moeten garanderen, hetgeen het EDPB in zijn advies onderkent; wijst erop dat het DPRC deel uitmaakt van de uitvoerende macht en niet van de rechterlijke macht en dat de rechters ervan voor een vaste termijn van vier jaar worden benoemd; benadrukt dat de Amerikaanse president besluiten van het DPRC zelfs in het geheim ongedaan kan maken; merkt op dat het nieuwe verhaalmechanisme de Amerikaanse minister van Justitie weliswaar niet de mogelijkheid biedt om de DPRC-rechters te ontslaan en te controleren, maar geen gevolgen heeft voor de desbetreffende bevoegdheden van de president van de VS; benadrukt dat zolang de Amerikaanse president rechters van het DPRC tijdens hun ambtstermijn kan ontslaan, de onafhankelijkheid van deze rechters niet gewaarborgd is; merkt op dat ingeval een adequaatheidsbesluit wordt vastgesteld, de Commissie nauwlettend zal moeten toezien op de praktische toepassing van deze onafhankelijkheidswaarborgen; wijst erop dat een klager zal worden vertegenwoordigd door een door het DPRC aangewezen “bijzondere advocaat”, voor wie onafhankelijkheid niet vereist is; verzoekt de Commissie dat ingeval een adequaatheidsbesluit wordt vastgesteld ervoor te zorgen dat een onafhankelijkheidsvereiste is ingevoerd; concludeert dat, in zijn huidige vorm, het DPRC niet voldoet aan de normen van onafhankelijkheid en onpartijdigheid van artikel 47 van het Handvest; merkt op dat het PCLOB de werking van de nieuwe verhaalprocedure op onafhankelijke wijze zou evalueren, maar dat het toepassingsgebied van deze evaluatie beperkt zou zijn;

10.  merkt op dat de Verenigde Staten weliswaar voorzien in een nieuwe beschermingsregeling voor kwesties in verband met de toegang tot gegevens door overheidsinstanties, maar dat vragen blijven bestaan over de doeltreffendheid van de voor handelsaangelegenheden beschikbare rechtsmiddelen, die in het kader van het adequaatheidsbesluit ongewijzigd blijven; merkt op dat de mechanismen om deze problemen op te lossen grotendeels worden overgelaten aan het oordeel van bedrijven, die alternatieve rechtsmiddelen kunnen kiezen, zoals geschillenbeslechtingsmechanismen of het gebruik van door bedrijven ingestelde privacyprogramma’s; verzoekt de Commissie, ingeval een adequaatheidsbesluit wordt vastgesteld, de doeltreffendheid van deze verhaalmechanismen grondig te analyseren;

11.  merkt op dat Europese bedrijven rechtszekerheid nodig hebben en dat verdienen; benadrukt dat de opeenvolging van mechanismen voor gegevensoverdracht, die vervolgens door het HvJ-EU zijn ingetrokken, heeft geleid tot extra kosten voor Europese bedrijven; onderkent daarom dat rechtszekerheid moet worden gegarandeerd en een situatie moet worden vermeden waarin bedrijven zich steeds weer moeten aanpassen aan nieuwe juridische oplossingen, wat bijzonder belastend is voor micro-, kleine en middelgrote ondernemingen; maakt zich zorgen dat het adequaatheidsbesluit, indien vastgesteld, (net als de voorgangers ervan) ongeldig kan worden verklaard door het HvJ-EU, wat zou leiden tot een aanhoudend gebrek aan rechtszekerheid, oplopende kosten en ontwrichting voor Europese burgers en bedrijven;

12.  wijst erop dat de Verenigde Staten, in tegenstelling tot alle andere derde landen waarvoor in het kader van de AVG een adequaatheidsbesluit is genomen, nog steeds geen federale gegevensbeschermingswet hebben; wijst erop dat de toepassing van EO 14086 niet duidelijk of nauwkeurig is, noch voorspelbaarheid biedt wat de toepassing ervan betreft, aangezien het te allen tijde gewijzigd of ingetrokken kan worden door de president van de VS, die ook bevoegd is om geheime uitvoeringsdecreten uit te vaardigen; merkt op dat de vaststelling van adequaatheid één jaar na de datum van de kennisgeving van het adequaatheidsbesluit aan de lidstaten opnieuw zou worden beoordeeld, en daarna ten minste om de vier jaar; verzoekt de Commissie om, indien een toekomstig adequaatheidsbesluit wordt vastgesteld, ten minste om de drie jaar verdere evaluaties uit te voeren, zoals gevraagd in het advies van het EDPB; is bezorgd over het ontbreken van een vervalbepaling, waarin zou kunnen worden vastgelegd dat het besluit vier jaar na de inwerkingtreding ervan automatisch afloopt, waarna de Commissie een nieuw besluit zou moeten nemen; is bezorgd dat het ontbreken van een vervalbepaling in dit adequaatheidsbesluit kenmerkend is voor een soepelere benadering ten aanzien van de Verenigde Staten, ondanks dat het privacykader van de VS gebaseerd is op een uitvoeringsdecreet dat geheime wijzigingen mogelijk maakt en dat kan worden gewijzigd zonder het Amerikaanse Congres te raadplegen of de EU op de hoogte te brengen; verzoekt de Commissie daarom een dergelijke bepaling in te voeren;

13.  deelt de zorgen die het EDPB heeft geuit in verband met de rechten van betrokkenen, het gebrek aan belangrijke definities en specifieke regels voor automatische besluitvorming en profilering, het gebrek aan duidelijkheid wat betreft de toepassing van de beginselen van het kader voor gegevensbescherming op verwerkers en de noodzaak om het beschermingsniveau niet te ondermijnen door verdere doorgiften;

14.  benadrukt dat adequaatheidsbesluiten duidelijke en strikte mechanismen voor monitoring en toetsing moeten omvatten om ervoor te zorgen dat besluiten toekomstbestendig zijn of waar nodig kunnen worden ingetrokken of gewijzigd, en dat het grondrecht van de EU-burgers op gegevensbescherming te allen tijde wordt gewaarborgd; benadrukt dat toekomstige adequaatheidsbesluiten voortdurend getoetst moeten worden, rekening houdend met de wettelijke en praktische ontwikkelingen in de VS;

Conclusies

15.  herinnert eraan dat het Parlement de Commissie in zijn resolutie van 20 mei 2021 heeft verzocht geen nieuw adequaatheidsbesluit ten aanzien van de Verenigde Staten vast te stellen, tenzij er substantiële hervormingen worden doorgevoerd, met name voor nationale veiligheids- en inlichtingendoeleinden; acht EO 14086 niet voldoende betekenisvol; herhaalt dat de Commissie de bescherming van de grondrechten van EU-burgers niet mag overlaten aan het Hof van Justitie van de Europese Unie na klachten van afzonderlijke burgers;

16.  herinnert eraan dat de Commissie de adequaatheid van een derde land op wetgevend en praktisch vlak niet alleen inhoudelijk, maar ook in de praktijk moet beoordelen, zoals vastgelegd in Schrems I, Schrems II en de AVG (overweging 104);

17.  merkt op dat de beginselen van het kader voor gegevensbescherming van het Amerikaanse Ministerie van Handel onvoldoende zijn gewijzigd ten opzichte van de beginselen van het privacyschild om bescherming te bieden die feitelijk overeenkomt met die in de AVG;

18.  merkt op dat de Verenigde Staten weliswaar veel moeite doen om de toegang tot rechtsmiddelen en de regels inzake gegevensverwerking door overheidsinstanties te verbeteren, maar dat de Amerikaanse inlichtingendiensten nog tot oktober 2023 de tijd hebben hun beleid en praktijken in overeenstemming te brengen met de verbintenissen in EO 14086 en dat de Amerikaanse minister van Justitie nog niet verklaard heeft dat de EU en haar lidstaten gekwalificeerde landen zijn die in aanmerking komen om toegang te krijgen tot het verhaalmechanisme in het kader van het DPRC; benadrukt dat dit betekent dat de Commissie niet in staat is geweest om de doeltreffendheid van de voorgestelde rechtsmiddelen en maatregelen voor toegang tot gegevens in de praktijk te beoordelen; komt daarom tot de conclusie dat de Commissie pas kan overgaan tot de volgende stap in de vorm van een adequaatheidsbesluit wanneer de Verenigde Staten deze termijnen en mijlpalen hebben gehaald om ervoor te zorgen dat de beloften ook in de praktijk worden waargemaakt;

19.  concludeert dat het kader voor gegevensbescherming EU-VS geen feitelijke gelijkwaardigheid met betrekking tot het beschermingsniveau tot stand brengt; verzoekt de Commissie de onderhandelingen met haar Amerikaanse tegenhangers voort te zetten met het oog op de totstandbrenging van een mechanisme dat deze gelijkwaardigheid waarborgt en dat het passende beschermingsniveau biedt dat vereist is op grond van de gegevensbeschermingswetgeving van de Unie en het Handvest zoals uitgelegd door het HvJ-EU; verzoekt de Commissie niet tot vaststelling van adequaatheid over te gaan voordat alle aanbevelingen in deze resolutie en het advies van het EDPB volledig zijn uitgevoerd;

20.  verzoekt de Commissie om in het belang van de bedrijven en de burgers in de EU te handelen door ervoor te zorgen dat het voorgestelde kader in een solide, toereikende en toekomstbestendige rechtsgrondslag voorziet voor de doorgifte van gegevens tussen de EU en de VS; verwacht dat elk vast te stellen adequaatheidsbesluit bij het Hof van Justitie zal worden aangevochten; benadrukt de verantwoordelijkheid van de Commissie indien zij er niet in slaagt de rechten van de EU-burgers te beschermen in een scenario waarin het besluit inzake adequaatheid opnieuw door het HvJ-EU ongeldig wordt verklaard;

o
o   o

21.  verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de Raad en de Commissie, en aan de President en het Congres van de Verenigde Staten van Amerika.

(1) Arrest van 6 oktober 2015, Maximillian Schrems/Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650. (2) Arrest van 16 juli 2020, Data Protection Commissioner/Facebook Ireland Ltd, Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559. (3) PB C 378 van 9.11.2017, blz. 104. (4) PB C 76 van 28.2.2018, blz. 82. (5) PB C 298 van 23.8.2018, blz. 73. (6) PB C 118 van 8.4.2020, blz. 133. (7) PB C 15 van 12.1.2022, blz. 176. (8) PB L 119 van 4.5.2016, blz. 1. (9) PB L 201 van 31.7.2002, blz. 37. (10) PB L 215 van 25.8.2000, blz. 7. (11) PB L 207 van 1.8.2016, blz. 1. (12) PCLOB, Report to the President on the Implementation of Presidential Directive 28: Signals Intelligence Activities.