Zaak C‑362/14

Maximillian Schrems

tegen

Data Protection Commissioner

[verzoek om een prejudiciële beslissing, ingediend door de High Court (Ierland)]

„Prejudiciële verwijzing – Persoonsgegevens – Bescherming van natuurlijke personen in verband met de verwerking van die gegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Richtlijn 95/46/EG – Artikelen 25 en 28 – Doorgifte van persoonsgegevens naar derde landen – Beschikking 2000/520/EG – Doorgifte van persoonsgegevens naar de Verenigde Staten – Passend beschermingsniveau – Geldigheid – Klacht van een natuurlijke persoon van wie de gegevens vanuit de Europese Unie naar de Verenigde Staten zijn doorgegeven – Bevoegdheden van de nationale toezichthoudende autoriteiten”

Samenvatting – Arrest van het Hof (Grote kamer) van 6 oktober 2015

1.        Harmonisatie van de wetgevingen – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Richtlijn 95/46 – Uitlegging tegen de achtergrond van de grondrechten

(Handvest van de grondrechten van de Europese Unie; richtlijn 95/46 van het Europees Parlement en de Raad)

2.        Harmonisatie van de wetgevingen – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Richtlijn 95/46 – Nationale toezichthoudende autoriteiten – Vereiste van onafhankelijkheid

(Art. 16, lid 2, VWEU; Handvest van de grondrechten van de Europese Unie, art. 8, lid 3; richtlijn 95/46 van het Europees Parlement en de Raad, tweeënzestigste overweging en art. 28, lid 1)

3.        Harmonisatie van de wetgevingen – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Richtlijn 95/46 – Nationale toezichthoudende autoriteiten – Bevoegdheden – Toezicht op de doorgifte van persoonsgegevens naar derde landen – Daaronder begrepen

(Handvest van de grondrechten van de Europese Unie, art. 8, lid 3; richtlijn 95/46 van het Europees Parlement en de Raad, art. 28)

4.        Harmonisatie van de wetgevingen – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Richtlijn 95/46 – Doorgifte van persoonsgegevens naar derde landen – Vaststelling door de Commissie van een beschikking waarbij wordt geconstateerd dat het niveau van bescherming in een derde land passend is – Beschikking die verbindend is voor alle lidstaten waaraan zij is gericht – Onderzoek van de geldigheid van een dergelijke beschikking – Respectieve rollen van de nationale toezichthoudende autoriteiten en de nationale rechterlijke instanties

(Art. 288, vierde alinea, VWEU; Handvest van de grondrechten van de Europese Unie, art. 8, lid 3, en 47; richtlijn 95/46 van het Europees Parlement en de Raad, art. 25, lid 6, en 28, leden 3 en 4)

5.        Harmonisatie van de wetgevingen – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Richtlijn 95/46 – Doorgifte van persoonsgegevens naar derde landen – Vaststelling door de Commissie van een beschikking waarbij wordt geconstateerd dat het niveau van bescherming in een derde land passend is – Nationale toezichthoudende autoriteit waarbij een verzoek is ingediend met betrekking tot de bescherming van de rechten en vrijheden in verband met de verwerking van op de verzoeker betrekking hebbende gegevens die zijn doorgegeven – Verzoeker die betwist dat het niveau van bescherming in dat derde land passend is – Verplichting voor die autoriteit om het verzoek te onderzoeken – Omvang van het onderzoek

(Handvest van de grondrechten van de Europese Unie, art. 7, 8 en 47; richtlijn 95/46 van het Europees Parlement en de Raad, art. 25, lid 6, en 28)

6.        Harmonisatie van de wetgevingen – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Richtlijn 95/46 – Doorgifte van persoonsgegevens naar derde landen – Vaststelling door de Commissie van een beschikking waarbij wordt geconstateerd dat het niveau van bescherming in een derde land passend is – Begrip passend beschermingsniveau – Beoordelingscriteria – Beoordelingsbevoegdheid van de Commissie

(Richtlijn 95/46 van het Europees Parlement en de Raad, art. 25, leden 2 en 6)

7.        Harmonisatie van de wetgevingen – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Richtlijn 95/46 – Doorgifte van persoonsgegevens naar derde landen – Vaststelling door de Commissie van een beschikking waarbij wordt geconstateerd dat het niveau van bescherming in een derde land passend is – Beschikking 2000/520 waarbij een passend beschermingsniveau in de Verenigde Staten wordt geconstateerd – Ongeldigheid

(Handvest van de grondrechten van de Europese Unie; richtlijn 95/46 van het Europees Parlement en de Raad, art. 25, lid 6, en 28; beschikking 2000/520 van de Commissie, art. 1‑4)

8.        Grondrechten – Eerbiediging van het privéleven – Bescherming van persoonsgegevens – Regeling van de Unie die een inmenging in die grondrechten met zich brengt – Voorwaarden – Voldoende waarborgen tegen het gevaar van misbruik – Eerbiediging van het evenredigheidsbeginsel

(Handvest van de grondrechten van de Europese Unie, art. 7 en 8)

1.        Zie de tekst van de beslissing.

(cf. punt 38)

2.        Zie de tekst van de beslissing.

(cf. punten 40, 41)

3.        De nationale toezichthoudende autoriteiten beschikken over een breed scala aan bevoegdheden en deze bevoegdheden, die niet-uitputtend zijn opgesomd in artikel 28, lid 3, van richtlijn 95/46 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, vormen de middelen die voor de vervulling van hun taak nodig zijn, zoals is benadrukt in de drieënzestigste overweging van deze richtlijn. Zo beschikken deze autoriteiten onder meer over onderzoeksbevoegdheden, zoals het recht alle inlichtingen in te winnen die voor de uitoefening van hun toezichthoudende taak noodzakelijk zijn, effectieve bevoegdheden om in te grijpen, zoals de bevoegdheid om een gegevensverwerking voorlopig of definitief te verbieden, alsmede de bevoegdheid om in rechte op te treden.

Wat de bevoegdheid om toezicht te houden op de doorgifte van persoonsgegevens naar derde landen betreft, is het juist dat uit artikel 28, leden 1 en 6, van richtlijn 95/46 volgt dat de bevoegdheden van de nationale toezichthoudende autoriteiten betrekking hebben op de verwerking van persoonsgegevens op het grondgebied van de lidstaat waaronder die autoriteiten vallen, zodat zij op grond van dit artikel 28 niet beschikken over bevoegdheden ten aanzien van de verwerking van dergelijke gegevens op het grondgebied van een derde land. De verrichting die bestaat in het doen doorgeven van persoonsgegevens vanuit een lidstaat naar een derde land vormt als zodanig echter een verwerking van persoonsgegevens in de zin van artikel 2, onder b), van richtlijn 95/46 die op het grondgebied van een lidstaat wordt verricht. Aangezien de nationale toezichthoudende autoriteiten ingevolge artikel 8, lid 3, van het Handvest van de grondrechten van de Europese Unie en artikel 28 van richtlijn 95/46 belast zijn met het toezicht op de naleving van de regels van de Unie op het gebied van de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, is elk van hen dus bevoegd om na te gaan of bij een doorgifte van persoonsgegevens naar een derde land vanuit de lidstaat waaronder zij valt, de vereisten van die richtlijn worden nageleefd.

(cf. punten 43‑45, 47)

4.        De Commissie kan op grond van artikel 25, lid 6, van richtlijn 95/46 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens een beschikking vaststellen waarbij zij constateert dat een derde land waarborgen voor een passend beschermingsniveau biedt. Een dergelijke beschikking is volgens de tweede alinea van die bepaling gericht tot de lidstaten, die de nodige maatregelen moeten nemen om zich naar die beschikking te voegen. Krachtens artikel 288, vierde alinea, VWEU is zij verbindend voor alle lidstaten tot wie zij is gericht, zodat zij ook verbindend is voor hun organen, in die zin dat zij tot gevolg heeft dat de doorgifte van persoonsgegevens vanuit de lidstaten naar het daarin genoemde derde land wordt toegestaan.

Zolang de beschikking van de Commissie niet ongeldig is verklaard door het Hof, dat als enige bevoegd is om de ongeldigheid van een handeling van de Unie vast te stellen, mogen de lidstaten en hun organen, waaronder de onafhankelijke toezichthoudende autoriteiten, dan ook geen maatregelen treffen die met deze beschikking in strijd zijn, zoals handelingen die tot doel hebben om dwingend vast te stellen dat het derde land waarop de beschikking ziet, geen waarborgen voor een passend beschermingsniveau biedt. De handelingen van de instellingen van de Unie worden immers in beginsel vermoed rechtmatig te zijn en sorteren dus rechtsgevolgen zolang zij niet zijn ingetrokken, in het kader van een beroep tot nietigverklaring nietig zijn verklaard of ten gevolge van een prejudiciële verwijzing of een exceptie van onwettigheid ongeldig zijn verklaard.

Hoewel het juist is dat de nationale rechterlijke instanties de geldigheid van een handeling van de Unie mogen onderzoeken, zijn zij echter niet bevoegd om zelf de ongeldigheid van een dergelijke handeling vast te stellen. A fortiori zijn ook de nationale toezichthoudende autoriteiten niet bevoegd om in het kader van een onderzoek van een verzoek in de zin van artikel 28, lid 4, van deze richtlijn, inzake de verenigbaarheid van een dergelijke beschikking van de Commissie met de bescherming van het privéleven en de grondrechten en fundamentele vrijheden van personen, zelf de ongeldigheid van een dergelijke beschikking vast te stellen.

Ingeval die autoriteit tot de conclusie komt dat de gegevens die ter ondersteuning van dat verzoek zijn overgelegd, grondslag missen en het verzoek daarom afwijst, moeten voor de indiener van dit verzoek de beroepswegen openstaan waarmee hij tegen deze voor hem nadelige beschikking kan opkomen voor de nationale rechters, zoals volgt uit artikel 28, lid 3, tweede alinea, van richtlijn 95/46, gelezen in samenhang met artikel 47 van het Handvest van de grondrechten van de Europese Unie. In die omstandigheden zijn deze rechterlijke instanties, wanneer zij van oordeel zijn dat een of meer door partijen aangevoerde of, in voorkomend geval, ambtshalve opgeworpen middelen van ongeldigheid van een handeling van de Unie gegrond zijn, verplicht de behandeling van de zaak te schorsen en bij prejudiciële verwijzing het Hof te verzoeken om beoordeling van de geldigheid.

In het tegenovergestelde geval, wanneer die autoriteit van mening is dat de grieven van de persoon die zich tot haar heeft gewend met een verzoek met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van zijn persoonsgegevens, gegrond zijn, moet deze autoriteit ingevolge artikel 28, lid 3, eerste alinea, derde streepje, van richtlijn 95/46, gelezen in samenhang met artikel 8, lid 3, van het Handvest van de grondrechten van de Europese Unie, in rechte kunnen optreden. In dat verband staat het aan de nationale wetgever om in beroepsgangen te voorzien waarmee de betrokken nationale toezichthoudende autoriteit de grieven die zij gegrond acht aan de nationale rechterlijke instanties kan voorleggen, zodat deze laatste, wanneer zij de twijfel ten aanzien van de geldigheid van de beschikking van de Commissie delen, de vraag naar de geldigheid van die beschikking prejudicieel kunnen verwijzen.

(cf. punten 51, 52, 61, 62, 64, 65)

5.        Artikel 25, lid 6, van richtlijn 95/46 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, gelezen in samenhang met de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie, moet aldus worden uitgelegd dat een krachtens die bepaling vastgestelde beschikking waarbij de Commissie constateert dat een derde land waarborgen voor een passend beschermingsniveau biedt, er niet aan in de weg staat dat een toezichthoudende autoriteit van een lidstaat in de zin van artikel 28 van deze richtlijn kan overgaan tot het onderzoek van een verzoek van een persoon met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van op hem betrekking hebbende persoonsgegevens die vanuit een lidstaat naar dat derde land zijn doorgegeven, wanneer die persoon aanvoert dat het geldende recht en de praktijk in dat land geen waarborgen voor een passend beschermingsniveau bieden.

Indien dit anders zou zijn, zou aan de personen van wie de persoonsgegevens naar het betrokken derde land zijn of zouden kunnen worden doorgegeven, het door artikel 8, leden 1 en 3, van het Handvest van de grondrechten van de Europese Unie gewaarborgde recht worden ontzegd om zich met het oog op de bescherming van hun grondrechten tot de nationale toezichthoudende autoriteiten te wenden.

Daarnaast moet een verzoek in de zin van artikel 28, lid 4, van richtlijn 95/46 waarin een dergelijke persoon stelt dat het recht en de praktijk in dat land in weerwil van een door de Commissie krachtens artikel 25, lid 6, van deze richtlijn vastgestelde beschikking geen waarborgen voor een passend beschermingsniveau bieden, in wezen zo worden opgevat dat daarmee de verenigbaarheid van die beschikking met de bescherming van het privéleven en de grondrechten en fundamentele vrijheden van personen aan de orde wordt gesteld. Wanneer een persoon van wie de persoonsgegevens zijn of zouden kunnen worden doorgegeven naar een derde land dat voorwerp is van een krachtens artikel 25, lid 6, van richtlijn 95/46 vastgestelde beschikking van de Commissie, zich met een dergelijk verzoek tot een nationale toezichthoudende autoriteit wendt, staat het aan die autoriteit om bedoeld verzoek met de nodige voortvarendheid en zorgvuldigheid te onderzoeken.

(cf. punten 58, 59, 63, 66 en dictum 1)

6.        De uitdrukking „passend beschermingsniveau” in artikel 25, lid 6, van richtlijn 95/46 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens moet zo worden opgevat dat zij vereist dat het derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, een niveau van bescherming van de grondrechten en de fundamentele vrijheden biedt dat in grote lijnen overeenkomt met het niveau dat binnen de Unie wordt gewaarborgd op grond van die richtlijn, gelezen in samenhang met het Handvest van de grondrechten van de Europese Unie.

In die omstandigheden is de Commissie bij het onderzoek van het door een derde land geboden beschermingsniveau verplicht om de inhoud van de in dat land toepasselijke regels, zoals die blijken uit de nationale wetgeving of de internationale verbintenissen, te beoordelen alsook de praktijk waarmee voor naleving van die regels wordt gezorgd, waarbij deze instelling overeenkomstig artikel 25, lid 2, van richtlijn 95/46 alle omstandigheden die op de doorgifte van persoonsgegevens naar dat derde land van invloed zijn, in aanmerking moet nemen. Ook staat het aan de Commissie om, gelet op het feit dat het door een derde land geboden beschermingsniveau aan ontwikkelingen onderhevig kan zijn, na de vaststelling van een beschikking krachtens artikel 25, lid 6, van richtlijn 95/46 periodiek na te gaan of de constatering dat het door het derde land in kwestie geboden beschermingsniveau passend is, nog steeds in feite en in rechte gerechtvaardigd is. Een dergelijk onderzoek dringt zich in elk geval op wanneer er aanwijzingen zijn die daarover twijfel doen ontstaan.

Gelet op de belangrijke rol die de bescherming van persoonsgegevens speelt voor het fundamentele recht op bescherming van het privéleven en het grote aantal personen van wie de grondrechten zouden kunnen worden geschonden indien persoonsgegevens worden doorgegeven naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, is de beoordelingsbevoegdheid van de Commissie ten aanzien van de gepastheid van het door een derde land geboden beschermingsniveau beperkt, zodat strikt toezicht moet worden uitgeoefend op de vereisten die uit artikel 25 van richtlijn 95/46, gelezen in samenhang met het Handvest van de grondrechten van de Europese Unie, voortvloeien.

(cf. punten 73, 75, 76, 78)

7.        Voor de vaststelling door de Commissie van een beschikking krachtens artikel 25, lid 6, van richtlijn 95/46 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, zoals beschikking 2000/520 betreffende de gepastheid van de bescherming geboden door de „Veiligehavenbeginselen” voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd, is vereist dat naar behoren met redenen omkleed door deze instelling wordt vastgesteld dat het derde land in kwestie, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, daadwerkelijk waarborgen biedt voor een niveau van bescherming van de grondrechten dat in grote lijnen overeenkomt met dat binnen de rechtsorde van de Unie.

Aangezien de Commissie daarover in beschikking 2000/520 niets heeft vermeld, neemt dat artikel 1 van die beschikking niet de vereisten van artikel 25, lid 6, van richtlijn 95/46, gelezen in samenhang met het Handvest van de grondrechten van de Europese Unie, in acht, zodat het ongeldig is. De „Veiligehavenbeginselen” zijn immers uitsluitend van toepassing op zelfgecertificeerde Amerikaanse organisaties die persoonsgegevens uit de Unie ontvangen, zonder dat wordt vereist dat de Amerikaanse overheidsinstanties tot naleving van die beginselen worden verplicht. Bovendien maakt beschikking 2000/520 het mogelijk dat op grond van de eisen van de nationale veiligheid en het algemeen belang of de nationale wetgeving van de Verenigde Staten een inmenging plaatsvindt in de grondrechten van de personen van wie de persoonsgegevens vanuit de Unie naar de Verenigde Staten zijn of zouden kunnen worden doorgegeven, zonder dat een vaststelling wordt gedaan ten aanzien van de vraag of er in de Verenigde Staten overheidsregels bestaan ter beperking van eventuele inmengingen in die rechten en zonder dat wordt vermeld dat er effectieve rechtsbescherming tegen dat soort inmengingen bestaat.

Voorts heeft de Commissie met de vaststelling van artikel 3 van beschikking 2000/520 de grenzen heeft overschreden van de bevoegdheid die haar bij artikel 25, lid 6, van richtlijn 95/46, gelezen in samenhang met het Handvest van de grondrechten van de Europese Unie, is toegekend, zodat dit artikel 3 ongeldig is. Dit artikel moet immers aldus worden opgevat dat daarmee aan de nationale toezichthoudende autoriteiten de bevoegdheden worden ontnomen die zij aan artikel 28 van richtlijn 95/46 ontlenen wanneer een persoon in het kader van een verzoek op grond van die bepaling gegevens aanvoert die twijfel kunnen doen ontstaan over de verenigbaarheid met de bescherming van het privéleven en de grondrechten en fundamentele vrijheden van personen, van een beschikking van de Commissie waarbij op grond van artikel 25, lid 6, van deze richtlijn is geconstateerd dat een derde land waarborgen voor een passend beschermingsniveau biedt. De uitvoerende bevoegdheid die de Uniewetgever aan de Commissie heeft toegekend bij artikel 25, lid 6, van richtlijn 95/46, verleent die instelling echter niet de bevoegdheid om bedoelde bevoegdheden van de nationale toezichthoudende autoriteiten in te perken.

Aangezien de artikelen 1 en 3 van beschikking 2000/520 onlosmakelijk verbonden zijn met de artikelen 2 en 4 en met de bijlagen bij de beschikking, heeft de ongeldigheid ervan tot gevolg dat de geldigheid van deze beschikking in haar geheel is aangetast.

(cf. punten 82, 87‑89, 96‑98, 102‑105 en dictum 2)

8.        Een regeling van de Unie die een inmenging in de door de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie gewaarborgde grondrechten met zich brengt, moet duidelijke en precieze regels betreffende de draagwijdte en de toepassing van een maatregel bevatten en minimale vereisten opleggen, zodat de personen van wie de persoonsgegevens aan de orde zijn, over voldoende garanties beschikken dat hun gegevens doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik ervan. De noodzaak om over dergelijke garanties te beschikken is des te groter wanneer de persoonsgegevens automatisch worden verwerkt en er een aanzienlijk risico bestaat dat deze gegevens op onrechtmatige wijze zullen worden geraadpleegd. Voorts, en bovenal, vereist de bescherming van het grondrecht op eerbiediging van het privéleven op het niveau van de Unie dat de uitzonderingen op de bescherming van persoonsgegevens en de beperkingen ervan binnen de grenzen van het strikt noodzakelijke blijven.

Niet beperkt tot het strikt noodzakelijke is aldus een regeling die algemeen toestaat dat alle persoonsgegevens van alle personen van wie de gegevens vanuit de Unie naar de Verenigde Staten worden doorgegeven, worden bewaard, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel en zonder dat wordt voorzien in een objectief criterium ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en van het latere gebruik ervan voor specifieke doeleinden, die strikt beperkt zijn en als rechtvaardiging kunnen dienen voor de inmenging als gevolg van zowel de toegang tot als het gebruik van deze gegevens.

Meer bepaald moet een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie, worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het Handvest van de grondrechten van de Europese Unie gewaarborgd.

Evenzeer eerbiedigt een regeling die niet in enige beroepsmogelijkheid voor de justitiabele voorziet om toegang tot de hem betreffende persoonsgegevens, of rectificatie of verwijdering van die gegevens, te verkrijgen, de wezenlijke inhoud van het grondrecht op een effectieve voorziening in rechte zoals neergelegd in artikel 47 van het Handvest van de grondrechten van de Europese Unie niet. De eerste alinea van dat artikel schrijft immers voor dat eenieder wiens door het recht van de Unie gewaarborgde rechten en vrijheden zijn geschonden, recht heeft op een doeltreffende voorziening in rechte, met inachtneming van de in dit artikel gestelde voorwaarden. Dat effectieve rechterlijke toetsing bestaat om de naleving van de bepalingen van Unierecht te verzekeren, is inherent aan het bestaan van een rechtsstaat.

(cf. punten 91‑95)