TL;DR: Staten mogen volgens het internationaal recht wetten vaststellen die gelden buiten hun eigen grondgebied. Een veel gebruikte grondslag hiervoor is de nationaliteit van een natuurlijk persoon of rechtspersoon. Zowel de Cloud Act als de FISA hebben extraterritoriale werking, waardoor het opslaan van data op servers op grondgebied van een lidstaat van de EU niet voldoende is om volledig buiten toepassing van de Amerikaanse wetgeving te blijven.
Extraterritoriale wetgeving
Vaak wordt de vraag gesteld of een buitenlandse staat, zoals de VS, wel wetgeving kan en mag maken die op het grondgebied van andere landen van toepassing is. Hebben we immers niet zoiets als de soevereine staat waarin geen inmenging door andere staten mag plaatsvinden volgens het internationaal recht? Heeft een staat niet alleen zeggenschap op zijn eigen grondgebied? In het internationaal recht wordt onderscheid gemaakt tussen drie vormen van jurisdictie, te weten prescriptieve (wetgevende) jurisdictie, handhavende jurisdictie en rechtsprekende jurisdictie. De eerste vorm heeft betrekking op het maken van wetten. Handhavende jurisdictie wil zeggen dat de staat in staat is de regelgeving te handhaven door bijvoorbeeld een verdachte van een delict aan te houden. De rechtsprekende jurisdictie houdt in dat een rechter bevoegd is uitspraken te doen over geschillen of over gedrag van natuurlijk personen of rechtspersonen. Uiteraard hangt dit nauw samen met de prescriptieve bevoegdheid, aangezien er wel wetten moeten zijn waaraan de rechter kan toetsen.
In 1927 boog het PCIJ, de voorloper van het Internationaal Gerechtshof van de Verenigde Naties, zich over de vraag of Franse burgers vervolgd konden worden door Turkije voor een delict dat buiten het grondgebied van Turkije plaatsvond. De situatie was als volgt. Een Frans schip, genaamd de Lotus, en een Turks schip, de Boz-Kourt, kregen een aanvaring waarbij acht man om het leven kwamen. Het incident vond plaats op de internationale wateren, dus buiten Turks grondgebied. Toen de Fransen aan boord kwamen in Istanbul (destijds nog Constantinopel) werden zij aangehouden door de Turkse autoriteiten. Frankrijk kwam hiertegen in bezwaar en stelde dat geen enkele staat zijn wetten gelding kon laten hebben op de internationale wateren, waardoor er ook geen grond was de Franse bemanningsleden te vervolgen. Hoewel het PCIJ stelde dat staten niet zomaar handhavende jurisdictie in andere staten kunnen uitoefenen vanwege het concept van soevereine staten, stelde het dat er geen internationale wet is die het staten verbiedt op het eigen grondgebied jurisdictie uit te oefenen voor handelingen die in het buitenland hebben plaatsgevonden en de nationale wet hebben overtreden. Hierbij geldt wel de belangrijke beperking dat de betreffende wetgeving niet in strijd mag zijn met een specifiek verbod in het internationale recht (hierop zijn overigens wat nuances aan te brengen). Hoewel staten niet zomaar handhavende jurisdictie uit kunnen oefenen in andere staten kunnen zij dus in beginsel wetten maken die van toepassing zijn buiten hun eigen grondgebied. Niet alleen de VS kent dergelijke extraterritoriale wetten; ook de EU heeft dergelijke wetten, zoals de AVG en wetten op het gebied van mededingingsrecht.
Er bestaan verschillende grondslagen op basis waarvan staten wetgevende jurisdictie buiten het eigen grondgebied baseren. Sommigen zijn meer omstreden dan andere. Een van de belangrijkste gronden is de nationaliteit van de burger of rechtspersoon. Dit kan zowel zogenaamde actieve nationaliteit betreffen, wat wil zeggen dat de overtreder de nationaliteit heeft, als passieve nationaliteit, wat wil zeggen dat het slachtoffer de nationaliteit heeft. Een tweede grond is de zogenaamde effectenbeginsel. Dit houdt in dat iets een effect heeft op het grondgebied van de staat, zoals bijvoorbeeld in mededinging het geval kan zijn. Een derde grond is het beschermingsbeginsel dat betrekking heeft op vitale belangen van de staat. Hieronder vallen bijvoorbeeld terrorisme en spionage. Ten slotte is er het universaliteitsbeginsel dat betrekking heeft op misdaden die zo ernstig zijn dat elke staat een belang heeft deze tegen te gaan. Hierbij kun je denken aan piraterij, oorlogsmisdaden en genocide. Zoals we verderop zullen bespreken baseren de VS zich, in wetgeving die relevant is voor digitale soevereiniteit, voornamelijk op de grond van nationaliteit van burgers en rechtspersonen.
Historie Amerikaanse wetgeving
De bescherming van de privacy van Amerikaanse staatsburgers werd reeds in 1791 in het vierde amendement van de Amerikaanse grondwet onderkend. Dit amendement luidt als volgt:
The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.
De Amerikaanse overheid mag dus niet zomaar woningen van burgers betreden zonder dat er aan bepaalde vereisten is voldaan. In de zaken Katz v. United States en Berger v. New York (allebei in 1967) deed de Supreme Court belangrijke uitspraken over het recht op privacy met betrekking tot rechtshandhaving. De eerste zaak betrof het afluisteren van een verdachte door de FBI in een telefooncel. Dit was dus niet in huis, zoals expliciet in het vierde amendement genoemd wordt. De Supreme Court breidde echter de werking van het amendement uit naar plaatsen waar iemand "a reasonable expectation of privacy" heeft, zoals dus een telefooncel. De tweede zaak had betrekking op lokale wetgeving in New York die elektronisch afluisteren zonder bepaalde waarborgen, zoals rechterlijk toezicht, toestond. De Supreme Court achtte deze wetgeving in strijd met het vierde amendement. In latere zaken (United States v. Miller in 1976 en Smith v. Maryland in 1979) werd overigens wel het zogenaamde third party doctrine bekrachtigd dat stelt dat "a person has no legitimate expectation of privacy in information he voluntarily turns over to third parties". Op deze doctrine kwamen later weer uitzonderingen specifiek voor hosting van digitale data.
In 1968 kwam als reactie op de uitspraken van Katz en Berger een nieuwe wet die het elektronisch afluisteren (wiretapping) reguleerde. Deze wet heette de Omnibus Crime Control and Safe Streets Act en reguleerde naast het afluisteren nog een heel aantal andere zaken op het gebied van veiligheid. In 1986 hackte een elektrotechnicus HBO en zorgde hij ervoor dat alle abonnees het onderstaande beeld te zien kregen. Blijkbaar was hij het niet eens met de abonnementsprijzen.
Als reactie hierop werd er in de VS nieuwe wetgeving geïntroduceerd die het hacken van satellietsignalen strafbaar stelde. Deze wet heette de Electronic Communications Privacy Act (ECPA) en bestond uit drie titels. De eerste titel ging in op gesprekken en elektronische communicatie terwijl dat deze 'in-transit' is. Deze titel is de opvolger van de eerder genoemde Omnibus Crime Control en wordt ook wel aangeduid als de 'Wiretap Act'. De tweede titel van de ECPA, de zogenaamde Stored Communications Act (SCA) richt zich op opgeslagen data (data in-rest). De derde titel verbiedt het apparaten te gebruiken om te achterhalen welke telefoonnummers gebeld zijn (zogenaamde pen registers) en andere soortgelijke apparaten voor het achterhalen van routeringsdata zonder rechterlijke toestemming.
In 1994 volgde de Communications Assistance en Law Enforcement Act (CALEA), ook wel aangeduid als de 'Telephone Act'. Deze legde een verplichting op aan leveranciers van telecommunicatiemiddelen achterdeuren in te bouwen die het mogelijk maakten voor rechtshandhavers om, onder bepaalde voorwaarden, mee te kunnen kijken. Dat het inbouwen van dergelijke backdoors ALTIJD een slecht idee is, blijkt wel uit het onderstaande nieuwsbericht uit 2024. Hoewel de wet beoogde de mate van veiligheid van Amerikaanse burgers te vergroten ten koste van hun privacy, had deze wet dus ook duidelijk negatieve implicaties voor de veiligheid van Amerikaanse burgers door ongewenste buitenlandse inmenging.
Vanaf 9/11 sloeg de weegschaal tussen veiligheid en privacy door naar veiligheid. Dit leidde tot de beruchte Patriot Act uit 2001 die als doel had terrorisme tegen te gaan. Hiertoe werden de bevoegdheden van de inlichtingendiensten en politie aanzienlijk verruimd. Deze wet maakte het elektronisch afluisteren (wiretapping) gemakkelijker door dit toe te staan voor verschillende apparaten die een persoon gebruikt (zogenaamde roving wiretaps). Daarnaast maakte deze wet wijzingen aan de eerder genoemde ECPA en de Foreign Intelligence Surveillance Act (FISA). Vooral section 215 was omstreden. Op grond van deze sectie kon de overheid met geheime rechterlijke orders derde partijen verplichten elk 'record' of 'tangible thing' te overhandigen als het 'relevant' was voor het bestrijden van internationaal terrorisme, om spionage tegen te gaan of voor een buitenlands intelligence-onderzoek. De Patriot Act kende veel artikelen die automatisch zouden verlopen in 2005 (zogenaamde 'sunset clauses'). Na veel politieke discussie over de inhoud van deze wet tekende president Bush in 2006 de Patriot Act Reauthorization Act. In 2012 ondertekende president Obama de Patriot Sunsets Extension Act, waardoor er wederom een verlenging van vier jaar van belangrijke onderdelen van de Patriot Act plaatsvond, zoals de eerder genoemde sectie 215 en het wiretappen over verschillende apparaten. Het onderstaande figuur (alleen zichtbaar in de webversie) toont een overzicht van de verschillende wetten.
In 2013 zorgden de onthullingen van Edward Snowden voor grote publieke verontwaardiging. Hij bracht aan het licht hoe de NSA met behulp van sectie 215 massaal telefoonmetadata verzamelde, waaronder telefoonmetadata van Amerikaanse burgers. Hoewel sectie 215 oorspronkelijk bedoeld was voor het opvragen van specifieke records, werd deze bevoegdheid al snel misbruikt voor massale dataverzameling. Deze sectie werd daarom in de Freedom Act van 2015, die volgde op de afgelopen clausules van de Patriot Act, afgezwakt. Niet langer mocht de NSA ongericht in bulk metadata van telefoongegevens verzamelen en moest deze gerichtere verzoeken aan telefoniebedrijven doen. Zo werd het niet meer toegestaan te zoeken naar 'tangible things' zonder specifieke selectieterm. Een dergelijke specifieke selectieterm houdt in dat er een specifiek persoon, account, adres op persoonlijk apparaat of andere specifieke identifier genoemd moet worden waardoor de reikwijdte van het zoeken wordt beperkt. In 2020 verliep sectie 215.
In 2008 werd de FISA Amendments Act geïntroduceerd die aanvullingen en wijzigingen deed op de sinds 1977 bestaande Foreign Intelligence Surveillance Act (FISA). Sectie 702 van deze Act richt zich op het verzamelen van informatie van buitenlandse burgers die zich op buitenlands grondgebied. Autorisaties van deze sectie vinden jaarlijks plaats door goedkeuring van de Foreign Intelligence Surveillance Court (FISC). Ook PRISM maakte gebruik van deze sectie. Sectie 702 maakt het mogelijk om zonder de drempel van rechterlijke toestemming op basis van 'probable cause' informatie in te zien van niet-Amerikaanse burgers buiten het Amerikaanse grondgebied van wie vermoed wordt dat ze 'foreign intelligence'-informatie hebben. In 2017 verlengde de FISA Amendments Reauthorization Act sectie 702 voor zes jaar en in 2023 werd de clausule tot 2024 verlengd. In 2024 werd deze weer verlengd door Joe Biden. De drempel voor het verzamelen van data op basis van deze wet voor de nationale veiligheid ligt een stuk lager dan de drempel voor strafrechtelijke wetten waar doorgaans de drempel van probable cause geldt en meer waarborgen zijn ingericht.
De Clarifying Lawful Overseas Use of Data Act (Cloud Act) uit 2018 is voornamelijk een aanvulling van de eerder genoemde Stored Communications Act (SCA), onderdeel van de Electronic Communications Privacy Act (ECPA), die zich richt op inzage in opgeslagen informatie door de Amerikaanse overheid. Deze wet is tot stand gekomen als reactie op de zaak Microsoft v. United States. Deze zaak speelde bij de Supreme Court in 2018 op grond van een dataverzoek van de FBI aan Microsoft uit 2013. Microsoft betoogde in deze zaak dat zij onder de SCA de Amerikaanse overheid geen toegang hoefde te geven tot data die opgeslagen was op servers buiten het Amerikaanse grondgebied. Terwijl deze zaak nog liep bij de Supreme Court werd in de Cloud Act verduidelijkt dat de SCA ook voor data op buitenlands grondgebied geldt. De Supreme Court besloot dat de zaak van Microsoft niet langer relevant was en stuurde de zaak terug naar de lagere rechtbank om deze te seponeren. De Cloud Act maakte immers duidelijk dat de SCA net zo goed van toepassing was op servers buiten Amerikaans grondgebied.
Conclusie
Het hebben van volledige juridische bescherming tegen inzage van gegevens door de Amerikaanse overheid enkel door data op Europees grondgebied te hebben, kunnen we naar het land der fabeltjes verwijzen. Dit wil niet zeggen dat de Amerikaanse overheid altijd informatie mag opvragen op grond van eigen wetgeving. De Cloud Act kent bijvoorbeeld diverse waarborgen. Ook is het vaak de vraag of een Europese dochteronderneming van een Amerikaanse multinational wel verplicht is te handelen naar verzoeken van de Amerikaanse overheid. Hierover volgt meer in de volgende delen van dit artikel.