DOMSTOLENS DOM (Store Afdeling)
30. maj 2006 (*)
»Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – luftfart – afgørelse 2004/496/EF – aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater – registre over flypassagerer, som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed – direktiv 95/46/EF – artikel 25 – tredjelande – afgørelse 2004/535/EF – tilstrækkeligt beskyttelsesniveau«
I de forenede sager C-317/04 og C-318/04,
angående et annullationssøgsmål i henhold til artikel 230 EF, anlagt den 27. juli 2004,
Europa-Parlamentet ved R. Passos, N. Lorenz, H. Duintjer Tebbens og A. Caiola, som befuldmægtigede, og med valgt adresse i Luxembourg,
sagsøger,
støttet af:
Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) ved H. Hijmans og V. Perez Asinari, som befuldmægtigede,
intervenient,
mod
Rådet for Den Europæiske Union ved M.C. Giorgi Fort og M. Bishop, som befuldmægtigede,
sagsøgt i sag C-317/04,
støttet af:
Kommissionen for De Europæiske Fællesskaber ved P.J. Kuijper, A. van Solinge og C. Docksey, som befuldmægtigede, og med valgt adresse i Luxembourg,
Det Forenede Kongerige Storbritannien og Nordirland ved M. Bethell, C. White og T. Harris, som befuldmægtigede, bistået af barrister T. Ward, og med valgt adresse i Luxembourg,
intervenienter,
og mod
Kommissionen for De Europæiske Fællesskaber ved P.J. Kuijper, A. van Solinge, C. Docksey og F. Benyon, som befuldmægtigede, og med valgt adresse i Luxembourg,
sagsøgt i sag C-318/04,
støttet af:
Det Forenede Kongerige Storbritannien og Nordirland ved M. Bethell, C. White og T. Harris, som befuldmægtigede, bistået af barrister T. Ward, og med valgt adresse i Luxembourg,
intervenient,
har
DOMSTOLEN (Store Afdeling)
sammensat af præsidenten, V. Skouris, afdelingsformændene P. Jann, C.W.A. Timmermans, A. Rosas og J. Malenovský samt dommerne N. Colneric (refererende dommer), S. von Bahr, J.N. Cunha Rodrigues, R. Silva de Lapuerta, G. Arestis, A. Borg Barthet, M. Ilešič og J. Klučka,
generaladvokat: P. Léger
justitssekretær: ekspeditionssekretær M. Ferreira,
på grundlag af den skriftlige forhandling og efter retsmødet den 18. oktober 2005,
og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 22. november 2005,
afsagt følgende
Dom
1 Europa-Parlamentet har i stævningen i sag C-317/04 nedlagt påstand om annullation af Rådets afgørelse 2004/496/EF af 17. maj 2004 om indgåelse af en aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til United States Department of Homeland Security, Bureau of Customs and Border Protection (EUT L 183, s. 83, berigtiget i EUT 2005 L 255, s. 168).
2 I stævningen i sag C-318/04 har Parlamentet nedlagt påstand om annullation af Kommissionens beslutning 2004/535/EF af 14. maj 2004 om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed (Bureau of Customs and Border Protection) (EUT L 235, s. 11, herefter »beslutningen om tilstrækkelig beskyttelse«).
Retsforskrifter
3 Artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, undertegnet i Rom den 4. november 1950 (herefter »EMRK«) bestemmer:
»1 Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance.
2 Ingen offentlig myndighed kan gøre indgreb i udøvelsen af denne ret, undtagen for så vidt det sker i overensstemmelse med loven og er nødvendigt i et demokratisk samfund af hensyn til den nationale sikkerhed, den offentlige tryghed eller landets økonomiske velfærd, for at forebygge uro eller forbrydelse, for at beskytte sundheden eller sædeligheden eller for at beskytte andres ret og frihed.«
4 Artikel 95, stk. 1, andet punktum, EF har følgende ordlyd:
»Rådet, der træffer afgørelse efter fremgangsmåden i artikel 251 og efter høring af Det Økonomiske og Sociale Udvalg, vedtager de foranstaltninger med henblik på indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser, der vedrører det indre markeds oprettelse og funktion.«
5 Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281, s. 31), som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 1882/2003 af 29. september 2003 om tilpasning til Rådets afgørelse 1999/468/EF af bestemmelserne vedrørende de udvalg, der bistår Kommissionen i forbindelse med udøvelsen af de gennemførelsesbeføjelser, der er fastsat i retsakter omfattet af proceduren i EF-traktatens artikel 251 (EUT L 284, s. 1, herefter »direktivet«), er vedtaget med hjemmel i EF-traktatens artikel 100 A (efter ændring nu artikel 95 EF).
6 I betragtning 11 til direktivet anføres, at »dette direktivs princip om beskyttelse af personers rettigheder og frihedsrettigheder, og navnlig retten til privatlivets fred, er en præcisering og udvidelse af principperne i Europarådets konvention af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med databehandling af personoplysninger«.
7 Betragtning 13 til direktivet har følgende indhold:
»[A]ktiviteterne i afsnit V og VI i traktaten om Den Europæiske Union vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og statens aktiviteter på det strafferetlige område hører ikke under fællesskabsrettens anvendelsesområde, uden at dette berører de forpligtelser, der påhviler medlemsstaterne i henhold til traktatens artikel 56, stk. 2, artikel 57 og artikel 100 A […]«.
8 Betragtning 57 til direktivet lyder:
»[…] hvis et tredjeland […] ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal videregivelse af personoplysninger til det pågældende land forbydes«.
9 Direktivets artikel 2 bestemmer:
»I dette direktiv forstås ved:
a) »personoplysninger« enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet
b) »behandling af personoplysninger« (»behandling«) enhver operation eller række af operationer – med eller uden brug af elektronisk databehandling – som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse
[…]«
10 Direktivets artikel 3 har følgende indhold:
»Anvendelsesområde
1. Dette direktivs bestemmelser anvendes på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb, samt på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
2. Dette direktiv gælder ikke for sådan behandling af personoplysninger
– som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område
[…]«
11 Direktivets artikel 6, stk. 1, lyder således:
»Medlemsstaterne fastsætter bestemmelser om, at personoplysninger
[…]
b) skal indsamles til udtrykkeligt angivne og legitime formål, samt at senere behandling heraf ikke må være uforenelig med disse formål; senere behandling af oplysninger i historisk, statistisk eller videnskabeligt øjemed anses ikke for at være uforenelig med disse formål, såfremt medlemsstaterne giver de fornødne garantier
c) skal være relevante og tilstrækkelige og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de indsamles, og til de formål, hvortil de senere behandles
[…]
e) ikke må opbevares på en måde, der giver mulighed for at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de indsamles, eller i forbindelse med hvilke de behandles på et senere tidspunkt […]«
12 Direktivets artikel 7 bestemmer:
»Medlemsstaterne fastsætter bestemmelser om, at behandling af personoplysninger kun må finde sted, hvis
[…]
c) behandlingen er nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige
[…]
eller
e) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som den registeransvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt
eller
f) behandlingen er nødvendig, for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder, der skal beskyttes i henhold til artikel 1, stk. 1, i dette direktiv, går forud herfor.«
13 Direktivets artikel 8, stk. 5, første afsnit, har følgende indhold:
»Behandling af oplysninger om lovovertrædelser, straffedomme eller sikkerhedsforanstaltninger må kun foretages under kontrol af en offentlig myndighed, eller hvis der gælder tilstrækkelige, specifikke garantier i medfør af den nationale lovgivning med forbehold af de undtagelser, som medlemsstaten kan fastsætte på grundlag af nationale lovbestemmelser, hvorefter der gives tilstrækkelige, specifikke garantier. Et fuldstændigt register over straffedomme må dog kun føres under kontrol af en offentlig myndighed.«
14 Direktivets artikel 12 bestemmer:
»Medlemsstaterne sikrer enhver registreret ret til hos den registeransvarlige
a) frit og uhindret, med rimelige mellemrum og uden større ventetid eller større udgifter
– at få oplyst, om der behandles personoplysninger om den pågældende selv, samt mindst formålene med behandlingen, hvilken type oplysninger det drejer sig om, og modtagerne eller kategorierne af modtagere af oplysningerne
– at få meddelt letforståelig information om, hvilke oplysninger der er omfattet af behandlingerne, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer
– at få at vide, hvilken logik der ligger bag edb-behandlingen af oplysningerne om den pågældende, i det mindste i forbindelse med edb-baserede afgørelser som omhandlet i artikel 15, stk. 1
b) efter omstændighederne at få oplysninger, som ikke er blevet behandlet i overensstemmelse med dette direktiv, berigtiget, slettet eller blokeret, navnlig hvis de er ufuldstændige eller urigtige
c) at få udvirket, at tredjemand, til hvem sådanne oplysninger er blevet videregivet, underrettes om enhver berigtigelse, sletning eller blokering, der er foretaget i overensstemmelse med litra b), medmindre underretning viser sig umulig eller er uforholdsmæssig vanskelig.«
15 Direktivets artikel 13, stk. 1, har følgende ordlyd:
»Medlemsstaterne kan træffe lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 6, stk. 1, artikel 10, artikel 11, stk. 1, samt artikel 12 og 21, hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til:
a) statens sikkerhed
b) forsvaret
c) den offentlige sikkerhed
d) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv
e) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender
f) en kontrol-, tilsyns- eller reguleringsopgave, selv af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i litra c), d) og e) nævnte områder
g) beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder.«
16 Direktivets artikel 22 bestemmer:
»Klageadgang
Uden at foregribe muligheden for at iværksætte administrativ klage, herunder for den tilsynsmyndighed, der er nævnt i artikel 28, inden forelæggelse for retsinstanser, fastsætter medlemsstaterne bestemmelser om, at enhver har ret til for en domstol at indbringe en klage over krænkelser af de rettigheder, der garanteres i henhold til de nationale love, der gælder for den pågældende behandling.«
17 Direktivets kapitel IV om videregivelse af personoplysninger til tredjelande består af artikel 25 og 26.
18 Direktivets artikel 25 med overskriften »Principper« bestemmer:
»1. Medlemsstaterne fastsætter bestemmelser om, at videregivelse til et tredjeland af personoplysninger, der gøres til genstand for behandling, eller som skal gøres til genstand for behandling efter videregivelsen, kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og forudsat at de nationale bestemmelser, der vedtages til gennemførelse af direktivets øvrige bestemmelser, overholdes.
2. Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger; til grund for vurderingen lægges navnlig oplysningernes art, den eller de påtænkte behandlingers formål og varighed, oprindelseslandet og det endelige bestemmelsesland, de retsregler – almindelige regler eller sektorregler – der er i kraft i det pågældende tredjeland, samt de regler for god forretningsskik og de sikkerhedsforanstaltninger, der gælder i landet.
3. Medlemsstaterne og Kommissionen underretter gensidigt hinanden, hvis de mener, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2.
4. Konstaterer Kommissionen efter proceduren i artikel 31, stk. 2, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, træffer medlemsstaterne de foranstaltninger, der er nødvendige for at hindre enhver videregivelse af oplysninger af samme art til det pågældende tredjeland.
5. Kommissionen indleder på det rette tidspunkt forhandlinger med henblik på at afhjælpe den situation, der opstår som følge af en konstatering efter stk. 4.
6. Kommissionen kan efter proceduren i artikel 31, stk. 2, fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, på grundlag af dets nationale lovgivning eller dets internationale forpligtelser med henblik på at beskytte privatlivet og personers grundlæggende rettigheder og frihedsrettigheder, herunder de forpligtelser, der er indgået efter de i stk. 5 nævnte forhandlinger.
Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.«
19 Direktivets artikel 26, stk. 1, med overskriften »Undtagelser« har følgende indhold:
»Som undtagelse fra bestemmelserne i artikel 25 fastsætter medlemsstaterne, medmindre andet er bestemt i deres nationale lovgivning, at videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 2, kan finde sted, hvis
a) der ikke hersker tvivl om, at den registrerede har givet sit samtykke,
eller
b) videregivelsen er nødvendig af hensyn til opfyldelsen af en kontrakt mellem den registrerede og den registeransvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan kontrakt,
eller
c) videregivelsen er nødvendig af hensyn til indgåelsen eller udførelsen af en kontrakt, der i den registreredes interesse er indgået mellem den registeransvarlige og tredjemand,
eller
d) videregivelsen er nødvendig eller følger af lov eller bestemmelser fastsat med hjemmel i lov for at beskytte en vigtig samfundsinteresse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares,
eller
e) videregivelsen er nødvendig for at beskytte den registreredes vitale interesser,
eller
f) videregivelsen finder sted fra et offentligt register, der ifølge love eller administrative bestemmelser er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, i det omfang de ved lov fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde.«
20 Med hjemmel i direktivet, navnlig i direktivets artikel 25, stk. 6, har Kommissionen for De Europæiske Fællesskaber vedtaget beslutningen om tilstrækkelig beskyttelse.
21 Betragtning 11 til denne beslutning lyder således:
»CBP’s [United States Bureau of Customs and Border Protection (Amerikas Forenede Staters told- og grænsekontrolmyndighed)] behandling af de personoplysninger, der er indeholdt i flypassagerernes PNR-registrering [»Passenger Name Records« (passagerregistre)], og som videregives til CBP, er underlagt forpligtelseserklæringen af 11. maj 2004 fra Department of Homeland Security Bureau of Customs and Border Protection (herefter benævnt »forpligtelseserklæringen«) og USA’s nationale lovgivning i det i forpligtelseserklæringen anførte omfang.«
22 Betragtning 15 til beslutningen anfører, at PNR-oplysninger udelukkende anvendes til at forebygge og bekæmpe terrorisme og dermed forbundne forbrydelser, andre alvorlige forbrydelser, herunder organiseret kriminalitet, der har tværnational karakter, og flugt fra en anholdelse eller varetægtsfængsling for denne kriminalitet.
23 Artikel 1-4 i beslutningen om tilstrækkelig beskyttelse har følgende indhold:
»Artikel 1
USA’s told- og grænsekontrolmyndighed (Bureau of Customs and Border Protection, herefter benævnt »CBP«) anses for så vidt angår artikel 25, stk. 2, i direktiv 95/46/EF for at sikre et tilstrækkeligt beskyttelsesniveau for PNR-oplysninger vedrørende flyvninger til eller fra USA, der videregives fra Fællesskabet, i overensstemmelse med forpligtelseserklæringen i bilaget.
Artikel 2
Denne beslutning vedrører spørgsmålet om, hvorvidt CBP sikrer en tilstrækkelig beskyttelse til at opfylde kravene i artikel 25, stk. 1, i direktiv 95/46/EF, og beslutningen berører ikke andre betingelser eller begrænsninger i forbindelse med gennemførelsen af andre bestemmelser i direktivet, der vedrører behandlingen af personoplysninger i medlemsstaterne.
Artikel 3
1. De kompetente myndigheder i medlemsstaterne kan, uden at dette berører deres beføjelser til at træffe foranstaltninger for at sikre overholdelse af nationale bestemmelser, der er udstedt i henhold til andre bestemmelser end artikel 25 i direktiv 95/46/EF, gøre brug af deres beføjelser til at suspendere videregivelsen af oplysninger til CBP for at beskytte fysiske personer med hensyn til behandlingen af personoplysninger om dem:
a) når en kompetent myndighed i USA har fastslået, at CBP overtræder gældende beskyttelsesnormer, eller
b) når der er stor sandsynlighed for, at beskyttelsesnormerne i bilaget overtrædes, der er tilstrækkelig grund til at antage, at CBP ikke træffer eller ikke agter at træffe passende og rettidige foranstaltninger til at løse den pågældende sag, fortsat videregivelse af personoplysninger ville indebære overhængende risiko for at påføre de registrerede en alvorlig skade, og de kompetente myndigheder i medlemsstaten har udvist efter omstændighederne rimelige bestræbelser på at underrette CBP og givet denne mulighed for at svare.
2. Suspenderingen ophæves, når beskyttelsesnormerne overholdes, og de kompetente myndigheder i de pågældende medlemsstater underrettes herom.
Artikel 4
1. Medlemsstaterne underretter straks Kommissionen, hvis der træffes foranstaltninger i henhold til artikel 3.
2. Medlemsstaterne og Kommissionen underretter hinanden om enhver ændring af beskyttelsesnormerne samt om tilfælde, hvor de organer, som skal sikre, at CBP overholder beskyttelsesnormerne i bilaget, ikke sikrer denne overholdelse.
3. Hvis det fremgår af de oplysninger, der indsamles i henhold til artikel 3 og denne artikels stk. 1 og 2, at grundlæggende principper, der er nødvendige for at sikre et tilstrækkeligt beskyttelsesniveau for fysiske personer, ikke længere overholdes, eller at et organ, der skal sikre, at CBP overholder beskyttelsesnormerne i bilaget, ikke opfylder sin rolle effektivt, skal CBP underrettes, og hvis det er nødvendigt, skal proceduren i artikel 31, stk. 2, i direktiv 95/46/EF anvendes med henblik på at ophæve eller suspendere denne beslutning.«
24 I forpligtelseserklæringen fra Department of Homeland Security Bureau of Customs and Border Protection, der er vedlagt som bilag til beslutningen om tilstrækkelig beskyttelse, hedder det bl.a.:
»Da Kommissionen for De Europæiske Fællesskaber […] agter at gøre brug af sine beføjelser i henhold til artikel 25, stk. 6, i direktiv 95/46/EF […] og vedtage en beslutning, hvori det anerkendes, at Department of Homeland Security Bureau of Customs and Border Protection [CBP] sikrer en tilstrækkelig databeskyttelse i forbindelse med luftfartsselskabers videregivelse af [PNR]oplysninger […], der kan være omfattet af direktivet, afgiver CBP følgende forpligtelseserklæring […]«
25 Forpligtelseserklæringen omfatter 48 punkter, som er inddelt under følgende overskrifter: »Hjemmel til at indhente PNR-oplysninger«, »CBP’s anvendelse af PNR-oplysninger«, »Datakrav«, »Behandling af følsomme oplysninger«, »Metode til at få adgang til PNR-oplysninger«, »Lagring af PNR-oplysninger«, »CBP’s edb-sikkerhed«, »CBP’s behandling og beskyttelse af PNR-oplysninger«, »Videregivelse af PNR-oplysninger til andre offentlige myndigheder«, »Informering af PNR-registrerede og aktindsigt og klageadgang for de registrerede«, »Overholdelse«, »Gensidighed«, »Forpligtelseserklæringens evaluering og udløb«, »Ingen stiftelse af personlige rettigheder eller præcedens«.
26 Forpligtelseserklæringen indeholder bl.a. følgende punkter:
»1) Ethvert luftfartsselskab, der transporterer passagerer med fly mellem Amerikas Forenede Stater og udlandet, skal i henhold til loven (title 49, United States Code, section 44909(c)(3)) og (overgangs)bestemmelserne til gennemførelse heraf (title 19, Code of Federal Regulations, section 122.49b), give CBP (tidligere U.S. Customs Service) elektronisk adgang til PNR-oplysninger, som indsamles og lagres i luftfartsselskabets elektroniske reservations- og afgangskontrolsystemer (herefter benævnt »reservationssystemer«).
[…]
3) CBP anvender udelukkende PNR-oplysninger til at forebygge og bekæmpe 1) terrorisme og dermed forbundne forbrydelser, 2) andre alvorlige forbrydelser, herunder organiseret kriminalitet, der har tværnational karakter, og 3) flugt fra anholdelse eller varetægtsfængsling begrundet i ovennævnte kriminalitet. CBP kan ved at anvende PNR-oplysninger til disse formål koncentrere sine ressourcer om højrisikoaspekter, således at det er muligt at fremme og fortsat sikre bona fide-rejser.
4) De dataelementer, som CBP kræver, fremgår af bilag A […]
[…]
27) I forbindelse med enhver administrativ procedure eller retssag angående en anmodning i henhold til FOIA [Freedom of Information Act (lov om informationsfrihed)] om PNR-oplysninger, der er indhentet fra luftfartsselskaber, henviser CBP til, at sådanne registre er undtaget fra aktindsigt i henhold til FOIA.
[…]
29) CBP vil på grundlag af et skøn under hensyn til sagens konkrete omstændigheder kun udlevere PNR-oplysninger til andre offentlige myndigheder, herunder udenlandske, der beskæftiger sig med terrorbekæmpelse eller retshåndhævelse, med henblik på at forebygge og bekæmpe de i punkt 3 anførte overtrædelser (myndigheder, hvormed CBP kan udveksle sådanne oplysninger, benævnes herefter »udpegede myndigheder«).
30) CBP vil omhyggeligt udøve sit skøn til at videregive PNR-oplysninger til de anførte formål. CBP undersøger først, om begrundelsen for at videregive PNR-oplysninger til en anden udpeget myndighed er i overensstemmelse med det anførte formål (jf. punkt 29). Hvis dette er tilfældet, undersøger CBP, om den udpegede myndighed er ansvarlig for at forebygge, efterforske eller retsforfølge overtrædelser af en lov eller anden retsforskrift, der vedrører dette formål, eller for at håndhæve eller gennemføre en sådan lov eller retsforskrift, når CBP har kendskab til oplysninger om en faktisk eller potentiel lovovertrædelse. Der skal tages stilling til den anførte begrundelse for videregivelsen på baggrund af alle relevante omstændigheder.
[…]
35) Denne forpligtelseserklæring er ikke til hinder for anvendelsen eller videregivelsen af PNR-oplysninger i forbindelse med en strafferetlig procedure eller i øvrigt krævet i henhold til loven. CBP underretter Kommissionen om, hvis der i Amerikas Forenede Stater vedtages lovgivning, som materielt berører denne forpligtelseserklæring.
[…]
46) Denne forpligtelseserklæring finder anvendelse i en periode på tre år og seks måneder (3,5 år) at regne fra den dato, hvor en aftale mellem Amerikas Forenede Stater og Det Europæiske Fællesskab, der tillader luftfartsselskabernes behandling af PNR-oplysninger med henblik på videregivelse af sådanne oplysninger til CBP i overensstemmelse med direktivet, træder i kraft. […]
47) Denne forpligtelseserklæring stifter og overdrager ingen rettigheder eller fordele for private eller offentlige personer eller parter.
[…]«
27 Bilag »A« til forpligtelseserklæringen indeholder de »PNR-oplysninger«, som luftfartsselskaberne skal oplyse til CBP. Blandt disse oplysninger anføres bl.a. »PNR-registrets lokaliseringskode« (PNR record locator code), reservationsdato, navn, adresse, alle former for betalingsoplysninger, telefonnumre, rejsebureau, passagerens »rejsestatus« (travel status of passenger), e-post-adresse, generelle bemærkninger, pladsnummer, oplysning om passager, der ved tidligere lejligheder ikke har tjekket ind (no show) samt eventuelle indsamlede »APIS-oplysninger« (Advanced Passenger Information System).
28 Rådet vedtog afgørelse 2004/496 bl.a. med hjemmel i artikel 95 EF, sammenholdt med artikel 300, stk. 2, første afsnit, første punktum, EF.
29 De tre betragtninger til afgørelsen har følgende indhold:
»(1) Den 23. februar 2004 bemyndigede Rådet Kommissionen til at føre forhandlinger på Fællesskabets vegne om en aftale med Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til United States Department of Homeland Security, Bureau of Customs and Border Protection.
(2) Europa-Parlamentet har ikke afgivet udtalelse inden for den frist, som Rådet i henhold til traktatens artikel 300, stk. 3, første afsnit, havde fastsat under hensyntagen til det presserende behov for at udbedre den usikre situation, som luftfartsselskaber og passagerer befinder sig i, samt for at beskytte de berørte parters økonomiske interesser.
(3) Aftalen bør godkendes.«
30 Artikel 1 i afgørelse 2004/496 bestemmer:
»Aftalen mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til United States Department of Homeland Security, Bureau of Customs and Border Protection, godkendes herved på Fællesskabets vegne.
Teksten til aftalen er knyttet til denne afgørelse.«
31 Nævnte aftale (herefter »aftalen«) er affattet således:
»Det Europæiske Fællesskab og Amerikas Forenede Stater,
som anerkender, at det er vigtigt, at grundlæggende rettigheder og friheder respekteres, navnlig privatlivets fred, og at det samtidig med beskyttelsen af disse værdier er vigtigt at forhindre og bekæmpe terrorisme og dermed forbunden kriminalitet og anden alvorlig kriminalitet af grænseoverskridende karakter, herunder organiseret kriminalitet,
som tager hensyn til amerikansk lovgivning, hvorefter alle luftfartsselskaber, som foretager passagerflyvninger i udenlandsk lufttransport til og fra De Forenede Stater, skal give Department of Homeland Security (i det følgende benævnt »DHS«), [CBP], elektronisk adgang til [PNR-oplysninger], hvor sådanne oplysninger er indsamlet og opbevares i luftfartsselskabets automatiske reservations-/afgangskontrolsystemer,
som tager hensyn til […] direktiv 95/46/EF […], særlig artikel 7, litra c),
som tager hensyn til CBP’s forpligtelseserklæring af 11. maj 2004, som vil blive offentliggjort i Federal Register (i det følgende benævnt »forpligtelseserklæringen«),
som tager hensyn til Kommissionens afgørelse 2004/535/EF af 14. maj 2004 i medfør af artikel 25, stk. 6, i direktiv 95/46/EF, hvorefter CBP anses for at give et tilstrækkeligt beskyttelsesniveau for PNR-oplysninger, der overføres fra Det Europæiske Fællesskab (i det følgende benævnt »Fællesskabet«), vedrørende flyvninger til eller fra USA i overensstemmelse med forpligtelseserklæringen, som er knyttet til nævnte afgørelse (i det følgende benævnt »afgørelsen«),
som noterer sig, at luftfartsselskaber med reservations- og afgangskontrolsystemer beliggende på Fællesskabets medlemsstaters område, vil sørge for overførsel af PNR-oplysninger til CBP, så snart dette er teknisk muligt, men at de amerikanske myndigheder indtil da skal have direkte adgang til oplysninger i overensstemmelse med bestemmelserne i denne aftale,
[…]
Er blevet enige om følgende:
1. CBP har elektronisk adgang til PNR-oplysninger i luftfartsselskabers reservations- og afgangskontrolsystemer (i det følgende benævnt »reservationssystemer«) beliggende på Fællesskabets medlemsstaters område, under streng overholdelse af afgørelsens bestemmelser, og så længe afgørelsen er gældende, og kun indtil der er fundet en tilfredsstillende løsning, som muliggør luftfartsselskabers overførsel af sådanne oplysninger.
[Den engelske version har følgende ordlyd: »CBP may electronically access the PNR data from air carriers reservation/departure control systems (»reservation systems«) located within the territory of the Member State of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers.«]
2. Luftfartsselskaber, der foretager passagerflyvninger i udenlandsk lufttransport til eller fra De Forenede Stater, behandler PNR-oplysninger, der opbevares i deres automatiske reservationssystemer, efter anmodning fra CBP i medfør af amerikansk ret og under streng overholdelse af afgørelsens bestemmelser, og så længe afgørelsen er gældende.
3. CBP tager afgørelsen til efterretning og bekendtgør, at det honorerer den vedlagte forpligtelseserklæring.
4. CBP behandler de PNR-oplysninger, det modtager, og de registrerede personer, der berøres af denne behandling, i overensstemmelse med gældende amerikanske lov- og forfatningskrav uden nogen ulovlig diskrimination, navnlig ikke begrundet i nationalitet eller bopælsland.
[…]
7. Denne aftale træder i kraft ved undertegnelsen. Hver af parterne kan opsige denne aftale til enhver tid ved notifikation gennem de diplomatiske kanaler. Opsigelsen får virkning halvfems (90) dage efter notifikationen af opsigelsen til den anden part. Denne aftale kan ændres til enhver tid ved gensidig skriftlig overenskomst.
8. Denne aftale medfører hverken nogen fravigelse eller ændring af parternes lovgivning; ej heller danner denne aftale grundlag for eller giver nogen rettigheder eller fordele til private eller offentlige personer eller parter.«
32 Ifølge Rådets meddelelse om datoen for ikrafttrædelse af aftalen (EUT 2004 C 158, s. 1) trådte aftalen, der blev undertegnet i Washington den 28. maj 2004 af en repræsentant for Rådets formandskab og af secretary of United States Department of Homeland Security, i kraft på datoen for undertegnelsen i overensstemmelse med aftalens punkt 7.
Baggrunden for tvisterne
33 Efter terrorangrebene den 11. september 2001 vedtog De Forenede Stater i november samme år en lovgivning, hvorefter luftfartsselskaber, der foretager flyvninger til, fra eller over De Forenede Stater, skulle give de amerikanske toldmyndigheder elektronisk adgang til oplysningerne i luftfartsselskabernes automatiske reservations-/afgangskontrolsystemer, der betegnes »Passenger Name Records« (herefter »PNR-oplysninger«). Selv om Kommissionen anerkender legitimiteten af de pågældende sikkerhedsinteresser, meddelte den allerede i juni 2002 De Forenede Staters myndigheder, at disse bestemmelser kunne komme i konflikt med Fællesskabets og medlemsstaternes lovgivning om beskyttelse af personoplysninger og med visse af bestemmelserne i Rådets forordning (EØF) nr. 2299/89 af 24. juli 1989 om en adfærdskodeks for edb-reservationssystemer (EFT L 220, s. 1), som ændret ved Rådets forordning (EF) nr. 323/1999 af 8. februar 1999 (EFT L 40, s. 1). De Forenede Staters myndigheder udskød ikrafttrædelsen af de nye bestemmelser, men nægtede dog at give afkald på at pålægge de luftfartsselskaber, som ikke overholdt lovgivningen om elektronisk adgang til PNR-oplysninger efter den 5. marts 2003, sanktioner. Siden da har flere større luftfartsselskaber etableret i Den Europæiske Union givet de amerikanske myndigheder adgang til deres PNR-oplysninger.
34 Kommissionen indledte forhandlinger med De Forenede Staters myndigheder, og som resultat af forhandlingerne blev der udarbejdet et dokument indeholdende forpligtelser (»undertakings«) indgået af CBP, der skulle bane vej for vedtagelsen af en kommissionsbeslutning om konstatering af et tilstrækkeligt beskyttelsesniveau i henhold til direktivets artikel 25, stk. 6.
35 Den 13. juni 2003 afgav den ved direktivets artikel 29 nedsatte gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger en udtalelse, hvori den rejste tvivl om, hvorvidt disse forpligtelser sikrer et tilstrækkeligt beskyttelsesniveau for de påtænkte databehandlinger. Denne tvivl blev gentaget i en ny udtalelse af 29. januar 2004.
36 Den 1. marts 2004 forelagde Kommissionen i henhold til direktivets artikel 25, stk. 6, Parlamentet udkastet til beslutning om tilstrækkelig beskyttelse ledsaget af udkastet til CBP’s forpligtelseserklæring.
37 I henhold til artikel 300, stk. 3, første afsnit, EF sendte Kommissionen den 17. marts 2004 et forslag til Rådets afgørelse om indgåelse af en aftale med De Forenede Stater til høring hos Parlamentet. Ved skrivelse af 25. marts 2004 anmodede Rådet under henvisning til hasteproceduren Parlamentet om at udtale sig om dette forslag senest den 22. april 2004. Rådet fremhævede i skrivelsen, at »[t]errorbekæmpelse, som begrunder de foreslåede foranstaltninger, har meget høj prioritet i Den Europæiske Union, [at] luftfartsselskaberne og passagererne [for tiden befinder sig] i en situation præget af usikkerhed, som snarest bør afhjælpes, [og at] det […] endvidere [er] vigtigt at beskytte de berørte parters økonomiske interesser«.
38 Den 31. marts 2004 vedtog Parlamentet i henhold til artikel 8 i Rådets afgørelse 1999/468/EF af 28. juni 1999 om fastsættelse af de nærmere vilkår for udøvelsen af de gennemførelsesbeføjelser, der tillægges Kommissionen (EFT L 184, s. 23), en beslutning, hvori der tages en række retlige forbehold over for det forelagte forslag. Parlamentet fandt især, at udkastet til beslutning om tilstrækkelig beskyttelse overskred de gennemførelsesbeføjelser, som direktivets artikel 25 tillægger Kommissionen. Parlamentet opfordrede til, at der blev indgået en passende international aftale, der respekterede de grundlæggende rettigheder på et antal punkter, som var detaljeret beskrevet i beslutningen, og anmodede Kommissionen om at forelægge Parlamentet et nyt beslutningsudkast. Parlamentet forbeholdt sig endvidere ret til at henvende sig til Domstolen for at få fastslået, om den påtænkte internationale aftale var lovlig, og navnlig om den var i overensstemmelse med retten til respekt for privatlivet.
39 Den 21. april 2004 besluttede Parlamentet efter anmodning fra sin formand at efterkomme en anbefaling fra Udvalget om Retlige Anliggender og Det Indre Marked til Parlamentet om i henhold til artikel 300, stk. 6, EF at indgive begæring til Domstolen om en udtalelse om den påtænkte aftales forenelighed med traktatens bestemmelser. Denne procedure blev iværksat allerede samme dag.
40 Parlamentet besluttede ligeledes samme dag at forelægge udvalget betænkningen om forslaget til rådsafgørelse og afviste således foreløbig stiltiende Rådets anmodning af 25. marts 2004 om at følge hasteproceduren med hensyn til det pågældende forslag.
41 Den 28. april 2004 tilsendte Rådet under henvisning til artikel 300, stk. 3, første afsnit, EF Parlamentet en skrivelse med anmodning om en udtalelse vedrørende forslaget til afgørelse om indgåelse af aftalen inden den 5. maj 2004. Rådet gav samme begrundelse for den korte svarfrist som i skrivelsen af 25. marts 2004.
42 Da Parlamentet var blevet opmærksom på, at forslaget til Rådets afgørelse endnu ikke var blevet oversat til samtlige sprog, afviste det den 4. maj 2004 den anmodning om hastebehandling, som Rådet havde indgivet den 28. april.
43 Den 14. maj 2004 vedtog Kommissionen beslutningen om tilstrækkelig beskyttelse, der er omhandlet i sag C-318/04. Den 17. maj 2004 vedtog Rådet afgørelse 2004/496, der er genstand for sag C-317/04.
44 Ved skrivelse af 4. juni 2004 oplyste Rådets formandskab Parlamentet om, at afgørelse 2004/496 tog hensyn til bekæmpelsen af terrorisme, som har høj prioritet for Unionen, men også til behovet for at imødegå en situation, hvor der er usikkerhed om luftfartsselskabernes retsstilling, samt til disse selskabers økonomiske interesser.
45 Ved skrivelse af 9. juli 2004 meddelte Parlamentet Domstolen, at det trak sin begæring om udtalelse registreret under nr. 1/04 tilbage.
46 I sag C-317/04 har Domstolens præsident ved kendelser afsagt den 18. november 2004 og den 18. januar 2005 tilladt Kommissionen og Det Forenede Kongerige Storbritannien og Nordirland at indtræde i sagen til støtte for Rådets påstande.
47 I sag C-318/04 har Domstolens præsident ved kendelse afsagt den 17. december 2004 tilladt Det Forenede Kongerige at indtræde i sagen til støtte for Kommissionens påstande.
48 Ved Domstolens kendelser af 17. marts 2005 har Den Europæiske Tilsynsførende for Databeskyttelse fået tilladelse til at indtræde i begge sager til støtte for Parlamentets påstande.
49 Da de to sager er konnekse, hvilket er blevet bekræftet under de mundtlige forhandlinger, bør de i henhold til procesreglementets artikel 43 forenes med henblik på dommen.
Om søgsmålet i sag C-318/04
50 Parlamentet har anført fire anbringender til støtte for sin annullationspåstand, nemlig magtoverskridelse, tilsidesættelse af direktivets væsentlige principper, tilsidesættelse af de grundlæggende rettigheder og tilsidesættelse af proportionalitetsprincippet.
Første anbringendes første led vedrørende tilsidesættelse af direktivets artikel 3, stk. 2, første led
Parternes argumenter
51 Parlamentet har gjort gældende, at Kommissionens beslutning er vedtaget ved overskridelse af dens beføjelser, idet direktivets bestemmelser ikke er blevet overholdt, og at Kommissionen har tilsidesat direktivets artikel 3, stk. 2, første led, hvorefter direktivet ikke gælder for aktiviteter, der ikke er omfattet af fællesskabsretten.
52 Ifølge Parlamentet er det klart, at behandlingen af PNR-oplysninger efter videregivelsen til de amerikanske myndigheder, som omhandlet i beslutningen om tilstrækkelig beskyttelse, foregår og vil foregå som led i staternes aktiviteter i den forstand, hvori udtrykket er anvendt i præmis 43 i dom af 6. november 2003, Lindquist (sag C-101/01, Sml. I, s. 12971).
53 Kommissionen finder, støttet af Det Forenede Kongerige, at luftfartsselskabernes aktiviteter klart er omfattet af fællesskabsretten. Kommissionen har gjort gældende, at disse private erhvervsdrivende behandler PNR-oplysningerne inden for Fællesskabet og sørger for, at de bliver videregivet til et tredjeland. Der er således tale om enkelte borgeres aktiviteter og ikke om aktiviteter, der udøves af den medlemsstat, hvori selskaberne opererer, eller af dennes statslige myndigheder, som defineret af Domstolen i præmis 43 i Lindquist‑dommen. Luftfartsselskabernes formål med at behandle PNR-oplysninger er blot at overholde de fællesskabsretlige krav, herunder forpligtelsen i aftalens punkt 2. Direktivets artikel 3, stk. 2, henviser til statslige myndigheders aktiviteter, der ikke er omfattet af fællesskabsretten.
Domstolens bemærkninger
54 Ifølge direktivets artikel 3, stk. 2, første led, gælder dette ikke for behandling af personoplysninger, som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed og statens aktiviteter på det strafferetlige område.
55 Beslutningen om tilstrækkelig beskyttelse vedrører kun PNR-oplysninger, der videregives til CBP. Det fremgår af betragtning 6 til beslutningen, at kravet om videregivelse har hjemmel i en lov, som De Forenede Stater vedtog i november 2001, og i en række gennemførelsesbestemmelser, som CBP vedtog i medfør af denne lov. Ifølge betragtning 7 til beslutningen har de pågældende amerikanske regler til formål at forbedre sikkerheden og skærpe betingelserne for indrejse til og udrejse fra De Forenede Stater. I henhold til betragtning 8 støtter Fællesskabet fuldt ud De Forenede Stater i bekæmpelsen af terrorisme inden for de begrænsninger, der følger af fællesskabsretten. Det anføres i betragtning 15 til beslutningen, at PNR-oplysninger udelukkende anvendes til at forebygge og bekæmpe terrorisme og dermed forbundne forbrydelser, andre alvorlige forbrydelser, herunder organiseret kriminalitet, der har tværnational karakter, og flugt fra en anholdelse eller varetægtsfængsling for denne kriminalitet.
56 Det følger af det anførte, at videregivelsen af PNR-oplysninger til CBP udgør behandling, der vedrører den offentlige sikkerhed og statens aktiviteter på det strafferetlige område.
57 Selv om PNR-oplysningerne ganske vist først indsamles af luftfartsselskaberne som led i en aktivitet, der er underlagt fællesskabsretten, nemlig salg af en flybillet, der giver ret til en tjenesteydelse, er den behandling af oplysningerne, der er tale om i beslutningen om tilstrækkelig beskyttelse, imidlertid af en helt anden art. Som anført i denne doms præmis 55 vedrører denne beslutning nemlig ikke behandling af oplysninger, der er nødvendige for at levere en tjenesteydelse, men behandling, som anses for nødvendig for at beskytte den offentlige sikkerhed og for at nå retshåndhævende mål.
58 I Lindquist-dommens præmis 43, som Kommissionen har henvist til, fastslog Domstolen, at de aktiviteter, der er nævnt som eksempler i direktivets artikel 3, stk. 2, første led, under alle omstændigheder er statens eller statslige myndigheders aktiviteter og ikke har noget at gøre med området for den enkelte borgers aktiviteter. Imidlertid følger det ikke af præmis 43, at det på baggrund af den omstændighed, at PNR-oplysningerne er blevet indsamlet af private erhvervsdrivende til kommercielle formål, og at det er disse erhvervsdrivende, som forestår oplysningernes videregivelse til en tredjestat, kan udledes, at den omhandlede overførsel ikke er omfattet af denne bestemmelses anvendelsesområde. Videregivelsen sker nemlig inden for rammer, der er indført af de statslige myndigheder, og som vedrører den offentlige sikkerhed.
59 Det følger af det anførte, at beslutningen om tilstrækkelig beskyttelse vedrører behandling af personoplysninger, jf. direktivets artikel 3, stk. 2, første led. Beslutningen er derfor ikke omfattet af direktivets anvendelsesområde.
60 Det første anbringendes første led vedrørende tilsidesættelse af direktivets artikel 3, stk. 2, første led, bør således tiltrædes.
61 Følgelig bør beslutningen om tilstrækkelig beskyttelse annulleres, uden at det er nødvendigt at behandle de andre led i det første anbringende eller de øvrige af Parlamentets anbringender.
Om søgsmålet i sag C-317/04
62 Parlamentet har anført seks anbringender til støtte for sin påstand om annullation, nemlig urigtigt valg af artikel 95 EF som hjemmel for afgørelse 2004/496 og tilsidesættelse af artikel 300, stk. 3, andet afsnit, EF, af EMRK’s artikel 8, af proportionalitetsprincippet henholdsvis kravet om begrundelse samt af princippet om loyalt samarbejde.
Det første anbringende vedrørende urigtigt valg af artikel 95 EF som hjemmel for afgørelse 2004/496
Parternes argumenter
63 Parlamentet har gjort gældende, at artikel 95 EF ikke udgør den rette hjemmel for afgørelse 2004/496. Hverken afgørelsens formål eller indhold tager sigte på det indre markeds oprettelse og funktion gennem ophævelse af hindringer for den frie udveksling af tjenesteydelser, og afgørelsen indeholder ikke bestemmelser til virkeliggørelse af et sådant formål. Afgørelsen har reelt til formål at lovliggøre den behandling af personoplysninger, som De Forenede Staters lovgivning påbyder. Artikel 95 EF giver desuden ikke Fællesskabet kompetence til at indgå den pågældende aftale, idet denne vedrører behandling af oplysninger, der er udelukket fra direktivets anvendelsesområde.
64 Rådet har anført, at direktivet, der er gyldigt vedtaget med hjemmel i traktatens artikel 100 A, i artikel 25 indeholder bestemmelser, som giver mulighed for videregivelse af personoplysninger til et tredjeland, der sikrer et tilstrækkeligt beskyttelsesniveau, herunder en mulighed for om fornødent at indlede forhandlinger om indgåelse af en aftale mellem Fællesskabet og det pågældende tredjeland. Ifølge Rådet vedrører aftalen den frie bevægelighed af PNR-oplysninger mellem Fællesskabet og De Forenede Stater på betingelser, der overholder de grundlæggende friheds- og menneskerettigheder, bl.a. retten til respekt for privatlivet. Aftalen tilsigter at fjerne enhver konkurrencefordrejning mellem medlemsstaternes luftfartsselskaber og mellem disse og tredjelandes luftfartsselskaber, konkurrencefordrejninger, der af årsager, som har forbindelse med beskyttelsen af enkeltpersoners rettigheder og friheder, kan opstå på grund af De Forenede Staters krav. Konkurrencen mellem medlemsstaternes luftfartsselskaber, der foretager passagerflyvninger i udenlandsk lufttransport til eller fra De Forenede Stater, kan blive fordrejet, hvis blot enkelte af luftfartsselskaberne giver de amerikanske myndigheder adgang til deres databaser. Hensigten med aftalen var at pålægge samtlige berørte luftfartsselskaber ensartede forpligtelser.
65 Kommissionen har anført, at der foreligger en »lovkonflikt« i folkeretlig forstand mellem De Forenede Staters love og de fællesskabsretlige regler, og at denne må løses. Kommissionen har kritiseret, at Parlamentet, selv om det bestrider, at artikel 95 EF kan udgøre hjemmelen for afgørelse 2004/496, ikke har anført, hvilken hjemmel, det anser for korrekt. Ifølge Kommissionen er artikel 95 EF den »naturlige hjemmel« for Rådets afgørelse, idet aftalen vedrører de eksterne aspekter af beskyttelsen af personoplysninger under deres videregivelse inden for Fællesskabet. Direktivets artikel 25 og 26 hjemler en enekompetence for Fællesskabet hvad angår disse eksterne aspekter.
66 Desuden har Kommissionen gjort gældende, at luftfartsselskabernes indledende behandling af de pågældende oplysninger sker med kommercielt sigte. Uanset hvilken brug de amerikanske myndigheder gør af oplysningerne, vil direktivet finde anvendelse.
Domstolens bemærkninger
67 Artikel 95 EF, sammenholdt med direktivets artikel 25, giver ikke Fællesskabet kompetence til at indgå den pågældende aftale.
68 Aftalen vedrører nemlig samme videregivelse af oplysninger, som er omhandlet i beslutningen om tilstrækkelig beskyttelse, og dermed vedrører aftalen behandling af oplysninger, der, som anført ovenfor, er udelukket fra direktivets anvendelsesområde.
69 Følgelig kunne afgørelse 2004/496 ikke gyldigt vedtages med hjemmel i artikel 95 EF.
70 Afgørelsen bør derfor annulleres, uden at det er nødvendigt at behandle de øvrige af Parlamentets anbringender.
Begrænsning af dommens tidsmæssige virkninger
71 Det fremgår af aftalens punkt 7, at hver af parterne kan opsige denne til enhver tid, og at opsigelsen i så fald får virkning 90 dage efter notifikationen af opsigelsen til den anden part.
72 I henhold til aftalens punkt 1 og 2 eksisterer CBP’s ret til adgang til PNR-oplysninger og luftfartsselskabernes forpligtelse til at behandle disse oplysninger, som CBP angiver, kun så længe, at beslutningen om tilstrækkelig beskyttelse er gældende. I aftalens punkt 3 har CBP erklæret, at den vil overholde den forpligtelseserklæring, der er vedlagt som bilag til beslutningen om tilstrækkelig beskyttelse.
73 Henset dels til den omstændighed, at Fællesskabet ikke kan påberåbe sig forhold i sin egen retsorden som begrundelse for at misligholde en aftale, der er gældende i en periode på 90 dage fra dens opsigelse, dels til den snævre forbindelse, der er mellem den pågældende aftale og beslutningen om tilstrækkelig beskyttelse, synes det rimeligt af retssikkerhedsmæssige grunde, og for at beskytte de berørte personer, at opretholde virkningen af beslutningen om tilstrækkelig beskyttelse i samme periode. Desuden må der indrømmes en sådan frist, at de foranstaltninger, som opfyldelsen af denne dom kræver, kan vedtages.
74 Virkningen af beslutningen om tilstrækkelig beskyttelse bør derfor opretholdes indtil den 30. september 2006, dog ikke længere end til datoen for aftalens ophør.
Sagsomkostninger
75 Ifølge procesreglementets artikel 69, stk. 2, pålægges det den tabende part at betale sagens omkostninger, hvis der er nedlagt påstand herom. Da Parlamentet har nedlagt påstand om, at Rådet og Kommissionen tilpligtes at betale sagens omkostninger, og da Rådet og Kommissionen har tabt sagen, bør det pålægges disse at betale sagens omkostninger. I henhold til artikel 69, stk. 4, første afsnit, bærer intervenienterne i denne sag deres egne omkostninger.
På grundlag af disse præmisser udtaler og bestemmer Domstolen (Store Afdeling):
1) Rådets afgørelse 2004/496/EF af 17. maj 2004 om indgåelse af en aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til United States Department of Homeland Security, Bureau of Customs and Border Protection, og Kommissionens beslutning 2004/535/EF af 14. maj 2004 om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed (Bureau of Customs and Border Protection) annulleres.
2) Virkningerne af beslutning 2004/535 opretholdes indtil den 30. september 2006, dog ikke længere end til datoen for nævnte aftales ophør.
3) Rådet for Den Europæiske Union betaler omkostningerne i sag C-317/04.
4) Kommissionen for De Europæiske Fællesskaber betaler omkostningerne i sag C-318/04.
5) Kommissionen for De Europæiske Fællesskaber bærer sine egne omkostninger i sag C-317/04.
6) Det Forenede Kongerige Storbritannien og Nordirland samt Den Europæiske Tilsynsførende for Databeskyttelse bærer deres egne omkostninger.
Underskrifter