T-Mobile gekocht door Amerikanen, kan ik mijn contract opzeggen?

Een lezer vroeg me:

T-Mobile heeft vandaag bekendgemaakt dat ze (deels) in Amerikaanse handen overgaan (als alles doorgaat). Ik maak me zorgen dat mijn telecomdata dan in de VS terechtkomt, en wil dan ook van provider wisselen. Is dat juridisch haalbaar? De voorwaarden van het bedrijf zeggen er niets over.
Investeerders Apax en Warburg Pincus trekken inderdaad maar liefst 5,1 miljard euro uit voor het telecombedrijf, zo meldden de huidige eigenaren Deutsche Telekom en Tele2 Sverige vorige week. De transactie heeft “geen effect op de proposities en diensten van T-Mobile”, staat in de persverklaring over de overname.

En dat laatste is gelijk een juridisch struikelblok, want we weten dat je telecomcontracten bij een (negatieve) wijziging tussentijds mag opzeggen. Maar een verandering van eigenaarschap bij de dienstverlener is geen wijziging van het contract, het bedrijf T-Mobile blijft als rechtspersoon gewoon bestaan. En als de contracten dan ongewijzigd blijven, dan kun je je niet beroepen op dat opzegrecht.

Algemeen kun je contracten voor telecom (telefonie, internet en dergelijke) na de eerste verlenging per maand opzeggen. Wie dus al enige tijd bij T-Mobile zit en nu weg wil, heeft dat recht. Maar let op: heb je tegen het einde van je contract een mooi aanbod gekregen voor een nieuwe telefoon, extra korting of iets dergelijks, dan heb je juridisch een nieuw contract genomen en mag je niet tussentijds weg.

Ik zie de zorg natuurlijk over Amerikaanse datagraaiers en geheime National Security Letters waarmee je telecomdata door de mallemolen gaat. Maar mijn eerste gedachte daarbij is wel dat de AVG hier toch echt voorgaat, er is werkelijk nul reden waarom abonneedata (inclusief metadata en verkeersgegevens) naar een Amerikaans moederbedrijf zou moeten gaan. Dus dat mag niet.

De toezichthouders moeten de overname nog goedkeuren. En ik kan me goed voorstellen dat omgang met persoonsgegevens een belangrijk aandachtspunt daarbij is.

Arnoud

20 reacties

  1. De bezorgdheid komt vooral door de wetenschap dat wetten geen natuurwetten zijn – je kunt ze gewoon breken. Het mag dan wel niet, maar kunnen we er op vertrouwen dat het stiekem niet toch gebeurt? En als het uiteindelijk uitkomt kun je wel beboeten maar de inkt zit dan al in het water…

    1. De Amerikaanse rechter is in het geheel niet in beeld. Die mag oordelen wat ie wil, maar omdat het een Europees bedrijf is dat in Europa zit, kan zo’n oordeel niet ten uitvoer worden gelegd. Krachteloos geroep dus, hooguit je vakantiebestemmingen als directeur zorgvuldig plannen de komende paar jaar.

      De kern is dat een Europees bedrijf zelf haar bedrijfsvoering regelt, ook als ze deel is van een internationaal concern. En dat de directie zelf aansprakelijk is voor wetsovertredingen in Europa, dus rekening houdt met Europese regels zoals de AVG maar niet met niet-bindende regels zoals de Amerikaanse FISA.

  2. Is the Cloud Act hier niet van toepassing? T-mobile Nederland wordt een subsidiary van de Amerikaanse holdings van de investeerders, en valt daarmee – lijkt me – onder de Cloud Act?

    Maar mijn eerste gedachte daarbij is wel dat de AVG hier toch echt voorgaat

    De vraag is of de Amerikanen dat ook zo zien. Het mooie is ook dat als je Googlet (moet dat nog met een hoofdletter bij genericide?) dan is de allereerste suggestie ‘cloud act gdpr’. Volgens mij zijn die wetten inherent in conflict met elkaar en stelt het internationaal handelende bedrijven voor een onmogelijk dilemma.

    1. Ja, ik zie dat dus niet helemaal. Inderdaad valt T-Mobile Holding USA (of hoe de moeder maar heet) onder US recht en dus ook onder de Cloud Act. Maar waarom zou T-Mobile Netherlands bv, hier gevestigd en opgericht, onder US recht vallen? Aandelen in handen van een Amerikaans bedrijf maakt je niet onderworpen aan US recht, voor zover ik weet.

      Natuurlijk, als T-Mobile Nederland dingen gaat laten doen door een Amerikaanse zuster (dataopslag gecentraliseerd, klantadministratie in een shared service center) dan komt de data in handen van grabbelende overheidsdienaren, dat is waar. Maar dat voelt voor mij als een keuze, die je moet rechtvaardigen onder de in Europa geldende regels.

      1. Maar waarom zou T-Mobile Netherlands bv, hier gevestigd en opgericht, onder US recht vallen?

        Daar geldt natuurlijk op: ‘niet’.

        Echter, in de cloud act staat:

        […] any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

        ( https://www.law.cornell.edu/uscode/text/18/2713 )

        Volgens mij is de redenering dan dat het Amerikaanse moederbedrijf ‘control’ heeft over haar subsidiaries. De partij die gesubpoenaed wordt is dan Tmobile Holdings USA (of whatever), en deze dient dan haar subsidiaries te bevelen die data te overhandigen. Geeft die daar geen gehoor aan dan is de holding schuldig aan het ‘failure to compel’ en kan de holding een straf/last onder dwangsom verwachten.

        Op die manier doen de Amerikanen enkel zaken met Amerikaanse bedrijven (die natuurlijk wel onder Amerikaans recht vallen), en moeten die bedrijven vervolgens maar uitzoeken hoe ze dat internationaal regelen. Lang leve de VS…

        1. Maar ‘control’ betekent dat je algemene zeggenschap hebt over bijvoorbeeld de verkoop of het opsplitsen van de dochter. Niet dat je de dagelijkse leiding hebt en bevelen mag geven. Die bevoegdheid (het besturen van het bedrijf) ligt bij de directie, en alleen daar. Vergelijk hoe een ALV een vereniging niet bestuurt maar wel de baas is. En de macht is precies dezelfde: je kunt de allergrootste dingen beslissen (opheffen vereniging, verkopen bedrijf) maar voor de rest kun je alleen de directie/het bestuur naar huis sturen en een nieuwe benoemen die wil doen wat jij vraagt.

          Ik geloof onmiddellijk dat de US Holding zo’n bevel kan krijgen inclusief een “don’t care how but do it” opdracht voor dat NL dochterbedrijf. Maar er is dus geen juridisch mechanisme waarmee de holding dan de dochter kan dwingen die opdracht na te komen. Dat is een werkinstructie, een dagelijks besluit, hoe zeg je dat: dat is de uitsluitende bevoegdheid van de Nederlandse dochter, niet van de Amerikaanse moeder. Die kan hooguit de directie ontslaan (“verschil van inzicht in de koers”) en dan eigen stromannen benoemen die doen wat ze onder tafel wordt ge-Whatsappt. Die stromannen zijn wel persoonlijk aansprakelijk (bestuurdersaansprakelijkheid) als de boete komt vanuit Europa, en de rest van hun carrière zal niet prettig verlopen.

          Inderdaad heeft de VS veel wetgeving die ze extraterritoriaal oplegt. Wil jij creditcards als betaalmethode, dan heb je je te schikken naar Amerikaanse regels over gepaste transacties en sectoren. Wil jij ooit software leveren in de VS, dan mag je nimmer zaken doen met Libië of Noord-Korea. Dat gaat grosso modo goed omdat die regels niet keihard tégen Europese regels zijn. Wij hebben ook sancties tegen Libië en Noord-Korea, de ongepaste sectoren voor creditcards lijken geen enorm probleem te leveren, dus het mag lekker doorhobbelen. Maar specifiek hier heeft de AVG een artikel dat expliciet en keihard tégen de Cloud Act is ingevoerd, artikel 48:

          Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.
          Ik zie gewoon écht niet hoe een Europese bestuurder kan rechtvaardigen dat ze persoonsgegevens gaan geven omdat het moederbedrijf onder druk staat van een Californische rechter die met een CLOUD of FISA bevel staat te zwaaien onder dreiging van contempt of court.

          1. Ik zie gewoon écht niet hoe een Europese bestuurder kan rechtvaardigen dat ze persoonsgegevens gaan geven omdat het moederbedrijf onder druk staat van een Californische rechter die met een CLOUD of FISA bevel staat te zwaaien onder dreiging van contempt of court.

            Helemaal mee eens. Dat is niet te rechtvaardigen. Tegelijkertijd geldtr dat onder druk alles vloeibaar wordt. Dat is uiteraard geen juridische realiteit, maar als er een rechter is die een last onder dwangsom oplegt van 10 miljoen USD per dag aan de holding om te zorgen dat die gegevens er komen, dan kan ik me voorstellen dat men een manier vindt om die gegevens door te spelen. Ook als dat juridisch gezien (naar Europees recht) niet in de haak zou zijn.

            Gebeurt dat toch niet kan de VS altijd nog de bestuurders van die amerikaanse entiteit in gijzeling (of contempt of court) nemen en wordt de druk verder opgevoerd. Ik weet niet tot in hoeverre de heet opgediende soep dagelijks gegeten wordt, maar ik denk dat dit is waar het knelt.

            Dat gezegd hebbende; juist die juridische werkelijkheid dat de bestuurders van de Europese vennootschap zich niets van dat Amerikaans recht aan hoeven te trekken en dus geen gegevens door kunnen spelen bevestigt wel je argument dat de overname geen reden kan zijn om je contract op te zeggen.

            1. Die extreme druk aan de Amerikaanse kant zie ik helemaal. Maar dat is allemaal wel een heel publiek spel, je kunt niet iemand van het niveau Satya Nadella wegens contempt in een cel in LA zetten zonder dat dat opvalt. En dan krijgt het politieke dimensies, want dan krijgen ze in Brussel het idee dat de VS probeert haar wet op te dringen en dát triggert natuurlijk Europese bestuurders.

              Je ziet al een tijdje die opzet met Europese dochters en transparantierapporten en aparte structuren, ik denk mede vanuit deze angst. Als je alles zo openbaar mogelijk speelt, dan is hardball met zulke trucjes (the data or it’s Gitmo for you) niet meer haalbaar zonder heel erg op te vallen. Bijkomend voordeel is dat de compliance afdelingen van Europese bedrijven dan makkelijker meegaan. Dat er dan heel diep in je DualECDRBG implementatie twaalf kilometer diep in je stack een NSA backdoor zit en dat de Europese auditors dat niet gevonden hebben, is dan een heel ander verhaal.

              1. Waarom zouden ze dat op niveau Nadella doen?

                Ik heb al eens eerder geschreven over mijn ervaringen met discovery orders uit de VS bij een Fortune 500 onderneming. Ik werd door een jurist ingelicht dat tegen êên van mijn klanten in de VS een grote rechtzaak was aangespannen en (o.a.) mijn naam in een eerste discovery voorkwam en dat er een gerechtelijk bevel lag in de VS al mijn correspondentie met dit bedrijf en de Nederlandse dochteronderneming en alle interne documenten die aan bepaalde zoek criteria voldeden te overhandigen. Er werd mij inderdaad zoals je verwacht verteld dat ik hieraan niet mocht voldoen, want er was geen geldig internationaal verzoek gedaan.

                Tot zover helemaal met jou eens, maar vervolgens werd mij dus ook verteld dat ik gedurende de rechtzaak niet naar de VS mocht gaan en als dat onverhoopt onvermijdelijk was ik dat op eigen risico deed en vooraf moest melden zodat mij alle toegang tot deze gegevens ontnomen kon worden. Het was namelijk niet ongehoord dat in zulke situaties een buitenlandse werknemer met toegang door de amerikaanse authoriteiten gedwongen werd om in te loggen en de gegeven te overhandigen!

                Na afloop van de rechtzaak werd mij aangeraden om nog een tijdje weg te blijven uit de VS, omdat ik een gerechtelijk bevel (order compelling discovery) naast mij neer had gelegd en dat men daar moeilijk over kon gaan doen. En toen was de CLOUD Act er nog helemaal niet. Die is er juist gekomen om eenduidig antwoord te geven of Amerikaanse rechters dit soort dingen mochten doen … het moge duidelijk zijn dat de verduideling was dat dit mag!

              2. ‘Dat er dan heel diep in je DualECDRBG implementatie twaalf kilometer diep in je stack een NSA backdoor zit en dat de Europese auditors dat niet gevonden hebben, is dan een heel ander verhaal’

                Hmmm, ik weet niet of het wel een ander verhaal is.

                Ik kan me goed voorstellen dat juist OMDAT zij een dergelijke CLOUD act hebben, medium-level beslissers eerlijk geloven dat zij echt recht hebben op de data, en daardoor veel meer geneigd zijn die back-door te gebruiken en ruzie te riskeren dan ze anders zouden zijn.

                1. Er is voor mij een wezenlijk verschil tussen de NSA en de FBI. Die eerste die breken gewoon in, nemen wat ze willen weten. Onze medewerking is daarbij niet nodig. Bij de FBI met een bevel is dat wel zo. Die komen niet naar Amsterdam om stiekem een harddisk te stelen, die eisen dat wij ‘m komen brengen en motiveren dat met juridische argumenten. Dat eerste staat dus buiten de juridische discussie, dat tweede staat er binnen.

                  1. OK dan, afgezien van het verschil tussen NSA en FBI kan ik me ook nog steeds goed voorstellen dat als de FBI relatief gemakkelijk toegang KAN krijgen terwijl het eigenlijk niet mag (een medium-simpel hackje, een insider, een systeembeheerder die in de US woont, een dealtje met de NSA of een hacker), ze het met de CLOUD-act in het achterhoofd het mogelijk wel doen (en higher management doet om dezelfde reden een oogje dicht) terwijl ze het anders uit angst voor een internationaal diplomatiek incident misschien niet zouden doen.

                    Het blijft allemaal mensenwerk, en als mensen ervan overtuigd zijn dat het recht aan hun kant staat (correct of niet), zijn ze bereid meer te doen.

                    1. Dat is waar, zij het met de kleine kans dat de advocaat van de verdachte een punt maakt van “hoe komt u aan deze informatie, die volgens ons alleen op een Europese server stond”. In de VS moet je met open vizier de rechtszaal in, en als uitkomt dat de FBI het gestolen had bij een Europees bedrijf dan is de zaak snel voorbij. Wat natuurlijk weer wel kan is dat de NSA het gaat halen en dat de FBI dan zegt “zo gek, er zat een bruine envelop in mijn postvakje, geen afzender” als de rechter ze aankijkt.

          2. Als je internationaal zakendoet, loop je al snel tegen dit soort ellende aan. Amerikaanse discovery regels gaan heel ver, en een land als Frankrijk heeft daarvoor zelfs speciale discovery blocking wetgeving ingevoerd. Iets vergelijkbaars heb je met boycot regels. Zo mag je van de VS geen zaken doen met Cuba, maar is het Europese bedrijven verboden zich aan die regels te houden; Arabische landen hadden een Israel boycot, en vroegen niet-Jood verklaringen, maar Europese bedrijven mochten zich daar dan weer niet aan houden.

            Laat ik maar niet beginnen over die wet waarmee de Amerikaanse president een invasie van Den Haag mag afkondigen als Amerikanen voor het International Strafhof worden vastgehouden.

            Eigenlijk zouden we zo’n uitspraak van een Amerikaanse rechter moeten zien als iemand onder druk zetten een strafbaar feit te plegen, en daarvoor zowel die Amerikaanse rechter, de betrokken overheidsdienaren en advokaten veroordelen, danwel op een zwarte lijst moeten zetten, zodat zij, omgekeerd, Europa niet meer in mogen.

  3. Arnoud heeft ongetwijfeld gelijk dat Nederlands en Europees recht hier voorgaat, en dat T-Mobile natuurlijk niet die metadata nu zomaar aan Amerikaanse overheidsdiensten kan gaan verstrekken, wat de Amerikaanse wet ook zegt.

    Ik denk ook dat we realistisch moeten zijn. Ongeacht onder welke wetgeving het valt, de NSA trekt zich daar niets van aan. Als die interesse hebben in die t-mobile metadata, dan krijgen ze die. Via een uitruil met een Nederlandse dienst, of gewoon ouderwets door hacking, infiltratie, omkoping van medewerkers, backdoors en wat ook. Als ze Angela Merkel en de Europese Commissie kunnen afluisteren dan kunnen ze die metadata (als ze daar al interesse in hebben) ook wel verkrijgen. Of dat, als ze dat zouden willen, door deze overname eenvoudiger gemaakt wordt is een goede vraag. Denk dan aan van bovenaf opgedrongen synergie-voordelen, gedeelde administraties, verhuizing naar andere cloud-partijen waar de NSA achterdeurtjes heeft etc.

      1. Toch is het Privacy Shield (zie recente blog) om diezelfde reden door de rechter naar de prullenbak verwezen. Nu was dit vanwege een samenloop van juridische werkelijkheden, waarin de verzameling van situaties waarin die regeling werkt gewoon leeg bleek te zijn, maar uiteindelijk is ook de rechter niet totaal blind voor de realiteit (al kan dat afrukken van die blinddoek wel eens wat jaartjes en miljoentjes kosten).

  4. Natuurlijk zal de overdracht van data (omgang met persoonsgegevens) naar de V.S. een bijzonder aandachtspunt zijn, maar het antwoord zal vermoedelijk toch luiden: “dat zit wel goed, zoals ons verteld is!”.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.