FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

PHILIPPE LÉGER

fremsat den 22. november 2005 (1)

Sag C-317/04

Europa-Parlamentet

mod

Rådet for Den Europæiske Union

»Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – annullationssøgsmål – Rådets afgørelse 2004/496/EF – aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om behandling og overførsel af PNR-oplysninger (»Passenger Name Records«)«

Sag C-318/04

Europa-Parlamentet

mod

Kommissionen for De Europæiske Fællesskaber

»Annullationssøgsmål – Kommissionens beslutning 2004/535/EF om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed – direktiv 95/46/EF«

Indhold

I –   Tvistens baggrund

II – Retsgrundlaget for de to sager

A –   EU-traktaten

B –   Traktaten om oprettelse af Det Europæiske Fællesskab

C –   Europæisk lovgivning om beskyttelse af personoplysninger

III – De anfægtede beslutninger/afgørelser

A –   Beslutningen om tilstrækkelig beskyttelse

B –   Rådets afgørelse

IV – Parlamentets anbringender i de to sager

V –   Sagen om annullation af beslutningen om tilstrækkelig beskyttelse (sag C-318/04)

A –   Anbringendet om, at Kommissionen har begået magtfordrejning ved at vedtage beslutningen om tilstrækkelig beskyttelse

1.     Parternes argumenter

2.     Stillingtagen

B –   Anbringenderne om tilsidesættelse af grundlæggende rettigheder og proportionalitetsprincippet

VI – Sagen om annullation af Rådets afgørelse (sag C-317/04)

A –   Anbringendet om urigtigt valg af artikel 95 EF som hjemmel for Rådets afgørelse

1.     Parternes argumenter

2.     Stillingtagen

B –   Anbringendet om tilsidesættelse af artikel 300, stk. 3, andet afsnit, EF på grundlag af ændringen af direktiv 95/46

1.     Parternes argumenter

2.     Stillingtagen

C –   Anbringenderne om tilsidesættelse af retten til beskyttelse af personoplysninger og proportionalitetsprincippet

1.     Parternes argumenter

2.     Stillingtagen

a)     Er der tale om et indgreb i udøvelsen af retten til respekt for privatlivet?

b)     Berettigelsen af indgrebet i udøvelsen af retten til respekt for privatlivet

i)     Sker indgrebet i overensstemmelse med loven?

ii)   Forfølger indgrebet et legitimt formål?

iii) Er indgrebet nødvendigt i et demokratisk samfund for at opnå dette mål?

D –   Anbringendet om, at Rådets afgørelse er utilstrækkeligt begrundet

E –   Anbringendet om tilsidesættelse af princippet om loyalt samarbejde i artikel 10 EF

VII – Sagens omkostninger

VIII – Forslag til afgørelse

1.        Europa-Parlamentet har i henhold til artikel 230 EF indbragt to annullationssøgsmål for Domstolen. I sag C-317/04 (Parlamentet mod Rådet) har det nedlagt påstand om annullation af Rådets afgørelse af 17. maj 2004 om indgåelse af en aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til told- og grænsekontrolmyndigheden under det amerikanske ministerium for national sikkerhed (2). I sag C-318/04 (Parlamentet mod Kommissionen) har Parlamentet nedlagt påstand om annullation af Kommissionens beslutning af 14. maj 2004 om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed (3).

2.        I begge sager opfordres Domstolen til at tage stilling til spørgsmålet om beskyttelse af flypassagerers personoplysninger, idet tvingende omstændigheder vedrørende den offentlige sikkerhed og på det strafferetlige område som f.eks. forebyggelse og bekæmpelse af terrorisme og anden alvorlig kriminalitet er blevet påberåbt som begrundelse for personoplysningernes videregivelse til og behandling i et tredjeland, i den foreliggende sag De Forenede Stater (4).

3.        Begge sager udspringer af en række begivenheder, som jeg først skal redegøre for. Senere skal jeg nærmere behandle sagernes retlige kontekst.

I –    Tvistens baggrund

4.        Efter terrorangrebene den 11. september 2001 vedtog De Forenede Stater en lovgivning, hvorefter luftfartsselskaber, der foretager flyvninger til, fra eller over De Forenede Stater, skal give de amerikanske toldmyndigheder elektronisk adgang til oplysningerne i luftfartsselskabernes automatiske reservations-/afgangskontrolsystemer, dvs. deres »Passenger Name Records« (herefter »PNR-oplysninger«) (5). Selv om Kommissionen for De Europæiske Fællesskaber anerkender legitimiteten af de pågældende sikkerhedsinteresser, meddelte den allerede i juni 2002 de amerikanske myndigheder, at disse bestemmelser kunne komme i konflikt med Fællesskabets og medlemsstaternes lovgivning om beskyttelse af personoplysninger og med visse af bestemmelserne i forordningen om anvendelse af edb-reservationssystemer (SIR) (6). De amerikanske myndigheder udskød ikrafttrædelsen af de nye bestemmelser, men nægtede at give afkald på at pålægge de luftfartsselskaber, som ikke overholdt bestemmelserne efter den 5. marts 2003, sanktioner. Siden da har flere større luftfartsselskaber etableret i medlemsstaterne givet de amerikanske myndigheder adgang til deres PNR-oplysninger.

5.        Kommissionen indledte forhandlinger med de amerikanske myndigheder, og som resultat af forhandlingerne blev der udarbejdet et dokument indeholdende forpligtelser indgået af CBP, der skulle bane vej for vedtagelsen af en kommissionsbeslutning, hvori Kommissionen skulle fastslå, at den beskyttelse, De Forenede Stater tilbød at give personoplysninger, var tilstrækkelig i henhold til artikel 25, stk. 6, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (7).

6.        Den 13. juni 2003 afgav den såkaldte »artikel 29-gruppe« vedrørende databeskyttelse (8) en udtalelse, hvori den rejste tvivl om, hvorvidt CBP’s forpligtelser sikrer et tilstrækkeligt beskyttelsesniveau for de påtænkte databehandlinger (9). Denne tvivl blev gentaget i en ny udtalelse af 29. januar 2004 (10).

7.        Den 1. marts 2004 forelagde Kommissionen Parlamentet udkastet til beslutning om tilstrækkelig beskyttelse ledsaget af udkastet til CBP’s forpligtelseserklæring.

8.        I henhold til artikel 300, stk. 3, første afsnit, EF tilsendte Kommissionen den 17. marts 2004 et forslag til Rådet for Den Europæiske Unions afgørelse om indgåelse af en aftale mellem Fællesskabet og De Forenede Stater til høring i Parlamentet. Ved skrivelse af 25. marts 2004 anmodede Rådet under henvisning til den hasteprocedure, der er fastsat i artikel 112 i Parlamentets forretningsorden (nu artikel 134), Parlamentet om at udtale sig om dette forslag senest den 22. april 2004. Rådet fremhævede i sin skrivelse, at »[t]errorbekæmpelse, som begrunder de foreslåede foranstaltninger, har meget høj prioritet i Den Europæiske Union. Luftfartsselskaberne og passagererne befinder sig for tiden i en situation præget af usikkerhed, som snarest bør afhjælpes. Det er endvidere vigtigt at beskytte de berørte parters økonomiske interesser.«

9.        Den 31. marts 2004 vedtog Parlamentet i henhold til artikel 8 i Rådets afgørelse af 28. juni 1999 om fastsættelse af de nærmere vilkår for udøvelsen af de gennemførelsesbeføjelser, der tillægges Kommissionen (11), en beslutning, hvori det tager en række retlige forbehold over for denne fremgangsmåde. Parlamentet fandt især, at udkastet til beslutning om tilstrækkelig beskyttelse overskred de gennemførelsesbeføjelser, som artikel 25 i direktiv 95/46 tillægger Kommissionen. Parlamentet opfordrede til, at der blev indgået en passende international aftale, der respekterede de grundlæggende rettigheder, og anmodede Kommissionen om at forelægge Parlamentet et nyt beslutningsudkast. Parlamentet forbeholdt sig endvidere ret til at henvende sig til Domstolen for at få fastslået, om den påtænkte internationale aftale var lovlig, og navnlig om den var i overensstemmelse med retten til respekt for privatlivet.

10.      Den 21. april 2004 besluttede Parlamentet efter anmodning fra sin formand at efterkomme en anbefaling fra Udvalget om Retlige Anliggender og Det Indre Marked til Parlamentet om i henhold til artikel 300, stk. 6, EF at indgive begæring til Domstolen om en udtalelse om den påtænkte aftales forenelighed med traktaten. Denne procedure blev iværksat allerede samme dag. Parlamentet besluttede ligeledes samme dag at forelægge udvalget betænkningen om forslaget til rådsafgørelse og afviste således foreløbig implicit Rådets anmodning af 25. marts 2004 om at følge hasteproceduren.

11.      Den 28. april 2004 tilsendte Rådet under henvisning til artikel 300, stk. 3, første afsnit, EF Parlamentet en skrivelse med anmodning om en udtalelse om indgåelsen af aftalen inden den 5. maj 2004. Rådet gav samme begrundelse for den korte frist som i skrivelsen af 25. marts 2004 (12).

12.      Den 30. april 2004 meddelte Domstolens justitssekretær Parlamentet, at Domstolen havde fastsat fristen for medlemsstaternes, Rådets og Kommissionens indgivelse af bemærkninger vedrørende begæringen om udtalelse 1/04 til den 4. juni 2004.

13.      Den 4. maj 2004 afviste Parlamentet den anmodning om hastebehandling, som Rådet havde indgivet den 28. april (13). Den følgende dag henvendte Parlamentets formand sig til Rådet og Kommissionen og anmodede dem om at indstille sagen, indtil Domstolen havde afgivet den udtalelse, der var blevet begæret den 21. april 2004.

14.      Den 14. maj 2004 vedtog Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46 beslutningen om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til CBP.

15.      Den 17. maj 2004 vedtog Rådet afgørelsen om indgåelse af en aftale mellem Fællesskabet og De Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til CBP.

16.      Ved skrivelse af 9. juli 2004 meddelte Parlamentet Domstolen, at det trak sin begæring om udtalelse 1/04 tilbage (14). Parlamentet besluttede herefter at anlægge sag til afgørelse af tvisterne mellem på den ene side Parlamentet og på den anden side Rådet og Kommissionen.

II – Retsgrundlaget for de to sager

A –    EU-traktaten

17.      Artikel 6 EU bestemmer:

»1.      Unionen bygger på principperne om frihed, demokrati og respekt for menneskerettighederne og de grundlæggende frihedsrettigheder samt retsstatsprincippet, der alle er principper, som medlemsstaterne har til fælles.

2.      Unionen respekterer de grundlæggende rettigheder, således som de garanteres ved den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, undertegnet i Rom den 4. november 1950, og således som de følger af medlemsstaternes fælles forfatningsmæssige traditioner, som generelle principper for fællesskabsretten.

[…]«

B –    Traktaten om oprettelse af Det Europæiske Fællesskab

18.      Artikel 95, stk. 1, EF bestemmer:

»Uanset artikel 94 og medmindre andet er bestemt i denne traktat, finder følgende bestemmelser anvendelse med henblik på virkeliggørelsen af de i artikel 14 fastsatte mål. Rådet, der træffer afgørelse efter fremgangsmåden i artikel 251 og efter høring af Det Økonomiske og Sociale Udvalg, vedtager de foranstaltninger med henblik på indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser, der vedrører det indre markeds oprettelse og funktion.«

19.      Med hensyn til fremgangsmåden for Fællesskabets indgåelse af internationale aftaler hedder det i artikel 300, stk. 2, første afsnit, første punktum, EF, at »[m]ed forbehold af de beføjelser, som på dette område er tillagt Kommissionen, træffer Rådet med kvalificeret flertal på forslag af Kommissionen afgørelse om undertegnelse […] samt om indgåelse af aftaler«.

20.      Artikel 300, stk. 3, EF er affattet således:

»Med undtagelse af de aftaler, der er omhandlet i artikel 133, stk. 3, indgår Rådet aftalerne efter høring af Europa-Parlamentet, herunder i tilfælde, hvor aftalen angår et område, hvor fremgangsmåden i artikel 251 eller artikel 252 skal følges for vedtagelsen af interne regler. Europa-Parlamentet afgiver sin udtalelse inden for en frist, som Rådet kan fastsætte under hensyntagen til, hvor meget sagen haster. Hvis der ikke er afgivet udtalelse ved fristens udløb, kan Rådet træffe afgørelse.

Uanset bestemmelserne i første afsnit kræves der samstemmende udtalelse fra Europa-Parlamentet for indgåelse af aftaler, som er omhandlet i artikel 310, og andre aftaler, hvorved der etableres en specifik institutionel ramme med særlige samarbejdsprocedurer, samt aftaler, som har betydelige budgetmæssige virkninger for Fællesskabet, og aftaler, som medfører ændring af en retsakt, der er vedtaget efter fremgangsmåden i artikel 251.

Rådet og Europa-Parlamentet kan i hastetilfælde aftale en frist for afgivelse af den samstemmende udtalelse.«

C –    Europæisk lovgivning om beskyttelse af personoplysninger

21.      Artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (herefter »EKMR«) bestemmer:

»1.      Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance.

2.      Ingen offentlig myndighed kan gøre indgreb i udøvelsen af denne ret, undtagen for så vidt det sker i overensstemmelse med loven og er nødvendigt i et demokratisk samfund af hensyn til den nationale sikkerhed, den offentlige tryghed eller landets økonomiske velfærd, for at forebygge uro eller forbrydelse, for at beskytte sundheden eller sædeligheden eller for at beskytte andres ret og frihed.«

22.      Europarådet var det første organ, der tog initiativ til en europæisk lovgivning om beskyttelse af personoplysninger. Den europæiske konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger blev således åbnet for undertegnelse for Europarådets medlemsstater i Strasbourg den 28. januar 1981 (15). Konventionen har til formål inden for de kontraherende staters territorier, uanset statsborgerskab og bopæl at sikre det enkelte menneske respekt for dettes grundlæggende rettigheder og andre rettigheder, især for retten til privatlivets fred, i forbindelse med elektronisk databehandling af personoplysninger om den pågældende.

23.      EU har vedtaget Den Europæiske Unions charter om grundlæggende rettigheder (16). Mens charterets kapitel 7 vedrører respekt for privatliv og familieliv, omhandler artikel 8 specifikt beskyttelse af personoplysninger. Artiklen har følgende ordlyd:

»1.      Enhver har ret til beskyttelse af personoplysninger, der vedrører ham/hende.

2.      Disse oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag. Enhver har ret til adgang til indsamlede oplysninger, der vedrører ham/hende, og til berigtigelse heraf.

3.      Overholdelsen af disse regler er underlagt en uafhængig myndigheds kontrol.«

24.      I den primære fællesskabsret bestemmer artikel 286, stk. 1, EF, at »[f]ra den 1. januar 1999 gælder fællesskabsretsakter om beskyttelse af fysiske personer i forbindelse med behandling og fri udveksling af personoplysninger for institutioner og organer, der er oprettet ved eller på grundlag af denne traktat« (17).

25.      I den afledte fællesskabsret findes de grundlæggende bestemmelser på dette område i direktiv 95/46 (18). Direktivets slægtskab med Europarådets tekster fremgår udtrykkeligt af direktivets tiende og ellevte betragtning. I tiende betragtning hedder det nemlig, at »medlemsstaternes lovgivning om behandling af personoplysninger skal sikre overholdelsen af de grundlæggende rettigheder og frihedsrettigheder, navnlig den ret til privatlivets fred, der er fastslået i artikel 8 i [EKMR] og i fællesskabsrettens generelle principper; af denne grund må en indbyrdes tilnærmelse af lovgivningerne ikke medføre en forringelse af den beskyttelse, disse yder, men skal tværtimod have til formål at sikre et højt beskyttelsesniveau overalt i Fællesskabet«. Endvidere fremgår det af ellevte betragtning til direktiv 95/46, at »dette direktivs princip om beskyttelse af personers rettigheder og frihedsrettigheder, og navnlig retten til privatlivets fred, er en præcisering og udvidelse af principperne i [konvention nr. 108]«.

26.      Direktiv 95/46, der er udstedt med hjemmel i EF-traktatens artikel 100 A (efter ændring nu artikel 95 EF), er baseret på den idé, der er udtrykt i tredje betragtning til direktivet, hvorefter »det indre markeds oprettelse og funktion […] forudsætter ikke blot, at personoplysninger kan cirkulere frit fra én medlemsstat til en anden, men også, at det enkelte menneskes grundlæggende rettigheder beskyttes«. Idéen bygger nærmere bestemt på fællesskabslovgivers konstatering af, at »forskellen i den beskyttelse af personers rettigheder og frihedsrettigheder, og navnlig retten til privatlivets fred, som de enkelte medlemsstater yder i forbindelse med behandling af personoplysninger, kan forhindre, at oplysninger af denne art videregives fra én medlemsstats område til en anden medlemsstats område« (19), hvilket bl.a. kan udgøre en hindring for udøvelsen af en række økonomiske aktiviteter på fællesskabsplan og virke konkurrencefordrejende. Det hedder endvidere, at »for at hindringerne for udveksling af personoplysninger kan fjernes, skal beskyttelsen af det enkelte menneskes rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstaterne« (20). Det resultat, der tilstræbes, er, at »med den ensartede beskyttelse, som vil følge af den indbyrdes tilnærmelse af de nationale lovgivninger, vil medlemsstaterne ikke længere under henvisning til det enkelte menneskes rettigheder og frihedsrettigheder, navnlig retten til privatlivets fred, kunne lægge hindringer i vejen for den frie udveksling af personoplysninger medlemsstaterne imellem« (21).

27.      For at opnå dette resultat bestemmer artikel 1 i direktiv 95/46, der har overskriften »Direktivets formål«:

»1.      Medlemsstaterne sikrer i overensstemmelse med dette direktiv beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger.

2.      Medlemsstaterne må ikke af grunde, der har forbindelse med den i stk. 1 foreskrevne beskyttelse, indskrænke eller forbyde fri udveksling af personoplysninger mellem medlemsstaterne.«

28.      I direktivets artikel 2 findes bl.a. definitioner på begreberne »personoplysninger«, »behandling af personoplysninger« og »den registeransvarlige«.

29.      Ifølge artikel 2, litra a), i direktiv 95/46 forstås ved personoplysninger »enhver form for information om en identificeret eller identificerbar fysisk person […]; ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet«.

30.      Ifølge direktivets artikel 2, litra b), forstås ved behandling af personoplysninger »enhver operation eller række af operationer – med eller uden brug af elektronisk databehandling – som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse«.

31.      I artikel 2, litra d), i direktiv 95/46 defineres den registeransvarlige som »den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger […]«.

32.      Om det materielle anvendelsesområde for direktiv 95/46 hedder det i artikel 3, stk. 1, at direktivet »anvendes på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb, samt på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register«.

33.      En af begrænsningerne af direktivets materielle anvendelsesområde fremgår af artikel 3, stk. 2:

»Dette direktiv gælder ikke for sådan behandling af personoplysninger,

–        som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område

[…]«

34.      Kapitel II i direktiv 95/46 vedrører »[a]lmindelige betingelser for lovlig behandling af personoplysninger«. Dette kapitel indeholder en afdeling I om »[p]rincipper vedrørende oplysningernes pålidelighed«. I direktivets artikel 6 fastsættes principperne om rimelighed, lovlighed, forenelighed med formålet, proportionalitet og personoplysningers korrekthed. Artiklen er affattet således:

»1.      Medlemsstaterne fastsætter bestemmelser om, at personoplysninger

a)      skal behandles rimeligt og lovligt

b)      skal indsamles til udtrykkeligt angivne og legitime formål, samt at senere behandling heraf ikke må være uforenelig med disse formål; [...]

c)      skal være relevante og tilstrækkelige og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de indsamles, og til de formål, hvortil de senere behandles

d)      skal være korrekte og om nødvendigt ajourførte […]

e)      ikke må opbevares på en måde, der giver mulighed for at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de indsamles, eller i forbindelse med hvilke de behandles på et senere tidspunkt [...]

2.      Det påhviler den registeransvarlige at sikre, at bestemmelserne i stk. 1 overholdes.«

35.      Direktivets kapitel II, afdeling II, omhandler »[p]rincipper vedrørende grundlaget for behandling af oplysninger«. Artikel 7, der er den eneste artikel i denne afdeling, bestemmer:

»Medlemsstaterne fastsætter bestemmelser om, at behandling af personoplysninger kun må finde sted hvis:

a)      der ikke hersker tvivl om, at den registrerede har givet sit samtykke, eller

b)      behandlingen er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på dennes anmodning forud for indgåelsen af en sådan kontrakt, eller

c)      behandlingen er nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige

[…]«

36.      Artikel 8, stk. 1, forbyder behandling af personoplysninger, der almindeligvis betegnes som »følsomme«. Det hedder nemlig, at »[m]edlemsstaterne forbyder behandling af personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsforhold og seksuelle forhold«. Der er imidlertid flere undtagelser til dette forbud. Indholdet af undtagelserne og reglerne for deres anvendelse fremgår af de følgende bestemmelser i artiklen.

37.      Artikel 13, stk. 1, i direktiv 95/46, der har overskriften »Undtagelser og begrænsninger«, bestemmer:

»Medlemsstaterne kan træffe lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 6, stk. 1, artikel 10, artikel 11, stk. 1, samt artikel 12 og 21, hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til:

a)      statens sikkerhed

b)      forsvaret

c)      den offentlige sikkerhed

d)      forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv

e)      væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender

f)      en kontrol-, tilsyns- eller reguleringsopgave, selv af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i litra c), d) og e) nævnte områder

g)      beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder.«

38.      Fællesskabslovgiver har ligeledes ønsket at sikre denne beskyttelse, også når personoplysninger forlader Fællesskabets område. Det har nemlig vist sig, at datastrømmenes grænseoverskridende karakter (22) bevirker, at en ordning, hvis virkninger begrænser sig til Fællesskabets område, bliver utilstrækkelig, for ikke at sige ganske formålsløs. Fællesskabslovgiver har af denne grund valgt et system, hvorefter det kun tillades at videregive personoplysninger til et tredjeland, såfremt det pågældende land sikrer et »tilstrækkeligt beskyttelsesniveau« for disse oplysninger.

39.      Fællesskabslovgiver har derfor indført en regel om, at »hvis et tredjeland […] ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal videregivelse af personoplysninger til det pågældende land forbydes« (23).

40.      For at sikre overholdelsen af denne regel fastsættes i artikel 25 i direktiv 95/46 principperne for videregivelse af personoplysninger til tredjelande:

»1.      Medlemsstaterne fastsætter bestemmelser om, at videregivelse til et tredjeland af personoplysninger, der gøres til genstand for behandling, eller som skal gøres til genstand for behandling efter videregivelsen, kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og forudsat at de nationale bestemmelser, der vedtages til gennemførelse af direktivets øvrige bestemmelser, overholdes.

2.      Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger; til grund for vurderingen lægges navnlig oplysningernes art, den eller de påtænkte behandlingers formål og varighed, oprindelseslandet og det endelige bestemmelsesland, de retsregler – almindelige regler eller sektorregler – der er i kraft i det pågældende tredjeland, samt de regler for god forretningsskik og de sikkerhedsforanstaltninger, der gælder i landet.

3.      Medlemsstaterne og Kommissionen underretter gensidigt hinanden, hvis de mener, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2.

4.      Konstaterer Kommissionen efter proceduren i artikel 31, stk. 2, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, træffer medlemsstaterne de foranstaltninger, der er nødvendige for at hindre enhver videregivelse af oplysninger af samme art til det pågældende tredjeland.

5.      Kommissionen indleder på det rette tidspunkt forhandlinger med henblik på at afhjælpe den situation, der opstår som følge af en konstatering efter stk. 4.

6.      Kommissionen kan efter proceduren i artikel 31, stk. 2, fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, på grundlag af dets nationale lovgivning eller dets internationale forpligtelser med henblik på at beskytte privatlivet og personers grundlæggende rettigheder og frihedsrettigheder, herunder de forpligtelser, der er indgået efter de i stk. 5 nævnte forhandlinger.

Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.«

41.      Endelig skal jeg henvise til EU-traktatens afsnit VI vedrørende politisamarbejde og retligt samarbejde i kriminalsager, som indeholder særlige bestemmelser til beskyttelse af persondata. Det drejer sig bl.a. om bestemmelser, som indfører fælles informationssystemer på europæisk plan som f.eks. konventionen om gennemførelse af Schengen-aftalen (24), der fastsætter særlige bestemmelser til beskyttelse af personoplysninger i Schengen-informationssystemet (SIS) (25); konventionen udarbejdet på grundlag af artikel K.3 i traktaten om Den Europæiske Union om oprettelse af en europæisk politienhed (26); Rådets afgørelse om oprettelse af Eurojust (27) samt Eurojusts forretningsordens bestemmelser om behandling og beskyttelse af personoplysninger (28); konventionen udarbejdet på grundlag af artikel K.3 i traktaten om Den Europæiske Union om brug af informationsteknologi på toldområdet, som indeholder bestemmelser om beskyttelse af personoplysninger, som informationssystemet på toldområdet skal overholde (29), og endelig konventionen om gensidig retshjælp i straffesager mellem Den Europæiske Unions medlemsstater (30).

42.      Den 4. oktober 2005 fremlagde Kommissionen et forslag til Rådets rammeafgørelse om beskyttelse af personoplysninger i forbindelse med det politimæssige og strafferetlige samarbejde (31).

III – De anfægtede beslutninger/afgørelser

43.      Jeg skal gennemgå de to anfægtede beslutninger/afgørelser i den rækkefølge, hvori de er vedtaget.

A –    Beslutningen om tilstrækkelig beskyttelse

44.      Beslutningen om tilstrækkelig beskyttelse blev vedtaget af Kommissionen med hjemmel i artikel 25, stk. 6, i direktiv 95/46, der som allerede nævnt giver Kommissionen beføjelse til at fastslå, at et tredjeland sikrer en tilstrækkelig beskyttelse af personoplysninger (32). I anden betragtning til beslutningen hedder det, at »[når dette er fastslået], kan personoplysninger videregives fra medlemsstaterne uden yderligere garantier«.

45.      I 11. betragtning til beslutningen anfører Kommissionen: »CBP’s behandling af personoplysninger, der er indeholdt i flypassagerernes PNR-registrering, og som videregives til CBP, er underlagt forpligtelseserklæringen af 11. maj 2004 fra Homeland Security Bureau of Customs and Border Protection og USA’s nationale lovgivning i det i forpligtelseserklæringen anførte omfang.« Kommissionen fastslår endvidere i 14. betragtning, at »[b]eskyttelsesnormerne for CBP’s behandling af passagerernes PNR-oplysninger på grundlag af USA’s lovgivning og forpligtelseserklæringen omfatter de grundlæggende principper, der er nødvendige for at sikre en tilstrækkelig databeskyttelse for fysiske personer«.

46.      På denne baggrund bestemmer artikel 1 i beslutningen om tilstrækkelig beskyttelse:

»[CBP] anses for så vidt angår artikel 25, stk. 2, i direktiv 95/46/EF for at sikre et tilstrækkeligt beskyttelsesniveau for PNR-oplysninger [...], der videregives fra Fællesskabet, i overensstemmelse med forpligtelseserklæringen i bilaget.«

47.      Artikel 3 i beslutningen om tilstrækkelig beskyttelse bestemmer endvidere, at videregivelsen af oplysninger til CBP kan suspenderes på initiativ af medlemsstaternes kompetente myndigheder på følgende betingelser:

»1.      De kompetente myndigheder i medlemsstaterne kan, uden at dette berører deres beføjelser til at træffe foranstaltninger for at sikre overholdelse af nationale bestemmelser, der er udstedt i henhold til andre bestemmelser end artikel 25 i direktiv 95/46/EF, gøre brug af deres beføjelser til at suspendere videregivelsen af oplysninger til CBP for at beskytte fysiske personer med hensyn til behandlingen af personoplysninger om dem:

a)      når en kompetent myndighed i De Forenede Stater har fastslået, at CBP overtræder gældende beskyttelsesnormer, eller

b)      når der er stor sandsynlighed for, at beskyttelsesnormerne i bilaget overtrædes, der er tilstrækkelig grund til at antage, at CBP ikke træffer eller ikke agter at træffe passende og rettidige foranstaltninger til at løse den pågældende sag, fortsat videregivelse af personoplysninger ville indebære overhængende risiko for at påføre de registrerede en alvorlig skade, og de kompetente myndigheder i medlemsstaten har udvist efter omstændighederne rimelige bestræbelser på at underrette CBP og givet denne mulighed for at svare.

2.      Suspenderingen ophæves, når beskyttelsesnormerne overholdes, og de kompetente myndigheder i de pågældende medlemsstater underrettes herom.«

48.      Medlemsstaterne skal underrette Kommissionen om foranstaltninger truffet i henhold til artikel 3 i beslutningen om tilstrækkelig beskyttelse. Endvidere skal medlemsstaterne og Kommissionen i henhold til beslutningens artikel 4, stk. 2, underrette hinanden om enhver ændring af beskyttelsesnormerne samt om tilfælde, hvor disse normer ikke synes at blive fuldt ud overholdt. Artikel 4, stk. 3, i beslutningen om tilstrækkelig beskyttelse bestemmer, at efter denne gensidige underretning skal CBP underrettes, »[h]vis det fremgår af de oplysninger, der indsamles i henhold til artikel 3 og denne artikels stk. 1 og 2, at grundlæggende principper, der er nødvendige for at sikre et tilstrækkeligt beskyttelsesniveau for fysiske personer, ikke længere overholdes, eller at et organ, der skal sikre, at CBP overholder beskyttelsesnormerne i bilaget, ikke opfylder sin rolle effektivt, [...], og hvis det er nødvendigt, skal proceduren i artikel 31, stk. 2, i direktiv 95/46/EF anvendes med henblik på at ophæve eller suspendere denne beslutning«.

49.      Endvidere indfører artikel 5 i beslutningen om tilstrækkelig beskyttelse den regel, at anvendelsen af beslutningen skal evalueres, og bestemmer videre, at »alle relevante forhold skal indberettes til det ved artikel 31 i direktiv 95/46/EF nedsatte udvalg«.

50.      Det hedder i artikel 7 i beslutningen om tilstrækkelig beskyttelse, at beslutningen »udløber 3 år og 6 måneder efter at den er meddelt, medmindre den forlænges efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF«.

51.      I beslutningens bilag gengives CBP’s forpligtelseserklæring, hvori det indledningsvis anføres, at den skal understøtte Kommissionens planer om at anerkende, at de oplysninger, der videregives til CBP, er tilstrækkelig beskyttet. Af ordlyden af erklæringen, der omfatter i alt 48 punkter, fremgår det, at den ikke »stifter eller overdrager [nogen] rettigheder eller fordele for private eller offentlige personer eller parter« (33).

52.      Jeg skal under min gennemgang understrege det væsentlige indhold af de forpligtelser, der har betydning for afgørelsen af tvisten.

53.      Endelig indeholder beslutningen om tilstrækkelig beskyttelse et bilag »A«, der angiver overskrifterne til de 34 kategorier af PNR-oplysninger, som luftfartsselskaberne skal give CBP (34).

54.      Kommissionens beslutning er blevet suppleret af Rådets afgørelse om at indgå en international aftale mellem Det Europæiske Fællesskab og De Forenede Stater.

B –    Rådets afgørelse

55.      Rådets afgørelse er vedtaget med hjemmel i artikel 95, sammenholdt med artikel 300, stk. 2, første afsnit, første punktum, EF.

56.      I første betragtning hedder det, at »[d]en 23. februar 2004 bemyndigede Rådet Kommissionen til at føre forhandlinger på Fællesskabets vegne om en aftale med Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til [CBP]« (35). Anden betragtning til afgørelsen fastslår, at »Europa-Parlamentet [ikke har] afgivet udtalelse inden for den frist, som Rådet i henhold til traktatens artikel 300, stk. 3, første afsnit, havde fastsat under hensyntagen til det presserende behov for at udbedre den usikre situation, som luftfartsselskaber og passagerer befinder sig i, samt for at beskytte de berørte parters økonomiske interesser«.

57.      Ifølge artikel 1 i Rådets afgørelse er aftalen godkendt på Fællesskabets vegne. Endvidere bemyndiger afgørelsens artikel 2 formanden for Rådet til at udpege de personer, der er beføjet til at undertegne aftalen på Fællesskabets vegne.

58.      Teksten til aftalen er vedlagt Rådets afgørelse. Aftalens afsnit 7 bestemmer, at aftalen træder i kraft ved undertegnelsen. Dette betyder, at aftalen, som blev undertegnet i Washington den 28. maj 2004, trådte i kraft samme dag (36).

59.      I præambelen til aftalen anerkender Fællesskabet og De Forenede Stater, »at det er vigtigt, at grundlæggende rettigheder og friheder respekteres, navnlig privatlivets fred, og at det samtidig med beskyttelsen af disse værdier er vigtigt at forhindre og bekæmpe terrorisme og dermed forbunden kriminalitet og anden alvorlig kriminalitet af grænseoverskridende karakter, herunder organiseret kriminalitet«.

60.      I præambelen til aftalen er der ligeledes henvist til følgende tekster: direktiv 95/46, særlig artikel 7, litra c), CBP’s forpligtelseserklæring og beslutningen om tilstrækkelig beskyttelse (37).

61.      De kontraherende parter har noteret sig, at »luftfartsselskaber med reservations- og afgangskontrolsystemer beliggende på Fællesskabets medlemsstaters område vil sørge for overførsel af PNR-oplysninger til CBP, så snart dette er teknisk muligt, men at de amerikanske myndigheder indtil da skal have direkte adgang til oplysninger i overensstemmelse med bestemmelserne i denne aftale« (38).

62.      Således bestemmes det i aftalens afsnit 1, at »CBP har elektronisk adgang til PNR-oplysninger i luftfartsselskabers reservations- og afgangskontrolsystemer […] beliggende på Fællesskabets medlemsstaters område under streng overholdelse af afgørelsens bestemmelser [(39)], og så længe afgørelsen er gældende, og kun indtil der er fundet en tilfredsstillende løsning, som muliggør luftfartsselskabers overførsel af sådanne oplysninger«.

63.      Som supplement til CBP’s ret til direkte adgang til PNR-oplysninger påbyder aftalens afsnit 2 luftfartsselskaber, der foretager passagerflyvninger i udenlandsk lufttransport til eller fra De Forenede Stater, at behandle de PNR-oplysninger, der opbevares i deres automatiske reservationssystemer, »efter anmodning fra CBP i medfør af amerikansk ret og under streng overholdelse af afgørelsen [ (40)], og så længe afgørelsen er gældende«.

64.      Det præciseres desuden i aftalens afsnit 3, at CBP »tager [beslutningen om tilstrækkelig beskyttelse] til efterretning« og »bekendtgør, at det honorerer den vedlagte forpligtelseserklæring«. Aftalens afsnit 4 bestemmer, at »CBP behandler de PNR-oplysninger, det modtager, og de registrerede personer, der berøres af denne behandling, i overensstemmelse med gældende amerikanske lov- og forfatningskrav uden nogen ulovlig diskrimination, navnlig ikke begrundet i nationalitet eller bopælsland«.

65.      CBP og Fællesskabet forpligter sig videre til sammen og med regelmæssige mellemrum at undersøge, hvorledes aftalen implementeres (41). Af aftalen fremgår endvidere, at »[h]vis der indføres et system til identifikation af flypassagerer i Den Europæiske Union, som pålægger luftfartsselskaber at give myndighederne adgang til PNR-oplysninger om personer, hvis rejserute omfatter en flyvning til eller fra Den Europæiske Union, skal DHS [Department of Homeland Security], så vidt det er muligt og på et strengt gensidigt grundlag, aktivt opfordre luftfartsselskaber, der er etableret i dets jurisdiktion, til at samarbejde« (42).

66.      Aftalens afsnit 7 bestemmer ikke blot, at aftalen træder i kraft ved undertegnelsen, men også, at hver af parterne kan opsige aftalen til enhver tid. Opsigelsen får i så fald virkning 90 dage efter notifikationen af opsigelsen til den anden part. I samme afsnit hedder det endvidere, at aftalen kan ændres til enhver tid ved gensidig skriftlig overenskomst.

67.      Endelig bestemmer aftalens afsnit 8: »Denne aftale medfører hverken nogen fravigelse eller ændring af parternes lovgivning; ej heller danner denne aftale grundlag for eller giver nogen rettigheder eller fordele til private eller offentlige personer eller parter.«

IV – Parlamentets anbringender i de to sager

68.      I sag C-317/04 har Parlamentet fremført seks anbringender til støtte for sin påstand om annullation af Rådets afgørelse:

–        urigtigt valg af artikel 95 EF som hjemmel

–        tilsidesættelse af artikel 300, stk. 3, andet afsnit, EF, idet direktiv 95/46 ændres

–        tilsidesættelse af retten til beskyttelse af personoplysninger

–        tilsidesættelse af proportionalitetsprincippet

–        utilstrækkelig begrundelse for den anfægtede afgørelse

–        tilsidesættelse af det princip om loyalt samarbejde, der er fastsat i artikel 10 EF.

69.      Det Forenede Kongerige Storbritannien og Nordirland samt Kommissionen har fået tilladelse til at intervenere i sagen til støtte for Rådets påstande (43). Desuden har Den Europæiske Tilsynsførende for Databeskyttelse (herefter »EDPS«) fået tilladelse til at intervenere til støtte for Parlamentets påstande (44).

70.      I sag C-318/04 har Parlamentet fremført fire anbringender til støtte for sin påstand om annullation af beslutningen om tilstrækkelig beskyttelse:

–        magtfordrejning

–        tilsidesættelse af de væsentlige principper i direktiv 95/46

–        tilsidesættelse af de grundlæggende rettigheder

–        tilsidesættelse af proportionalitetsprincippet.

71.      Det Forenede Kongerige har fået tilladelse til at intervenere til støtte for Kommissionens påstande (45). Endvidere har EDPS fået tilladelse til at intervenere til støtte for Parlamentets påstande (46).

72.      Jeg skal gennemgå de to sager i den rækkefølge, hvori de anfægtede beslutninger eller afgørelser er vedtaget. Jeg skal derfor først behandle sagen om annullation af beslutningen om tilstrækkelig beskyttelse (sag C-318/04) og derefter sagen om annullation af Rådets afgørelse (sag C-317/04).

V –    Sagen om annullation af beslutningen om tilstrækkelig beskyttelse (sag C-318/04)

A –    Anbringendet om, at Kommissionen har begået magtfordrejning ved at vedtage beslutningen om tilstrækkelig beskyttelse

1.      Parternes argumenter

73.      Parlamentet har til støtte for dette anbringende for det første gjort gældende, at beslutningen om tilstrækkelig beskyttelse, der forfølger et mål henhørende under den offentlige sikkerhed og strafferetten, derved tilsidesætter direktiv 95/46, idet det tilstræbte mål ligger uden for direktivets materielle anvendelsesområde. Dette fremgår udtrykkeligt af artikel 3, stk. 2, første led, i direktiv 95/46, som ikke kan fortolkes på anden måde. At de pågældende personoplysninger er blevet indsamlet under udøvelse af en økonomisk aktivitet, nemlig salg af en flybillet, der giver ret til at modtage en tjenesteydelse, kan ikke begrunde anvendelsen af direktiv 95/46, særlig artikel 25, på et område, der ligger uden for direktivets anvendelsesområde.

74.      Parlamentet har for det andet anført, at CBP ikke er et tredjeland i den forstand, hvori udtrykket er anvendt i artikel 25 i direktiv 95/46. Artikel 25, stk. 6, bestemmer nemlig, at en beslutning, hvori Kommissionen fastslår, at der er et tilstrækkeligt beskyttelsesniveau for personoplysninger, skal vedrøre et »tredjeland«, dvs. en stat eller en hermed ligestillet enhed, og ikke en enhed eller en forvaltning, hvorigennem en stat udøver sin myndighed.

75.      For det tredje finder Parlamentet, at Kommissionens vedtagelse af beslutningen om tilstrækkelig beskyttelse udgør magtfordrejning, idet forpligtelseserklæringen i beslutningens bilag udtrykkeligt tillader CBP at videregive PNR-oplysninger til andre amerikanske eller udenlandske myndigheder.

76.      Parlamentet finder for det fjerde, at beslutningen om tilstrækkelig beskyttelse på visse punkter begrænser og fraviger principperne i direktiv 95/46, selv om det ifølge direktivets artikel 13 alene er medlemsstaterne, der kan gøre dette. Ved at vedtage beslutningen om tilstrækkelig beskyttelse har Kommissionen således sat sig i medlemsstaternes sted og derved tilsidesat direktivets artikel 13. Ved at vedtage en retsakt til gennemførelse af direktiv 95/46 har Kommissionen tiltaget sig beføjelser, som helt ubetinget er forbeholdt medlemsstaterne.

77.      Parlamentet har for det femte anført, at tilrådighedsstillelsen af oplysninger via »pull-systemet« ikke er en »videregivelse« i den forstand, hvori udtrykket er anvendt i artikel 25 i direktiv 95/46, og derfor ikke kan tillades.

78.      I betragtning af den nære forbindelse mellem beslutningen om tilstrækkelig beskyttelse og aftalen, bør beslutningen endelig ifølge Parlamentet anses for en foranstaltning, der ikke er egnet til at påbyde videregivelse af PNR-oplysninger.

79.      I modsætning til Parlamentet finder EDPS, at når oplysninger stilles til rådighed for en person eller institution i et tredjeland, udgør dette en videregivelse, hvorfor artikel 25 i direktiv 95/46 finder anvendelse. Ifølge EDPS vil en begrænsning af begrebet til udelukkende at omfatte afsenderens videregivelse nemlig gøre det muligt at omgå de betingelser, der er opstillet i artikel 25, til skade for den databeskyttelse, der er foreskrevet i artiklen.

80.      Ifølge Kommissionen, der støttes af Det Forenede Kongerige, er luftfartsselskabernes aktiviteter underlagt fællesskabsretten, således at direktiv 95/46 kan anvendes fuldt ud. Den ordning, der er indført for videregivelse af PNR-oplysninger, gælder ikke for aktiviteter udøvet af en medlemsstat eller offentlige myndigheder, der falder uden for fællesskabsrettens anvendelsesområde.

81.      Kommissionen har endvidere påpeget, at aftalen er underskrevet på De Forenede Staters vegne og ikke på vegne af en offentlig myndighed. Med hensyn til CBP’s senere videregivelse af PNR-oplysninger finder Kommissionen ikke, at beskyttelsen af personoplysninger er uforenelig med en tilladelse til sådanne videregivelser, såfremt disse er underlagt passende og nødvendige begrænsninger.

82.      Endelig finder Kommissionen ikke, at artikel 13 i direktiv 95/46 er relevant i denne sag, idet »videregivelsen« i direktivets artikel 25’s forstand for luftfartsselskaberne består i aktivt at stille PNR-oplysningerne til rådighed for CBP. Det pågældende system indebærer således uden nogen tvivl en videregivelse af oplysninger i direktiv 95/46’s forstand.

2.      Stillingtagen

83.      Med sit første anbringende har Parlamentet gjort gældende, at beslutningen om tilstrækkelig beskyttelse tilsidesætter direktiv 95/46, særlig artikel 3, stk. 2, artikel 13 og 25. Parlamentet har bl.a. anført, at direktivet ikke er nogen gyldig hjemmel for beslutningen.

84.      Som nævnt har direktiv 95/46 til formål med henblik på det indre markeds oprettelse og funktion at fjerne hindringerne for fri udveksling af personoplysninger ved at sikre samme beskyttelsesniveau for det enkelte menneskes rettigheder og friheder i forbindelse med behandlingen af sådanne oplysninger i samtlige medlemsstater.

85.      Fællesskabslovgiver har ligeledes ønsket at sikre, at denne beskyttelsesordning ikke bringes i fare, når personoplysninger forlader Fællesskabets område. Fællesskabslovgiver har derfor valgt et system, der kræver, at hvis der skal gives tilladelse til at videregive personoplysninger til et tredjeland, skal dette land sikre et passende beskyttelsesniveau for oplysningerne. Direktiv 95/46 fastsætter således det princip, at hvis et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal det forbydes at videregive personoplysninger til dette land.

86.      Direktivets artikel 25 pålægger medlemsstaterne og Kommissionen en række forpligtelser til at kontrollere, at hvert tredjeland, til hvilket der videregives personoplysninger, har sikret en tilstrækkelig databeskyttelse. Artikel 25 fastsætter ligeledes den metode og de kriterier, hvorefter det skal kontrolleres, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau for de personoplysninger, det modtager.

87.      Domstolen har kaldt ordningen for videregivelse af personoplysninger til tredjelande for en »særlig ordning med særlige regler, der har til formål at sikre medlemsstaternes kontrol med videregivelse af personoplysninger til tredjelande«, og fastslået, at det er en ordning, »der supplerer den almindelige ordning, som er indført ved nævnte direktivs kapitel II vedrørende lovligheden af behandling af personoplysninger« (47).

88.      At der er indført særlige regler for videregivelse af personoplysninger til tredjelande skyldes ikke mindst den vide betydning, begrebet tilstrækkelig beskyttelse har. Ved afgrænsningen af rækkevidden af dette begreb skal der klart sondres mellem »tilstrækkelig beskyttelse« og »samme beskyttelse«, idet sidstnævnte begreb indebærer, at tredjelandet anerkender og faktisk gennemfører samtlige principper i direktiv 95/46.

89.      Begrebet tilstrækkelig beskyttelse indebærer, at tredjelandet skal kunne garantere en passende beskyttelse efter retningslinjer, der skønnes at sikre en tilstrækkelig beskyttelse af personoplysninger. Et sådant system, der bygger på en vurdering af, om den beskyttelse, et tredjeland giver, er tilstrækkelig, giver medlemsstaterne og Kommissionen et vidt skøn ved vurderingen af de garantier, som det land, der modtager oplysningerne, har givet. Vurderingen foretages efter retningslinjerne i artikel 25, stk. 2, i direktiv 95/46, der nævner en række af de forhold, der kan tages i betragtning ved vurderingen (48). Direktivet bestemmer, at »[v]urderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger«.

90.      Domstolen har allerede fastslået, at direktiv 95/46 ikke definerer begrebet »videregivelse til et tredjeland« (49). Direktivet præciserer bl.a. ikke, om begrebet alene dækker den operation, hvorved en behandlingsansvarlig aktivt videregiver personoplysninger til et tredjeland, eller om det også omfatter tilfælde, hvor en enhed i et tredjeland får adgang til oplysninger i en medlemsstat. Direktivet indeholder således intet om, hvorledes oplysninger kan videregives til et tredjeland.

91.      I modsætning til Parlamentet finder jeg i denne sag, at CBP’s adgang til PNR-oplysninger er omfattet af begrebet »videregivelse til et tredjeland«. Det afgørende for, hvorledes en sådan videregivelse klassificeres, er efter min opfattelse, at oplysningerne sendes fra en medlemsstat til et tredjeland, i dette tilfælde De Forenede Stater (50). I denne forbindelse er det uden betydning, om det er afsenderen eller modtageren, der videregiver oplysningerne. Som anført af EDPS vil det, hvis artikel 25 i direktiv 95/46 begrænses til kun at omfatte afsenderens videregivelser, være let at omgå de i artikel 25 fastsatte betingelser.

92.      Når dette er sagt, skal jeg dog understrege, at direktivets kapitel IV, som også omfatter artikel 25, ikke har til formål at regulere samtlige videregivelser af personoplysninger, uanset art, til tredjelande. Ifølge artikel 25, stk. 1, omhandler kapitlet alene videregivelse af personoplysninger, »der gøres til genstand for behandling, eller som skal gøres til genstand for behandling efter videregivelsen«.

93.      Jeg skal hermed understrege, at ifølge artikel 2, litra b), i direktiv 95/46 forstås der ved behandling af personoplysninger »enhver operation eller række af operationer […] som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, […], søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse […]« (51).

94.      Ordningen for videregivelse af personoplysninger til tredjelande er, uanset sin særlige karakter, der som nævnt i høj grad kan tilskrives begrebet tilstrækkelighed, underlagt de begrænsninger, der er fastsat for anvendelsesområdet for direktiv 95/46, som den er omfattet af (52).

95.      For at være omfattet af artikel 25 i direktiv 95/46 skal en videregivelse til et tredjeland vedrøre personoplysninger, som er genstand for en behandling, der, uanset om den allerede er iværksat i Fællesskabet eller blot overvejes i tredjelandet, er omfattet af direktivet. Kun på denne betingelse kan en beslutning om tilstrækkelig beskyttelse lovligt udgøre en retsakt til gennemførelse af direktiv 95/46.

96.      Jeg skal her minde om, at direktivets materielle anvendelsesområde ikke omfatter samtlige behandlinger af personoplysninger, der eventuelt kan klassificeres i en af de kategorier af operationer, der er nævnt i artikel 2, litra b). Det fremgår nemlig af artikel 3, stk. 2, første led, i direktiv 95/46, at direktivet ikke gælder for sådan behandling af personoplysninger, som »iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område« (53).

97.      Efter min opfattelse udgør CBP’s søgning efter og brug af passageroplysninger fra reservationssystemerne hos luftfartsselskaber, der befinder sig på medlemsstaternes område, og overladelsen af disse oplysninger til CBP, behandlinger af personoplysninger, der har til formål at beskytte den offentlige sikkerhed, og som vedrører statslige aktiviteter på det strafferetlige område. Derfor er disse behandlinger udelukket fra det materielle anvendelsesområde for direktiv 95/46.

98.      Ordlyden af beslutningen om tilstrækkelig beskyttelse viser formålet med de behandlinger, som personoplysninger om flypassagerer er genstand for. Efter at Kommissionen har anført, at kravet om videregivelse af de personoplysninger, der fremgår af flypassagerers PNR-registrering, til CBP, har hjemmel i en lov, som De Forenede Stater vedtog i november 2001, og i en række gennemførelsesbestemmelser, som CBP vedtog i medfør af denne lov (54), præciserer den, at de pågældende amerikanske regler bl.a. har til formål »at forbedre sikkerheden« (55). Det hedder videre, at »Fællesskabet [fuldt ud støtter] De Forenede Stater i bekæmpelsen af terrorisme inden for de begrænsninger, der følger af fællesskabsretten« (56).

99.      Af 15. betragtning til beslutningen om tilstrækkelig beskyttelse fremgår det, at »PNR-oplysninger [udelukkende anvendes] til at forebygge og bekæmpe terrorisme og dermed forbundne forbrydelser, andre alvorlige forbrydelser, herunder organiseret kriminalitet, der har tværnational karakter, og flugt fra en anholdelse eller varetægtsfængsling for denne kriminalitet«.

100. I mine øjne er direktiv 95/46, særlig artikel 25, stk. 6, ikke nogen egnet hjemmel for en gennemførelsesretsakt vedtaget af Kommissionen som f.eks. en beslutning om et tilstrækkeligt beskyttelsesniveau for personoplysninger, der er genstand for behandlinger, der udtrykkeligt er udelukket fra direktivets anvendelsesområde. Gives der med hjemmel i direktivet tilladelse til at videregive sådanne oplysninger, vil det nemlig medføre en ulovlig udvidelse af direktivets anvendelsesområde.

101. Jeg skal understrege, at direktiv 95/46, der er vedtaget med hjemmel i EF-traktatens artikel 100 A, fastlægger de beskyttelsesprincipper, der skal gælde for behandlinger af personoplysninger, hvis den behandlingsansvarliges aktiviteter er omfattet af fællesskabsretten. Derimod kan direktivet, netop på grund af den valgte hjemmel, ikke regulere statslige aktiviteter som f.eks. aktiviteter, der vedrører den offentlige sikkerhed eller forfølger retshåndhævende mål, der ikke er omfattet af fællesskabsretten (57).

102. Ganske vist har den behandling, der består i luftfartsselskabernes indsamling og registrering af oplysninger om flypassagerer, normalt et kommercielt formål, idet den er direkte knyttet til gennemførelsen af luftfartsselskabets flyvninger. Det er også korrekt, at PNR-oplysningerne først indsamles af luftfartsselskaberne som led i en aktivitet, der er underlagt fællesskabsretten, nemlig salg af en flybillet, der giver ret til en tjenesteydelse. Den behandling af oplysningerne, der er tale om i beslutningen om tilstrækkelig beskyttelse, er imidlertid af en helt anden art, idet den finder sted på et senere tidspunkt end den første indsamling af oplysninger. Behandlingen vedrører nemlig som nævnt CBP’s søgning efter og brug af passageroplysninger fra reservationssystemerne hos de luftfartsselskaber, der befinder sig på medlemsstaternes område, og videregivelsen heraf til CBP.

103. I virkeligheden vedrører beslutningen om tilstrækkelig beskyttelse ikke en behandling af oplysninger, der er nødvendig for at levere en tjenesteydelse, men en behandling, som anses for nødvendig for at beskytte den offentlige sikkerhed og for at nå retshåndhævende mål. Dette er det egentlige formål med videregivelsen og behandlingen af PNR-oplysninger. Derfor kan den omstændighed, at personoplysningerne er indsamlet under udøvelsen af en økonomisk aktivitet, efter min opfattelse ikke begrunde anvendelsen af direktiv 95/46, særlig artikel 25, på et område, der ikke er omfattet af direktivet.

104. På baggrund af det anførte må jeg give Parlamentet ret i, at Kommissionen ikke i henhold til artikel 25 i direktiv 95/46 havde kompetence til at vedtage en beslutning om et tilstrækkeligt beskyttelsesniveau for personoplysninger, der videregives som led i og med henblik på en behandling, der udtrykkeligt er udelukket fra direktivets anvendelsesområde (58).

105. Beslutningen om tilstrækkelig beskyttelse tilsidesætter derfor direktiv 95/46, særlig artikel 25, som er grundlag for beslutningen, men som ikke er den rette hjemmel. Jeg finder derfor, at beslutningen bør annulleres.

106. Da beslutningen om tilstrækkelig beskyttelse efter min opfattelse falder uden for anvendelsesområdet for direktiv 95/46, finder jeg det ufornødent at efterkomme Parlamentets opfordring i det andet anbringende og gennemgå beslutningen på baggrund af de væsentlige principper, der er fastsat i direktivet (59). Jeg finder det derfor unødvendigt at gennemgå det andet anbringende.

107. Med hensyn til det tredje og fjerde anbringende i denne sag, som jeg opfatter som subsidiære, kan de ikke gennemgås særskilt, idet undersøgelsen af, om beslutningen om tilstrækkelig beskyttelse eventuelt tilsidesætter grundlæggende rettigheder, nødvendigvis omfatter en vurdering af, om beslutningen i betragtning af sit formål overholder proportionalitetsprincippet. Jeg foreslår derfor Domstolen at behandle tredje og fjerde anbringende under ét.

B –    Anbringenderne om tilsidesættelse af grundlæggende rettigheder og proportionalitetsprincippet

108. Parlamentet har gjort gældende, at beslutningen om tilstrækkelig beskyttelse ikke respekterer den ret til beskyttelse af personoplysninger, der er sikret ved EKMR’s artikel 8. Parlamentet finder nærmere bestemt, at henset til de betingelser, der er fastsat i artikel 8, er beslutningen en krænkelse af privatlivets fred, som der ikke er hjemmel for i lovgivningen, idet foranstaltningen ikke er tilgængelig og forudsigelig. Efter Parlamentets opfattelse står foranstaltningen endvidere i misforhold til det forfulgte mål, jf. bl.a. de mange typer PNR-oplysninger, der ønskes videregivet, og det meget lange tidsrum, oplysningerne skal opbevares i.

109. I sag C-317/04 om annullation af Rådets afgørelse har Parlamentet ligeledes henvist til disse to anbringender og fremført argumenter, der for fleres vedkommende overlapper hinanden. Efter min opfattelse skal begge anbringenderne, selv om de er fremført under to forskellige sager, behandles under ét, hvilket jeg skal gøre under behandlingen af sag C-317/04.

110. Det fremgår nemlig af parternes argumenter i deres respektive indlæg, at det er umuligt i spørgsmålet om retten til respekt for privatlivet at behandle de forskellige bestanddele af ordningen for CBP’s behandling af PNR-oplysninger (60) hver for sig, idet de udgør den aftale, der er godkendt ved Rådets afgørelse, beslutningen om tilstrækkelig beskyttelse og CBP’s forpligtelseserklæring, der er vedlagt beslutningen om tilstrækkelig beskyttelse. I øvrigt har parterne flere gange henvist til en eller flere af disse retsakter til støtte for deres påstande.

111. Den nære forbindelse mellem disse tre bestanddele, som tilsammen udgør PNR-ordningen, fremgår udtrykkeligt af aftalens ordlyd. Såvel CBP’s forpligtelseserklæring som beslutningen om tilstrækkelig beskyttelse er nemlig nævnt i præambelen til aftalen. Endvidere hedder det i aftalens afsnit 1, at CBP har adgang til PNR-oplysninger »under streng overholdelse af [beslutningen om tilstrækkelig beskyttelse], og så længe [beslutningen] er gældende […]«. Jeg skal tilføje, at selv om de luftfartsselskaber, der er omhandlet i aftalens afsnit 2, ifølge dette afsnit skal behandle PNR-oplysninger »efter anmodning fra CBP i medfør af amerikansk ret«, skal dette fortsat ske »under streng overholdelse af [bestemmelserne i beslutningen om tilstrækkelig beskyttelse], og så længe [beslutningen] er gældende«. Endelig hedder det i aftalens afsnit 3, at »CBP tager [beslutningen om tilstrækkelig beskyttelse] til efterretning og bekendtgør, at det honorerer den vedlagte forpligtelseserklæring«.

112. Det anførte indebærer i mine øjne, at den ret til adgang til PNR-oplysninger, aftalen tillægger CBP, samt den forpligtelse til at behandle oplysningerne, som påhviler de i aftalen omhandlede luftfartsselskaber, kræver en strengt forskriftsmæssig og effektiv anvendelse af beslutningen om tilstrækkelig beskyttelse.

113. Den omstændighed, at PNR-ordningens tre bestanddele er nært forbundne, samt at Parlamentet har påberåbt sig anbringenderne om tilsidesættelse af grundlæggende rettigheder og proportionalitetsprincippet i begge de sager, der er indbragt for Domstolen, foranlediger mig til at opfatte anbringenderne som en opfordring til Domstolen om at erklære PNR-ordningens tre bestanddele uforenelige med den ret til respekt for privatlivet, der er sikret ved EKMR’s artikel 8. Det ville nemlig for mig at se være kunstigt at behandle beslutningen om tilstrækkelig beskyttelse uden at inddrage aftalen, der pålægger luftfartsselskaberne en række forpligtelser, i overvejelserne, og på den anden side at behandle denne aftale uden at tage hensyn til de øvrige gældende bestemmelser, som der udtrykkeligt henvises til i aftalen.

114. Da ordningen består af flere uadskillelige bestanddele, vil det være kunstigt at behandle disse hver for sig.

115. Ud fra denne synsvinkel er det de tre bestanddele, der tilsammen udgør den aftale, der er godkendt ved Rådets afgørelse, beslutningen om tilstrækkelig beskyttelse og CBP’s forpligtelseserklæring, der griber ind i udøvelsen af retten til respekt for privatlivet. Ved vurderingen af, om dette er lovligt, forfølger et legitimt formål og er nødvendigt i et demokratisk samfund, må der ligeledes tages hensyn til alle elementerne i den således indførte »tretrinsordning«, således som Parlamentet har gjort i sine to stævninger. For at få et samlet overblik over PNR-ordningen skal jeg foretage denne vurdering under behandlingen af sagen om annullation af Rådets afgørelse.

VI – Sagen om annullation af Rådets afgørelse (sag C-317/04)

A –    Anbringendet om urigtigt valg af artikel 95 EF som hjemmel for Rådets afgørelse

1.      Parternes argumenter

116. Europa-Parlamentet har anført, at artikel 95 EF ikke udgør den rette hjemmel for Rådets afgørelse. Hverken afgørelsens formål eller indhold tager nemlig sigte på det indre markeds oprettelse og funktion. Rådets afgørelse har snarere til formål at lovliggøre den behandling af personoplysninger, amerikansk lovgivning påbyder de luftfartsselskaber, der er etableret på Fællesskabets område. Det fremgår ikke af afgørelsen, i hvilket omfang lovliggørelsen af videregivelsen af oplysninger til et tredjeland vil bidrage til det indre markeds oprettelse eller funktion.

117. Heller ikke indholdet af Rådets afgørelse kan ifølge Parlamentet begrunde anvendelsen af artikel 95 EF som hjemmel. Ved afgørelsen gives CBP adgang til reservationssystemerne hos de luftfartsselskaber, der er etableret på Fællesskabets område, således at der med henblik på at forebygge og bekæmpe terrorisme kan foretages flyvninger mellem De Forenede Stater og medlemsstaterne i overensstemmelse med amerikansk lovgivning. Foranstaltninger til opnåelse af disse mål falder imidlertid ikke ind under artikel 95 EF.

118. Endelig har Parlamentet tilføjet, at artikel 95 EF ikke giver Fællesskabet kompetence til at indgå den pågældende aftale, idet denne vedrører behandlinger af oplysninger, der foretages for at forbedre den offentlige sikkerhed og således er udelukket fra anvendelsesområdet for direktiv 95/46, der har hjemmel i netop artikel 95 EF.

119. Rådet finder derimod, at artikel 95 EF er den rette hjemmel for afgørelsen. Ifølge Rådet gør artiklen det muligt at træffe foranstaltninger, der kan sikre, at konkurrencevilkårene i det indre marked ikke fordrejes. Ifølge Rådet tager aftalen sigte på at fjerne enhver konkurrencefordrejning mellem medlemsstaternes luftfartsselskaber og mellem disse og tredjelandes luftfartsselskaber, konkurrencefordrejninger, der af årsager, som har forbindelse med beskyttelsen af enkeltpersoners rettigheder og friheder, kan opstå på grund af de amerikanske krav. Konkurrencen mellem medlemsstaternes luftfartsselskaber, der foretager passagerflyvninger i udenlandsk lufttransport til eller fra De Forenede Stater, kan blive fordrejet, hvis blot enkelte af luftfartsselskaberne giver de amerikanske myndigheder adgang til deres databaser.

120. Rådet har uddybet denne tankegang og anført, at de luftfartsselskaber, der ikke opfylder de amerikanske krav, vil kunne blive stillet over for bødekrav fra de amerikanske myndigheder, få forsinket deres flyvninger og miste passagerer til fordel for andre luftfartsselskaber, der har indgået aftaler med De Forenede Stater. Dertil kommer, at visse medlemsstater muligvis iværksætter sanktioner over for luftfartsselskaber, der videregiver de pågældende personoplysninger, mens andre medlemsstater ikke nødvendigvis træffer sådanne foranstaltninger.

121. Rådet finder under disse omstændigheder og i betragtning af, at der ikke findes noget fælles regelsæt vedrørende amerikanske myndigheders adgang til PNR-oplysninger, at der er fare for konkurrencefordrejninger og for et alvorligt brud på det indre markeds enhed. Det var derfor nødvendigt at indføre ensartede betingelser for de amerikanske myndigheders adgang til oplysningerne under hensyntagen til Fællesskabets krav om respekt for de grundlæggende rettigheder. Hensigten var at underkaste samtlige berørte luftfartsselskaber ensartede forpligtelser og at tage hensyn til de eksterne aspekter af det indre markeds oprettelse og funktion.

122. Endelig har Rådet anført, at aftalen blev indgået efter beslutningen om tilstrækkelig beskyttelse, der har hjemmel i artikel 25, stk. 6, i direktiv 95/46. Det var således rimeligt og rigtigt at benytte samme hjemmel til afgørelsen om indgåelse af aftalen som til direktivet, nemlig artikel 95 EF.

123. Kommissionen har i sit interventionsindlæg påpeget, at det af præambelen til aftalen fremgår, at det primære mål for De Forenede Stater er at bekæmpe terrorisme, mens det for Fællesskabet er at sikre overholdelsen af væsentlige bestemmelser i Fællesskabets lovgivning om beskyttelse af personoplysninger.

124. Kommissionen har tilføjet, at Parlamentet, selv om det kritiserer valget af artikel 95 EF som hjemmel for Rådets afgørelse, ikke har fremlagt noget troværdigt alternativ. Ifølge Kommissionen er artikel 95 EF det »naturlige« valg af hjemmel for Rådets afgørelse, idet de eksterne aspekter af beskyttelsen af personoplysninger bør bygge på den artikel i traktaten, der er hjemmel for den interne foranstaltning – direktiv 95/46 – ikke mindst da disse eksterne aspekter udtrykkeligt er omhandlet i direktivets artikel 25 og 26. Endvidere tilsiger den nære forbindelse og sammenhæng mellem aftalen, beslutningen om tilstrækkelig beskyttelse og CBP’s forpligtelseserklæring, at artikel 95 EF vælges som hjemmel. Ifølge Kommissionen havde Rådet under alle omstændigheder ret til at indgå aftalen på grundlag af denne artikel, idet det ville have været i strid med direktiv 95/46, hvis medlemsstaterne individuelt eller kollektivt havde indgået en sådan aftale uden for fællesskabslovgivningens rammer, jf. AETR-dommen (61).

125. Endelig har Kommissionen påpeget, at luftfartsselskabernes indledende behandling af de pågældende oplysninger sker med kommercielt sigte. Uanset hvilken brug de amerikanske myndigheder gør af oplysningerne, ville direktiv 95/46 således finde anvendelse.

2.      Stillingtagen

126. Parlamentet har med sit første anbringende anmodet Domstolen om at tage stilling til, om artikel 95 EF er den rette hjemmel for Rådets afgørelse om Fællesskabets indgåelse af en international aftale som den, der er genstand for denne sag. Spørgsmålet må efter min opfattelse afgøres under henvisning til Domstolens faste praksis, hvorefter valget af hjemmel for en retsakt skal foretages på grundlag af objektive forhold, som Domstolen kan efterprøve, herunder bl.a. retsaktens formål og indhold (62). Efter retspraksis gælder endvidere, at »inden for rammerne af kompetencefordelingen inden for Fællesskabet kan en institutions valg af hjemmel for en retsakt ikke foretages alene på grundlag af dens egen opfattelse med hensyn til det formål, der søges tilgodeset […]« (63).

127. Som fastslået af Domstolen har »valget af den rette hjemmel […] forfatningsretlig betydning. Da Fællesskabet kun har de beføjelser, det har fået tillagt, skal det kunne henføre [den pågældende internationale aftale] under en bestemmelse i traktaten, der bemyndiger det til at godkende en sådan retsakt.« Ifølge Domstolen kan »[a]nvendelse af en urigtig hjemmel […] således medføre ugyldighed for selve tiltrædelsesakten og dermed bevirke, at Fællesskabets samtykke til at være bundet af den aftale, det har undertegnet, behæftes med en mangel« (64).

128. Jeg skal følge samme analysemetode som Domstolen og således undersøge, om aftalens formål og indhold giver Rådet mulighed for med hjemmel i artikel 95 EF at vedtage en afgørelse, som ifølge sin artikel 1 har til formål at godkende aftalen på Fællesskabets vegne.

129. Det fremgår udtrykkeligt af præambelen til aftalen (afsnit 1), at den forfølger to mål, nemlig dels forebyggelse og bekæmpelse af terrorisme og dermed forbunden kriminalitet og anden alvorlig kriminalitet af grænseoverskridende karakter, herunder organiseret kriminalitet (65), dels fremme af respekten for grundlæggende rettigheder og friheder, navnlig privatlivets fred.

130. At formålet med aftalen er at bekæmpe terrorisme og anden alvorlig kriminalitet bekræftes af præambelens henvisning (afsnit 2) til de amerikanske love og bestemmelser, der blev vedtaget efter terrorangrebene den 11. september 2001, og hvorefter alle luftfartsselskaber, som foretager passagerflyvninger i udenlandsk lufttransport til og fra De Forenede Stater, skal give CBP elektronisk adgang til PNR-oplysninger, hvor sådanne oplysninger er indsamlet og opbevares i luftfartsselskabets automatiske reservations-/afgangskontrolsystemer.

131. Det andet mål, nemlig fremme af respekten for grundlæggende rettigheder, navnlig privatlivets fred, fremgår af henvisningen til direktiv 95/46. Målet er således at sikre fysiske personer, der transporteres, beskyttelse af deres personoplysninger.

132. Garantien for denne beskyttelse tilstræbes såvel i CBP’s forpligtelseserklæring af 11. maj 2004, som ifølge afsnit 4 i aftalens præambel vil blive offentliggjort i Federal Register, som i beslutningen om tilstrækkelig beskyttelse, der er nævnt i samme præambels afsnit 5.

133. Begge mål skal i henhold til afsnit 1 i aftalens præambel forfølges samtidigt. Aftalen mellem Fællesskabet og De Forenede Stater søger således at forene de to mål, idet den bestemmer, at bekæmpelse af terrorisme og anden alvorlig kriminalitet skal ske under iagttagelse af princippet om respekt for grundlæggende rettigheder, navnlig privatlivets fred, nærmere bestemt retten til beskyttelse af personoplysninger.

134. Dette bekræftes af aftalens indhold. Ifølge aftalens afsnit 1 har CBP nemlig elektronisk adgang til PNR-oplysninger i luftfartsselskabers reservations- og afgangskontrolsystemer, beliggende på medlemsstaternes område »under streng overholdelse« af beslutningen om tilstrækkelig beskyttelse, »og så længe [beslutningen] er gældende«. Jeg udleder heraf, at det middel til bekæmpelse af terrorisme og anden alvorlig kriminalitet, som adgangen til flypassagerers PNR-oplysninger er, kun tillades i henhold til aftalen, såfremt det anerkendes, at oplysningerne i De Forenede Stater er sikret et tilstrækkeligt beskyttelsesniveau. Indholdet af denne bestemmelse i aftalen viser således, at begge mål, bekæmpelse af terrorisme og anden alvorlig kriminalitet og beskyttelse af personoplysninger, skal søges opfyldt samtidigt.

135. En gennemgang af aftalens afsnit 2, som forpligter luftfartsselskaber, der foretager passagerflyvninger i udenlandsk lufttransport til eller fra De Forenede Stater, til at behandle PNR-oplysninger, der opbevares i deres automatiske reservationssystemer, »efter anmodning fra CBP i medfør af amerikansk ret og under streng overholdelse af [bestemmelserne i beslutningen om tilstrækkelig beskyttelse], og så længe [beslutningen] er gældende«, fører til samme konklusion. Også her finder jeg, at der er en nær forbindelse mellem den forpligtelse, der fremover påhviler luftfartsselskaber som led i bekæmpelsen af terrorisme og anden alvorlig kriminalitet, og den tilstrækkelige beskyttelse af flypassagerernes personoplysninger.

136. Også andre af aftalens bestemmelser har til formål at realisere de to mål, nemlig at bekæmpe terrorisme og anden alvorlig kriminalitet og beskytte flypassagerernes personoplysninger.

137. F.eks. hedder det i aftalens afsnit 3 hvad særlig angår beskyttelsen af flypassagerers personoplysninger, at »CBP tager [beslutningen om tilstrækkelig beskyttelse] til efterretning og bekendtgør, at det honorerer den vedlagte forpligtelseserklæring«.

138. Endvidere nævner aftalens afsnit 6 muligheden af, at Den Europæiske Union selv indfører et system til identifikation af flypassagerer, som pålægger luftfartsselskaber at give myndighederne adgang til PNR-oplysninger for personer, hvis rejserute omfatter en flyvning til eller fra Den Europæiske Union. Indføres et sådant system, skal DHS ifølge aftalen »så vidt det er muligt og på et strengt gensidigt grundlag aktivt opfordre luftfartsselskaber, der er etableret i dets jurisdiktion, til at samarbejde«. Også denne bestemmelse bekræfter, at et af målene er bekæmpelse af terrorisme og anden alvorlig kriminalitet.

139. Som svar på visse af Kommissionens argumenter forekommer det mig i denne forbindelse vanskeligt at hævde, at det kun er De Forenede Stater, der ensidigt forfølger målet at bekæmpe terrorisme og anden alvorlig kriminalitet, mens Fællesskabet blot søger at beskytte flypassagerers personoplysninger (66). Efter min opfattelse har de kontraherende parters hensigt været at give aftalen et formål og indhold, der forener de to mål, nemlig bekæmpelse af terrorisme og anden alvorlig kriminalitet og beskyttelse af flypassagerers personoplysninger. Herved indebærer aftalen et samarbejde mellem de kontraherende parter, der netop har til formål samtidigt at forfølge begge mål.

140. I betragtning af aftalens formål og indhold, jf. det tidligere anførte, finder jeg ikke, at artikel 95 EF er rette hjemmel for Rådets afgørelse.

141. Jeg skal nemlig understrege, at artikel 95, stk. 1, EF bestemmer, at Rådet skal vedtage de foranstaltninger med henblik på indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser, der vedrører det indre markeds oprettelse og funktion.

142. Fællesskabets kompetence i henhold til denne artikel i traktaten har horisontal karakter, idet den ikke er begrænset til et bestemt område. Rækkevidden af Fællesskabets kompetence afgøres således »på grundlag af et funktionelt kriterium, der i horisontal henseende omfatter samtlige foranstaltninger bestemt til oprettelse af »det indre marked«« (67).

143. Efter Domstolens praksis har de i artikel 95, stk. 1, EF omhandlede foranstaltninger til formål at forbedre vilkårene for det indre markeds oprettelse og funktion, og de skal reelt have dette formål ved at bidrage til at fjerne hindringer for de frie varebevægelser og for den frie udveksling af tjenesteydelser samt ophæve konkurrencefordrejninger (68). Det fremgår ligeledes af Domstolens praksis, at selv om anvendelsen af artikel 95 EF som hjemmel er mulig med henblik på at undgå, at der opstår fremtidige hindringer for samhandelen, der skyldes en uensartet udvikling af de nationale lovgivninger, skal det være sandsynligt, at sådanne hindringer vil opstå, og den pågældende foranstaltning skal have til formål at forebygge dem (69).

144. Rådet har som nævnt fastholdt, at artikel 95 EF er rette hjemmel for dens afgørelse, idet aftalen med De Forenede Stater ved at fjerne enhver konkurrencefordrejning mellem medlemsstaternes luftfartsselskaber og mellem disse og tredjelandes luftfartsselskaber bidrager til at forhindre, at det indre markeds enhed lider alvorlig skade.

145. Ganske vist fremhæver anden betragtning til Rådets afgørelse »det presserende behov for at udbedre den usikre situation, som luftfartsselskaber og passagerer befinder sig i, samt for at beskytte de berørte parters økonomiske interesser«. Dette kan muligvis opfattes som en henvisning til de sanktioner, de kompetente amerikanske myndigheder kan iværksætte over for luftfartsselskaber, som nægter at give adgang til deres flypassagerers PNR-oplysninger, sanktioner, som kan få økonomiske følger for luftfartsselskaberne. Disse sanktioner, som har ugunstige økonomiske følger for visse luftfartsselskaber, kan i så fald tænkes at medføre konkurrencefordrejninger mellem alle de luftfartsselskaber, der er etableret på medlemsstaternes område.

146. Efter min opfattelse er det heller ikke umuligt, at forskellige holdninger hos medlemsstaterne, hvoraf nogle under bødeansvar forbyder luftfartsselskaber, der er etableret på deres område, at give tilladelse til videregivelse af deres passagerers PNR-oplysninger, mens andre ikke gør det, kan have en – eventuelt indirekte – effekt på det indre markeds funktion som følge af de eventuelle konkurrencefordrejninger, der kan opstå mellem luftfartsselskaber.

147. Jeg må dog konstatere, at et sådant mål, nemlig at forhindre konkurrencefordrejninger, såfremt Rådet faktisk forfølger det, er sekundært i forhold til de to hovedmål, nemlig at bekæmpe terrorisme og anden alvorlig kriminalitet og beskytte flypassagerers personoplysninger, to mål, der som allerede nævnt udtrykkeligt er fastsat i aftalen, og som aftalen faktisk realiserer.

148. Forhindring af konkurrencefordrejninger, der ifølge Rådet kan opstå mellem medlemsstaternes luftfartsselskaber eller mellem disse og tredjelandes selskaber, er imidlertid ikke et mål, der udtrykkeligt er nævnt i aftalen. Målet er implicit og er således nødvendigvis sekundært i forhold til de to andre mål.

149. Domstolen har imidlertid allerede fastslået, at »den omstændighed, at en retsakt har betydning for det indre markeds oprettelse og funktion, ikke i sig selv er tilstrækkelig til at begrunde anvendelsen af bestemmelsen som hjemmel for retsakten« (70).

150. Især fremgår det af Domstolens faste praksis, at hvis gennemgangen af en fællesskabsretsakt viser, at den har et dobbelt formål, eller at den består af to led, og det ene af disse kan bestemmes som principielt eller fremherskende, mens det andet kun er sekundært, skal retsakten have en enkelt hjemmel, nemlig den, der kræves af det principielle eller fremherskende formål eller led (71). Kun undtagelsesvis, nemlig hvis det godtgøres, at der med retsakten samtidig forfølges flere formål, der på uadskillelig måde er indbyrdes forbundne, uden at et af disse formål er sekundært og indirekte i forhold til det andet, bør en sådan retsakt vedtages med de dertil svarende forskellige retsgrundlag (72). Dette er efter min opfattelse ikke tilfældet i denne sag.

151. Jeg skal tilføje, at selv om de tre formål kan anses for uadskillelige i henhold til aftalen, giver dette ikke Rådet ret til alene at vælge artikel 95 EF som hjemmel for sin afgørelse, jf. ovennævnte retspraksis.

152. Læser man anden betragtning til Rådets afgørelse i sin helhed, fremgår det nemlig, at det »presserende behov«, der fremhæves, først og fremmest tjener til at forklare, at der for Parlamentet i henhold til artikel 300, stk. 3, første afsnit, EF er fastsat en frist for afgivelse af dets udtalelse. I nævnte artikel, som vedrører fremgangsmåden for indgåelse af aftaler, hedder det, at »Europa-Parlamentet afgiver sin udtalelse inden for en frist, som Rådet kan fastsætte under hensyntagen til, hvor meget sagen haster«. Det hedder videre, at »[h]vis der ikke er afgivet udtalelse ved fristens udløb, kan Rådet træffe afgørelse«. Dette er, hvad der er sket i den procedure, der er fulgt med henblik på vedtagelse af Rådets afgørelse.

153. Selv om der under arbejdet med at fastlægge en ordning for PNR-oplysninger muligvis er taget hensyn til »det presserende behov for at udbedre den usikre situation, som luftfartsselskaber og passagerer befinder sig i, samt for at beskytte de berørte parters økonomiske interesser«, forekommer det mig med andre ord, at der især er taget hensyn til det presserende behov under dette forberedende arbejde, og ikke så meget til selve fastlæggelsen af aftalens formål og indhold.

154. Med hensyn til Rådets og Kommissionens argument om, at en retsakt vedrørende de eksterne aspekter af beskyttelsen af personoplysninger bør have samme hjemmel som den interne foranstaltning, nemlig direktiv 95/46, har Domstolen allerede fastslået, at den omstændighed, at en bestemt traktatbestemmelse er valgt som retsgrundlag for vedtagelsen af interne retsakter, ikke er tilstrækkelig til at godtgøre, at den samme hjemmel også skal anvendes ved godkendelsen af en international aftale, der har et lignende formål (73). Jeg har endvidere påpeget, at det hverken af aftalens hovedformål eller indhold fremgår, at den skal forbedre det indre markeds funktion, mens direktiv 95/46, der er vedtaget med hjemmel i artikel 95 EF, »har til formål at sikre den frie udveksling af personoplysninger mellem medlemsstaterne ved at foretage en harmonisering af de nationale bestemmelser til beskyttelse af fysiske personer i forbindelse med behandling af sådanne oplysninger« (74).

155. Jeg finder derfor, at gennemgangen af aftalens formål og indhold viser, at artikel 95 EF ikke er rette hjemmel for Rådets afgørelse.

156. Derfor foreslår jeg Domstolen at tage Parlamentets første anbringende til følge og annullere Rådets afgørelse med den begrundelse, at der er valgt en urigtig hjemmel.

157. Spørgsmålet om, hvad den rette hjemmel for en sådan afgørelse er, er interessant. Domstolen er imidlertid ikke blevet opfordret til at tage stilling til dette vanskelige spørgsmål i denne sag. Jeg skal derfor blot kort kommentere problemet og mere generelt den PNR-ordning, der er aftalt med De Forenede Stater.

158. For det første finder jeg ikke, at Rådet har ret i, at den omstændighed, at PNR-ordningen ikke er omfattet af EU-traktaten, viser, at Rådet og Kommissionen har ret i deres synspunkt.

159. Mere generelt kan en retsakt, der giver en myndighed, der har til opgave at sikre en stats interne sikkerhed, ret til at søge og bruge personoplysninger, samt tillader, at disse oplysninger videregives til en sådan myndighed, i mine øjne ligestilles med en retsakt, der vedrører samarbejdet mellem offentlige myndigheder (75).

160. I mine øjne er der ikke stor forskel mellem at pålægge en juridisk person at foretage en sådan behandling af oplysninger og videregive oplysninger og en direkte dataudveksling mellem offentlige myndigheder (76). Det er den obligatoriske udveksling af oplysninger, der har sikkerhedsmæssige og retshåndhævende formål, der er afgørende, og ikke hvorledes udvekslingen foregår i en bestemt situation. Denne sag handler i virkeligheden om en ny problemstilling, som vedrører brug af kommercielle oplysninger til retshåndhævende formål (77).

161. Endelig har Retten tidligere fastslået, at »kampen mod international terrorisme […] ikke kan henføres til nogen af de mål, som tillægges Fællesskabet ved artikel 2 EF og 3 EF« (78).

162. Da jeg efter min gennemgang af det første anbringende har foreslået Domstolen at annullere Rådets afgørelse med den begrundelse, at Rådet har valgt en forkert hjemmel for afgørelsen, skal jeg blot subsidiært gennemgå Parlamentets øvrige anbringender til støtte for den foreliggende sag.

B –    Anbringendet om tilsidesættelse af artikel 300, stk. 3, andet afsnit, EF på grundlag af ændringen af direktiv 95/46

1.      Parternes argumenter

163. Med det andet anbringende har Parlamentet gjort gældende, at aftalen mellem Fællesskabet og De Forenede Stater kun kan godkendes på Fællesskabets vegne under overholdelse af fremgangsmåden i artikel 300, stk. 3, andet afsnit, EF. I denne artikel bestemmes nemlig, at »[der kræves] samstemmende udtalelse fra Europa-Parlamentet for indgåelse af […] aftaler, som medfører en ændring af en retsakt, der er vedtaget efter fremgangsmåden i artikel 251«. Ifølge Parlamentet indebærer den pågældende aftale netop en ændring af direktiv 95/46, der blev vedtaget efter fremgangsmåden i artikel 251 EF.

164. Efter Parlamentets opfattelse er de forpligtelser, de amerikanske myndigheder har accepteret i henhold til aftalen, mindre vidtgående end de betingelser for behandling af oplysninger, der er fastsat i direktiv 95/46. Aftalen fraviger således visse af direktivets grundlæggende principper og lovliggør behandlinger, der ikke er belæg for i direktivet. Aftalen ændrer således direktiv 95/46. Parlamentet har især fremhævet følgende ændringer.

165. For det første har aftalen til formål at forebygge og bekæmpe terrorisme og anden alvorlig kriminalitet, mens artikel 3, stk. 2, første led, i direktiv 95/46 udelukker videregivelse af oplysninger til offentlige myndigheder i et tredjeland for at forbedre den offentlige sikkerhed i dette land fra direktivets anvendelsesområde. Parlamentet har anført, at medlemsstaterne har indført særlige bestemmelser herom i Europol-konventionen, og at de to retsakter, der har forskellig hjemmel, kan anses for at supplere hinanden på dette område.

166. For det andet medfører den mulighed, der gives de kompetente amerikanske myndigheder for at få direkte adgang til personoplysninger på Fællesskabets område (»pull-systemet«), ligeledes en ændring af direktiv 95/46. Direktivets artikel 25 og 26 indeholder nemlig ingen bestemmelse om, at et tredjeland har ret til direkte adgang til disse oplysninger.

167. For det tredje giver aftalen ved at henvise til forpligtelseserklæringen CBP ret til skønsmæssigt og efter en konkret vurdering at videregive PNR-oplysninger til retshåndhævende eller terrorbekæmpende myndigheder fra lande uden for De Forenede Stater. Denne skønsbeføjelse, der indrømmes de amerikanske myndigheder, tilsidesætter direktiv 95/46, særlig artikel 25, stk. 1, hvori det bestemmes, at »videregivelse til et tredjeland af personoplysninger […] kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau«. Parlamentet frygter nemlig, at det beskyttelsessystem, der er indført ved direktivet, fuldstændig vil miste sin betydning, hvis et tredjeland, hvis beskyttelsessystem godkendes, herefter frit kan videregive personoplysninger til andre lande, hvis beskyttelsesniveau end ikke er blevet vurderet af Kommissionen.

168. For det fjerde indebærer aftalen en ændring af direktiv 95/46, idet CBP, selv om det beslutter ikke at anvende de »følsomme« personoplysninger, får ret til at indsamle oplysningerne, hvilket i sig selv må anses for en behandling i den forstand, hvori udtrykket er anvendt i direktivets artikel 2, litra b).

169. Parlamentet finder for det femte, at aftalen medfører en ændring af direktivet, idet retten til domstolsprøvelse i tilfælde af tilsidesættelse af de rettigheder, som alle har i henhold til de nationale bestemmelser, der regulerer den pågældende behandling, jf. artikel 22 i direktiv 95/46, ikke er tilstrækkelig sikret. Bl.a. råder en person, hvis PNR-oplysninger videregives, ikke over noget retsmiddel, f.eks. hvis oplysningerne er forkerte, hvis følsomme oplysninger anvendes, eller hvis oplysningerne videregives til en anden myndighed.

170. Endelig har Parlamentet for det sjette fremhævet, at de PNR-oplysninger, der videregives til CBP, skal opbevares særdeles længe, hvilket indebærer en ændring af direktiv 95/46, særlig artikel 6, stk. 1, litra e), hvorefter oplysningerne ikke må opbevares »i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de indsamles, eller i forbindelse med hvilke de behandles på et senere tidspunkt«.

171. EDPS støtter Parlamentets opfattelse af, at aftalen påvirker direktiv 95/46. Ifølge EDPS kan aftalen kun indgås under parlamentarisk kontrol, hvis den er til skade for den harmonisering af nationale lovgivninger, der er foreskrevet i direktivet, eller respekten for de grundlæggende rettigheder. Aftalen forringer den beskyttelse af personoplysninger, der er foreskrevet i direktivet, bl.a. fordi luftfartsselskaberne efter såvel »pull-systemet« som »push-systemet« er tvunget til at handle i strid med direktivet, særlig artikel 6, stk. 1, litra b) og c). For så vidt som denne forringelse af beskyttelsesniveauet for oplysningerne indebærer en ændring af direktiv 95/46, finder EDPS ikke, at de proceduremæssige garantier i artikel 300, stk. 3, andet afsnit, EF er blevet respekteret. EDPS er endvidere af den opfattelse, at heller ikke de »materielle garantier« er respekteret, især fordi CBP’s forpligtelseserklæring ikke er bindende.

172. Rådet har derimod med støtte fra Kommissionen anført, at aftalen ikke medfører en ændring af direktiv 95/46. Til støtte for dette synspunkt har Rådet citeret aftalens afsnit 8, hvorefter aftalen »[hverken medfører] nogen fravigelse eller ændring af parternes lovgivning«. Efter Rådets opfattelse tillægger direktivet endvidere Kommissionen et vidt skøn, når den skal vurdere, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt. Spørgsmålet, om Kommissionen har overskredet grænserne for sit skøn, må være den egentlige genstand for sagen om annullation af beslutningen om tilstrækkelig beskyttelse, dvs. sag C-318/04.

173. Efter Rådets opfattelse udgør de grunde (sikkerhed, terrorbekæmpelse med mere), der har fået CBP til at kræve videregivelse af PNR-oplysninger, fra Fællesskabets synsvinkel hverken aftalens formål eller indhold. Desuden tillader direktiv 95/46 anvendelse af personoplysninger til legitime formål som f.eks. beskyttelse af en stats sikkerhed, hvis det sker med henblik på det indre markeds oprettelse og funktion.

174. Under alle omstændigheder finder Rådet ikke, selv om Fællesskabet ikke skulle have kompetence til at indgå aftalen, at det heraf kan udledes, at Parlamentet skulle have afgivet samstemmende udtalelse, angiveligt fordi aftalen ændrer direktiv 95/46. Parlamentets samstemmende udtalelse kan nemlig på ingen måde bevirke, at Fællesskabets kompetence udvides.

175. Med hensyn til CBP’s mulighed for direkte adgang til PNR-oplysninger (efter det nuværende »pull-system«, der vil blive afløst af et »push-system«) erkender Rådet, at direktiv 95/46 ikke udtrykkeligt nævner denne mulighed, men anfører, at direktivet heller ikke forbyder direkte adgang. Fra Fællesskabets synspunkt er det betingelserne for at få adgang til oplysningerne, der har betydning.

176. Kommissionen har tilføjet, at uanset hvad CBP skal bruge personoplysningerne til, er og bliver oplysningerne for Fællesskabets luftfartsselskaber kommercielle oplysninger, der er omfattet af direktiv 95/46 og derfor skal beskyttes og behandles efter direktivets bestemmelser.

2.      Stillingtagen

177. Efter min opfattelse er høringen af Parlamentet, når Fællesskabet indgår internationale aftaler, underlagt de almindelige bestemmelser og ikke den fælles handelspolitiske lovgivning. Høringen af Parlamentet er foreskrevet i artikel 300, stk. 3, første afsnit, EF, også når aftalen vedrører et område, hvor vedtagelsen af interne regler skal ske efter den fælles beslutningsprocedure, der er fastlagt i artikel 251 EF.

178. Som en fravigelse fra denne almindelige procedure foreskriver artikel 300, stk. 3, andet afsnit, EF, at Parlamentet skal afgive samstemmende udtalelse i fire tilfælde, herunder når aftalen som i den foreliggende sag hævdes »[at medføre] ændring af en retsakt, der er vedtaget efter fremgangsmåden i artikel 251«. Formålet er at sikre, at Parlamentet som medlovgiver kan kontrollere en international aftales eventuelle ændring af en af Parlamentet vedtaget retsakt.

179. Direktiv 95/46 er udstedt efter den fælles beslutningsprocedure. Derfor finder Parlamentet, at da aftalen medfører en ændring af direktivet, skulle Parlamentet have afgivet samstemmende udtalelse, hvis Rådets afgørelse om godkendelse af aftalen på Fællesskabets vegne skulle vedtages under overholdelse af traktatens bestemmelser.

180. Ved vurderingen af berettigelsen af dette anbringende har det i mine øjne ikke afgørende betydning, at aftalens afsnit 8 præciserer, at aftalen »[hverken medfører] nogen fravigelse eller ændring af parternes lovgivning«. Det afgørende for, om artikel 300, stk. 3, andet afsnit, EF er overholdt, er, om den internationale aftale indebærer en ændring af den interne fællesskabsretsakt, dvs. om den har til følge, at retsakten ændres, uanset om dette ikke er formålet med aftalen.

181. Når dette er sagt, har Domstolen tilsyneladende endnu ikke udtalt sig om, hvorledes det forholdsvis vage udtryk »ændring af en retsakt, der er vedtaget efter fremgangsmåden i artikel 251«, skal fortolkes (79). En række retslærde har behandlet spørgsmålet, om udtrykket »ændring« betyder »en ændring i strid med den interne retsakts bogstav«, eller om »en hvilken som helst ændring, selv om den følger retsaktens bogstav«, er tilstrækkelig til, at proceduren med samstemmende udtalelse kan kræves fulgt (80).

182. Det udtryk, der er anvendt i artikel 300, stk. 3, andet afsnit, EF, rejser ligeledes det spørgsmål, om det er nødvendigt for at kunne kræve en samstemmende udtalelse, at anvendelsesområdet for den påtænkte aftale i hvert fald delvis skal overlappe anvendelsesområdet for den vedtagne interne retsakt, eller om det er tilstrækkeligt, at en intern retsakt er blevet vedtaget med samme hjemmel som aftalen (81).

183. Generelt er jeg af den opfattelse, at en af betingelserne for, at en international aftale kan siges at have »ændret« en intern fællesskabsretsakt vedtaget efter den fælles beslutningsprocedure, er, at aftalens anvendelsesområde overlapper den interne retsakts anvendelsesområde. I så fald kan den internationale aftale nemlig hævdes at medføre en ændring af den interne retsakt, enten fordi aftalen indeholder en bestemmelse, der modsiger en af bestemmelserne i den interne retsakt, eller fordi aftalen indebærer en udvidelse af den interne retsakts indhold, også selv om den ikke direkte modsiger retsakten.

184. I denne sag finder jeg ikke, at aftalen kan siges at have ændret indholdet af direktiv 95/46.

185. For det første er aftalens hovedformål, således som det fremgår af min gennemgang af det første anbringende, at bekæmpe terrorisme og anden alvorlig kriminalitet og samtidig beskytte flypassagerers personoplysninger. Derimod skal direktiv 95/46 sikre den frie udveksling af personoplysninger mellem medlemsstaterne ved at harmonisere de nationale lovgivninger om beskyttelse af fysiske personer i forbindelse med behandlingen af personoplysninger. De to retsakter tjener således to forskellige formål, også selv om de begge vedrører beskyttelse af personoplysninger (82).

186. For det andet har aftalen og direktiv 95/46, ligesom de har forskellige formål, også forskellige anvendelsesområder. Mens aftalen finder anvendelse på behandling af personoplysninger, som iværksættes med henblik på udøvelse af aktiviteter, der vedrører De Forenede Staters interne sikkerhed, nærmere bestemt bekæmpelse af terrorisme og anden alvorlig kriminalitet, bestemmer direktivets artikel 3, stk. 2, første led, nemlig udtrykkeligt, at direktivet ikke gælder for sådan behandling af personoplysninger, som »iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i EU-traktaten, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område« (83).

187. Da de to retsakter har forskellige formål og anvendelsesområder, kan jeg ikke indse, hvorledes den ene kan medføre en ændring af den anden. Aftalen vedrører uden nogen tvivl behandling af personoplysninger, som fællesskabslovgiver klart har fastslået ikke er omfattet af beskyttelsessystemet i direktiv 95/46. Dette bekræfter rigtigheden af valget af artikel 95 EF som hjemmel for direktivet.

188. Jeg fastholder dette synspunkt trods Kommissionens argument om, at uanset til hvilket formål CBP anvender personoplysningerne, kan dette ikke ændre ved, at disse oplysninger for Fællesskabets luftfartsselskaber er og bliver kommercielle oplysninger, der er omfattet af direktiv 95/46 og skal beskyttes og behandles i overensstemmelse med dette direktivs bestemmelser.

189. Hertil skal jeg alene anføre, at selv om den behandling, der består i luftfartsselskabernes indsamling og registrering af oplysninger om flypassagerer, tjener et kommercielt formål, idet den har direkte forbindelse med gennemførelsen af luftfartsselskabernes flyvninger, har den behandling af oplysninger, der reguleres af aftalen, nemlig en ganske anden karakter, idet den dels finder sted efter indsamlingsfasen, dels forfølger et sikkerhedsmæssigt mål.

190. I betragtning af det anførte finder jeg, at Parlamentets andet anbringende er ubegrundet og derfor må forkastes.

191. Med samme begrundelse som den, jeg angav under gennemgangen af sag C-318/04 (84), skal jeg gennemgå Parlamentets tredje og fjerde anbringende, nemlig anbringenderne om tilsidesættelse af retten til beskyttelse af personoplysninger og proportionalitetsprincippet, under ét.

192. Jeg erindrer tillige om, at det på grund af den nære forbindelse mellem aftalen som godkendt ved Rådets afgørelse, beslutningen om tilstrækkelig beskyttelse og CBP’s forpligtelseserklæring, der er vedlagt Kommissionens beslutning, er hele PNR-ordningen, der skal undersøges under behandlingen af disse to anbringender (85)

C –    Anbringenderne om tilsidesættelse af retten til beskyttelse af personoplysninger og proportionalitetsprincippet

1.      Parternes argumenter

193. Parlamentet har gjort gældende, at PNR-ordningen tilsidesætter retten til beskyttelse af personoplysninger, således som denne bl.a. er knæsat i EKMR’s artikel 8.

194. Ifølge Parlamentet vedrører aftalen en behandling af personoplysninger, der griber ind i udøvelsen af retten til respekt for privatlivet som omhandlet i EKMR’s artikel 8, idet den giver CBP mulighed for elektronisk adgang til PNR-oplysninger i luftfartsselskabers reservationssystemer beliggende på medlemsstaternes område med den tilføjelse, at disse luftfartsselskaber, når de foretager passagerflyvninger i udenlandsk lufttransport til eller fra De Forenede Stater, skal behandle de pågældende PNR-oplysninger som ønsket af CBP i medfør af amerikansk ret. Heller ikke beslutningen om tilstrækkelig beskyttelse overholder efter Parlamentets opfattelse EKMR’s artikel 8.

195. Parlamentet har anført, at et sådant indgreb for ikke at tilsidesætte EKMR’s artikel 8 skal ske i overensstemmelse med loven, forfølge et legitimt formål og være nødvendigt i et demokratisk samfund for at opnå dette mål. Parlamentet finder ikke, at aftalen og beslutningen om tilstrækkelig beskyttelse opfylder disse betingelser.

196. Hvad for det første angår betingelsen om, at indgrebet skal ske i overensstemmelse med loven, opfylder aftalen og beslutningen om tilstrækkelig beskyttelse ifølge Parlamentet ikke de betingelser om lovgivningens tilgængelighed og forudsigelighed, der kræves ifølge Den Europæiske Menneskerettighedsdomstol. Med hensyn til kravet om lovgivningens tilgængelighed finder Parlamentet ikke, at selve aftalen og beslutningen om tilstrækkelig beskyttelse, der generelt og upræcist henviser til gældende amerikansk lovgivning, angiver de rettigheder og forpligtelser, flypassagerer og europæiske luftfartsselskaber har. Kravet om en klar retstilstand indebærer imidlertid, at fællesskabsbestemmelser, der pålægger de berørte retlige forpligtelser, gør det muligt for de berørte at få et nøjagtigt kendskab til omfanget af de forpligtelser, der herved pålægges dem (86). Gældende amerikansk lovgivning opfylder ikke kravet om tilgængelighed, idet den ikke foreligger på alle Fællesskabets officielle sprog. Parlamentet har desuden anført, at referencen og datoen for beslutningen om tilstrækkelig beskyttelse i aftalens præambel er forkerte. Betingelsen om lovgivningens forudsigelighed er heller ikke opfyldt, idet aftalen og beslutningen om tilstrækkelig beskyttelse ikke tilstrækkelig præcist angiver, hvilke rettigheder og forpligtelser Fællesskabets luftfartsselskaber og borgere har. I øvrigt modtager flypassagerer kun generelle oplysninger, således at den oplysningspligt, der fremgår af artikel 10 og 11 i direktiv 95/46 og artikel 8, litra a), i konvention 108, ikke er opfyldt. Endelig indeholder aftalen og CBP’s forpligtelseserklæring en række unøjagtigheder, der er uforenelige med EKMR’s artikel 8.

197. Hvad for det andet angår betingelsen om, at indgrebet i udøvelsen af retten til respekt for privatliv i henhold til EKMR’s artikel 8, stk. 2, skal forfølge et legitimt formål, har Parlamentet erkendt, at denne er opfyldt. Parlamentet har herved henvist til den støtte til bekæmpelse af terrorisme, den mange gange har givet udtryk for over for Rådet.

198. Hvad for det tredje angår betingelsen om, at indgrebet skal være nødvendigt i et demokratisk samfund af hensyn til den nationale sikkerhed, den offentlige tryghed eller landets økonomiske velfærd, for at forebygge uro eller forbrydelse, for at beskytte sundheden eller sædeligheden eller for at beskytte andres ret og frihed, er denne ikke opfyldt af følgende årsager:

–      Det fremgår af punkt 3 i CBP’s forpligtelseserklæring, at CBP ikke udelukkende anvender PNR-oplysningerne til at bekæmpe terrorisme, men også til at forebygge og bekæmpe andre alvorlige forbrydelser, herunder organiseret kriminalitet, og flugt fra anholdelse eller varetægtsfængsling begrundet i ovennævnte kriminalitet. Da behandlingen af oplysningerne ikke kun sker med henblik på at bekæmpe terrorisme, er den ikke nødvendig for at opnå det legitime formål, der forfølges.

–      Da aftalen giver mulighed for at videregive for mange kategorier af oplysninger (34), opfylder den ikke proportionalitetsprincippet. 19 af disse 34 kategorier af oplysninger forekommer acceptable med henblik på at sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger. Parlamentet finder, at der er en »væsentlig uoverensstemmelse« mellem det antal oplysningstyper, der accepteres i sammenlignelige retsakter, der finder anvendelse på EU-plan, og det antal, der kræves i henhold til aftalen (87). I øvrigt kan visse af de kategorier af PNR-oplysninger, der anmodes om, indeholde følsomme oplysninger.

–      De amerikanske myndigheder vil opbevare oplysningerne i særdeles lang tid i forhold til det mål, der forfølges. Det fremgår nemlig af CBP’s forpligtelseserklæring, at når personer efter tilladelse fra CBP har haft elektronisk adgang til personoplysningerne i syv dage, skal samtlige oplysninger lagres i tre og et halvt år, hvorefter de oplysninger, der er søgt efter manuelt i dette tidsrum, flyttes af CBP i form af rådata til en fil med afsluttede sager, hvor de lagres i otte år, førend de destrueres. En sammenligning med de informationssystemer, der er indført ved f.eks. konventionen om gennemførelse af Schengen-aftalen, Europol-konventionen og Eurojust-afgørelsen, som foreskriver en lagring i mellem ét og tre år, viser, at det tidsrum, der er fastsat i forpligtelseserklæringen, er for langt.

–      Aftalen foreskriver ikke nogen domstolskontrol med de amerikanske myndigheders behandling af oplysningerne. Da aftalen og forpligtelseserklæringen endvidere ikke skaber rettigheder for de personer, hvis personoplysninger behandles, kan Parlamentet ikke indse, hvorledes disse personer vil kunne påberåbe sig disse rettigheder for de amerikanske domstole.

–      Aftalen åbner mulighed for at videregive oplysninger til andre offentlige myndigheder og overskrider således grænserne for, hvad der er nødvendigt for at bekæmpe terrorisme.

199. EDPS har forfægtet det synspunkt, at behandlingen af seks af kategorierne af oplysninger helt klart er et indgreb i udøvelsen af retten til respekt for privatlivet (88). At der er tale om et indgreb bekræftes ligeledes af, at det er muligt ud fra disse oplysninger at tegne personlige profiler. EDPS har støttet Parlamentets påstand om, at indgrebet er uberettiget i henhold til EKMR’s artikel 8, stk. 2, og har desuden anført, at det af CBP tilbudte beskyttelsesniveau er utilstrækkeligt i henhold til artikel 25 i direktiv 95/46, bl.a. fordi EKMR’s artikel 8 ikke er overholdt.

200. Derimod finder Rådet og Kommissionen, at PNR-ordningen opfylder betingelserne i EKMR’s artikel 8, stk. 2, således som Den Europæiske Menneskerettighedsdomstol har fortolket dem.

201. Hvad for det første angår betingelsen om, at indgrebet skal ske i overensstemmelse med loven, finder Rådet det ikke nødvendigt for at opfylde kravet om lovgivningens tilgængelighed, at selve aftalen indeholder alle de bestemmelser, der eventuelt kan berøre de pågældende. Det vil ikke være i strid med loven at henvise til beslutningen om tilstrækkelig beskyttelse og CBP’s forpligtelseserklæring i bilaget til beslutningen i aftalen, idet disse er blevet offentliggjort i Den Europæiske Unions Tidende. I øvrigt offentliggøres tredjelandes love ikke i EU-Tidende. Den urigtige reference for beslutningen om tilstrækkelig beskyttelse i aftalens præambel vil Rådet sørge for bliver berigtiget, ligesom berigtigelsen vil blive offentliggjort i EU-Tidende. Men efter Rådets opfattelse berører disse skrivefejl ikke de pågældende retsakters tilgængelighed, således som begrebet fortolkes af Den Europæiske Menneskerettighedsdomstol. Betingelsen om, at lovgivningen skal være forudsigelig, er ifølge Rådet ikke tilsidesat ved, at CBP’s forpligtelseserklæring og de amerikanske love og forfatningsmæssige krav ikke er gengivet i deres fulde udstrækning i selve aftalen. Desuden er CBP’s forpligtelseserklæring affattet tilstrækkelig præcist til at give de berørte personer mulighed for at tilpasse sig den.

202. Hvad for det andet angår betingelsen om, at indgrebet i udøvelsen af retten til respekt for privatlivet skal forfølge et legitimt formål, har Rådet påpeget, at bekæmpelsen af anden alvorlig kriminalitet end terrorisme falder ind under flere af de grupper af legitime interesser, der er nævnt i EKMR’s artikel 8, stk. 2 (bl.a. offentlig tryghed, forebyggelse af uro eller forbrydelse). Aftalen og CBP’s forpligtelseserklæring forfølger således et legitimt formål, også selv om de omfatter disse andre former for alvorlig kriminalitet.

203. For det tredje står indgrebet efter Rådets opfattelse i et rimeligt forhold til det forfulgte mål. Således er de kategorier af PNR-oplysninger, der kræves af CBP, nyttige, når terrorhandlinger eller organiseret kriminalitet skal forebygges, og ved efterforskningen af angrebene, idet de gør det lettere at identificere de personer, der har tilknytning til terrorgrupper eller den organiserede kriminalitet. Med hensyn til antallet af PNR-oplysninger, der skal videregives, giver en sammenligning med Den Europæiske Unions informationssystemer ingen mening, bl.a. fordi disse systemer har et andet formål og indhold end PNR-ordningen, og fordi det for at tegne den nødvendige profil af potentielle terrorister er nødvendigt at have adgang til et større antal oplysninger. De tre kategorier af PNR-oplysninger, der ifølge Parlamentet kan indeholde følsomme oplysninger (89), har CBP kun begrænset adgang til, jf. punkt 5 i CBP’s forpligtelseserklæring (90). Endvidere udelukker forpligtelseserklæringens punkt 9, 10 og 11 under alle omstændigheder, at CBP kan anvende følsomme oplysninger (91). Med hensyn til det tidsrum, hvori PNR-oplysningerne vil blive opbevaret, finder Rådet, at man i betragtning af, at efterforskningen af terrorangreb ofte strækker sig over flere år, har fundet en afbalanceret løsning ved at fastsætte den normale opbevaringstid til tre og et halvt år undtagen i de særlige tilfælde, hvor opbevaringstiden kan være længere. Endvidere kan det ikke hævdes, at der ikke findes noget uafhængigt kontrolsystem. Endelig er videregivelsen af oplysninger til andre offentlige myndigheder omgærdet af tilstrækkelige garantier, især da CBP kun kan videregive oplysninger til andre offentlige myndigheder efter en konkret vurdering og kun med det formål at forebygge eller bekæmpe terrorisme og anden alvorlig kriminalitet.

204. Kommissionen er ikke i tvivl om, at helheden bestående af aftalen, beslutningen om tilstrækkelig beskyttelse og CBP’s forpligtelseserklæring giver en vis mulighed for at gribe ind i udøvelsen af retten til privatliv, et indgreb, hvis omfang afhænger af de videregivne oplysninger. Ifølge Kommissionen vil et sådant indgreb være i overensstemmelse med loven, idet aftalen, beslutningen og forpligtelseserklæringen forfølger et legitimt formål, nemlig at forlige den amerikanske sikkerhedslovgivning med Fællesskabets bestemmelser om beskyttelse af personoplysninger, ligesom de er nødvendige i et demokratisk samfund, hvis dette mål skal opnås.

205. Det Forenede Kongerige finder, at aftalen, beslutningen om tilstrækkelig beskyttelse og CBP’s forpligtelseserklæring skal anskues under ét ved undersøgelsen af, om retten til beskyttelse af personoplysninger eventuelt er tilsidesat, idet de tre retlige instrumenter er nært forbundne. Efter Det Forenede Kongeriges opfattelse er det også tilgængeligheden og forudsigeligheden af den gældende fællesskabsret og ikke af den lovgivning, der gælder for De Forenede Stater, der skal undersøges. Samlet giver aftalen, beslutningen om tilstrækkelig beskyttelse og CBP’s forpligtelseserklæring et klart og fuldstændigt overblik over de berørte parters retsstilling. Det Forenede Kongerige er endvidere ikke enig i, at CBP’s forpligtelseserklæring er naturligt ensidig og kan ændres eller tilbagetrækkes af de amerikanske myndigheder uden konsekvenser.

206. Med hensyn til indgrebets nødvendighed har Det Forenede Kongerige påpeget, at bekæmpelsen af anden alvorlig kriminalitet klart fremstår som et af aftalens formål, nemlig at beskytte den offentlige orden, og er et lige så legitimt formål som bekæmpelsen af terrorisme. Desuden står antallet af oplysningstyper, der kan videregives, det tidsrum, hvori oplysningerne kan opbevares, og muligheden for at videregive dem til andre myndigheder ikke i misforhold til disse formål, idet forpligtelseserklæringen og beslutningen om tilstrækkelig beskyttelse indeholder en lang række garantier, der begrænser risikoen for at krænke privatlivets fred. Endelig har formålene en sådan karakter og vigtighed, at proportionalitetskriteriet skal anvendes i medfør af både Domstolens og Den Europæiske Menneskerettighedsdomstols praksis.

2.      Stillingtagen

207. Parlamentet har med disse anbringender gjort gældende, at såvel Rådets afgørelse som beslutningen om tilstrækkelig beskyttelse tilsidesætter retten til beskyttelse af personoplysninger, således som denne er sikret bl.a. ved EKMR’s artikel 8.

208. Ifølge fast retspraksis hører de grundlæggende rettigheder til de almindelige retsgrundsætninger, som Domstolen skal beskytte (92). Med henblik herpå lægger Domstolen medlemsstaternes forfatningsmæssige traditioner samt de internationale konventioner om beskyttelse af menneskerettighederne, som medlemsstaterne har været med til at udarbejde, eller som de senere har tiltrådt, til grund. Domstolen finder, at EKMR herved er af »særlig betydning« (93). Fællesskabet kan således ikke vedtage bestemmelser, der er uforenelige med respekten for de menneskerettigheder, der således er anerkendt og sikret (94). Disse principper er gentaget i artikel 6, stk. 2, EU.

209. Domstolen har lidt efter lidt måttet indarbejde retten til respekt for privatlivets fred i fællesskabsretten (95). Retten til beskyttelse af personoplysninger er et af aspekterne i retten til respekt for privatlivet og er således beskyttet af EKMR’s artikel 8, som indgår blandt fællesskabsrettens almindelige principper.

210. Min undersøgelse af, om PNR-ordningen tilsidesætter retten til respekt for privatlivet, vil følge dispositionen i EKMR’s artikel 8. Jeg skal derfor først undersøge, om ordningen krænker flypassagerers ret til respekt for privatlivet, og derefter om indgrebet er behørigt begrundet.

a)      Er der tale om et indgreb i udøvelsen af retten til respekt for privatlivet?

211. Efter min opfattelse er der næppe tvivl om, at Rådets afgørelse om godkendelse af aftalen, beslutningen om tilstrækkelig beskyttelse og CBP’s forpligtelseserklæring samlet griber ind i udøvelsen af retten til respekt for privatlivet. Det står klart, at den omstændighed, at CBP kan indhente og anvende oplysninger om flypassagerer i luftfartsselskabers reservationssystemer beliggende på medlemsstaternes område og få oplysningerne stillet til rådighed, udgør et indgreb fra de offentlige myndigheders side i flypassagerernes udøvelse af retten til respekt for privatlivet.

212. Jeg finder det ligeledes godtgjort, at der sker et sådant indgreb i flypassagerers udøvelse af retten til respekt for privatlivet, også selv om visse af kategorierne af PNR-oplysninger hver for sig tilsyneladende ikke krænker de pågældende passagerers privatliv. Det er nemlig nødvendigt at anskue listen over de PNR-oplysninger, CBP ønsker, under ét, idet overlapningen mellem oplysningerne bevirker, at det bliver muligt at tegne personlige profiler.

213. En krænkelse af privatlivets fred er, medmindre den er behørigt begrundet, en tilsidesættelse af retten til respekt for privatlivet.

b)      Berettigelsen af indgrebet i udøvelsen af retten til respekt for privatlivet

214. Indgrebet i udøvelsen af retten til respekt for privatlivet skal for at være lovligt opfylde tre betingelser. Det skal ske i overensstemmelse med loven, forfølge et legitimt formål og være nødvendigt i et demokratisk samfund.

i)      Sker indgrebet i overensstemmelse med loven?

215. Efter Den Europæiske Menneskerettighedsdomstols faste praksis indebærer denne betingelse, at den anfægtede foranstaltning skal have gyldig hjemmel, men også at den lov, der benyttes som hjemmel, opfylder visse betingelser (96). Loven skal nemlig være offentligt tilgængelig og præcis og dens konsekvenser skal være forudsigelige. Forudsætningen er således, at loven tilstrækkelig præcist angiver vilkårene og retningslinjerne for begrænsningen af den garanterede ret for at give borgeren mulighed for at tilpasse sin adfærd og være tilstrækkelig beskyttet mod vilkårlighed (97).

216. Parlamentet har gjort gældende, at den lov, der åbner mulighed for indgrebet, hverken er tilgængelig eller har forudsigelige konsekvenser, men dette er jeg ikke enig i.

217. Jeg finder tværtimod, at Rådets afgørelse og den vedlagte aftale, sammenholdt med beslutningen om tilstrækkelig beskyttelse, i hvis bilag CBP’s forpligtelseserklæring er gengivet, giver de berørte, nemlig luftfartsselskaberne og flypassagererne, tilstrækkelig nøjagtige oplysninger til, at de kan tilpasse deres adfærd.

218. De 48 punkter i CBP’s forpligtelseserklæring er forholdsvis detaljerede og indeholder oplysninger om den lovgivning, der finder anvendelse. Endvidere indeholder præambelen til beslutningen om tilstrækkelig beskyttelse henvisninger til den relevante amerikanske lovgivning og de gennemførelsesbestemmelser, CBP har vedtaget i medfør af denne lovgivning (98). Jeg finder det derfor overdrevet at kræve, at de amerikanske love og bestemmelser, der gælder, skal offentliggøres i deres helhed i Den Europæiske Unions Tidende. Dels er det som nævnt af Rådet ikke meningen, at tredjelandes love skal offentliggøres i EU-Tidende, dels finder jeg, at CBP’s forpligtelseserklæring, der er offentliggjort i EU-Tidende, indeholder de nødvendige oplysninger om, hvorledes CBP vil anvende oplysningerne, og om de garantier, der sikrer, at anvendelsen sker på lovlig vis.

219. Kravet om retssikkerhed er opfyldt ved, at de luftfartsselskaber, der er omfattet af PNR-ordningen, informeres om deres forpligtelser i henhold til aftalen, ligesom flypassagerer oplyses om deres rettigheder, bl.a. adgang til oplysningerne og mulighed for at berigtige disse (99).

220. I betragtning af den nære forbindelse mellem PNR-ordningens bestanddele må det bestemt beklages, at aftalens præambel angiver en forkert reference og dato for beslutningen om tilstrækkelig beskyttelse. Disse fejl gør det nemlig vanskeligere for europæiske borgere at gøre sig bekendt med indholdet af aftalen med De Forenede Stater. Vanskelighederne må imidlertid ikke overvurderes, idet beslutningen om tilstrækkelig beskyttelse er blevet offentliggjort i EU-Tidende, ligesom borgerne ved brug af de bl.a. elektroniske søgemuligheder, der findes, uden vanskeligheder kan finde frem til beslutningen. Desuden har Rådet forpligtet sig til at offentliggøre en berigtigelse i EU-Tidende, hvilket er sket (100).

221. Alt i alt finder jeg derfor, at indgrebet i de pågældende flypassagerers udøvelse af retten til respekt for privatlivet må anses for at være »sket i overensstemmelse med loven« som krævet i EKMR’s artikel 8, stk. 2.

ii)    Forfølger indgrebet et legitimt formål?

222. I betragtning af de formål, der er nævnt i EKMR’s artikel 8, stk. 2, finder jeg, at formålet med det indgreb i udøvelsen af retten til respekt for privatlivet, der er genstand for den foreliggende sag, er legitimt. Dette gælder bl.a. for terrorbekæmpelse.

223. Jeg finder i lighed med Rådet, at også bekæmpelsen af anden alvorlig kriminalitet end terrorisme (101) må anses for at falde ind under flere af de formålskategorier, der er nævnt i EKMR’s artikel 8, stk. 2, som f.eks. den nationale sikkerhed, den offentlige tryghed og forebyggelsen af uro eller forbrydelse. I mine øjne er bekæmpelse af disse andre former for alvorlig kriminalitet også et legitimt mål for PNR-ordningen.

224. Spørgsmålet er nu, om indgrebet står i et rimeligt forhold til målet, dvs. om det er nødvendigt i et demokratisk samfund af hensyn til bekæmpelsen af terrorisme og anden alvorlig kriminalitet.

iii) Er indgrebet nødvendigt i et demokratisk samfund for at opnå dette mål?

225. Jeg skal senere grundigt undersøge, om proportionalitetsprincippet er overholdt. Først skal jeg dog gøre nogle bemærkninger til omfanget af den kontrol, Domstolen skal udøve.

226. Ifølge Den Europæiske Menneskerettighedsdomstol betyder adjektivet »nødvendigt«, der er anvendt i EKMR’s artikel 8, stk. 2, at der skal være tale om »et tvingende samfundsmæssigt hensyn«, og at foranstaltningen skal »stå i et rimeligt forhold til det legitime formål« (102). Desuden »råder de nationale myndigheder over et vidt skøn, hvis omfang afhænger ikke alene af formålet med, men også af karakteren af indgrebet« (103).

227. Som led i kontrollen med medlemsstaternes skønsudøvelse undersøger Den Europæiske Menneskerettighedsdomstol normalt, om begrundelserne for indgrebene er relevante og tilstrækkelige, om indgrebet står i et rimeligt forhold til det legitime formål, der forfølges, og om der er skabt balance mellem almene og individuelle hensyn (104). En ekspert har af denne retspraksis udledt, at »[p]roportionalitetsprincippet, hvorefter der ikke må være et misforhold mellem et legitimt mål og de midler, der anvendes for at nå målet, således er et centralt element i kontrollen med staternes udøvelse af skønsretten« (105).

228. Den Europæiske Menneskerettighedsdomstols proportionalitetskontrol varierer og udøves ud fra parametre som de pågældende rettigheders og aktiviteters art, formålet med indgrebet og eventuelle fællestræk i staternes retsordener.

229. Med hensyn til arten af de pågældende rettigheder og aktiviteter synes Den Europæiske Menneskerettighedsdomstol at finde, at hvis rettigheden er tæt knyttet til individets private sfære, som f.eks. retten til fortrolig behandling af personlige sundhedsoplysninger (106), er statens skøn mere begrænset, ligesom Menneskerettighedsdomstolens kontrol skal være strengere (107).

230. Når formålet med indgrebet derimod er at opretholde den nationale sikkerhed (108) eller at bekæmpe terrorisme (109), synes Den Europæiske Menneskerettighedsdomstol at acceptere, at staterne råder over et vidt skøn.

231. I betragtning af karakteren og vigtigheden af terrorbekæmpelse, der tilsyneladende er et af PNR-ordningens hovedformål, og af den politisk følsomme kontekst for forhandlingerne mellem Fællesskabet og De Forenede Stater, finder jeg i denne sag, at Domstolen bør fastslå, at Rådet og Kommissionen rådede over et vidt skøn, da de forhandlede med de amerikanske myndigheder om PNR-ordningen. For at respektere dette vide skøn bør Domstolens kontrol med indgrebets nødvendighed derfor efter min opfattelse begrænse sig til en undersøgelse af, om de to institutioner eventuelt har anlagt et åbenbart urigtigt skøn (110). Ved at udøve en sådan begrænset kontrol undgår Domstolen således risikoen for at sætte sin egen vurdering i stedet for Fællesskabets politiske institutioners vurdering af, hvilke midler der er mest egnede og hensigtsmæssige med henblik på at bekæmpe terrorisme og anden alvorlig kriminalitet.

232. Ved fastlæggelsen af grænserne for sin kontrol kunne Domstolen ud over Den Europæiske Menneskerettighedsdomstols retspraksis, lægge sin egen praksis til grund. Når en fællesskabsinstitution på et bestemt område råder over et vidt skøn, har Domstolen tidligere fastslået: »[K]un såfremt en foranstaltning på dette område er åbenbart uhensigtsmæssig i forhold til det mål, som vedkommende institution forfølger, vil en sådan foranstaltning kunne kendes ulovlig« (111). Denne begrænsning af proportionalitetskontrollen »gør sig navnlig gældende«, såfremt »Rådet […] skal afveje modstående interesser og således vælge mellem flere muligheder inden for rammerne af de politiske valg, som henhører under dets særlige ansvarsområder« (112). Begrænsningen af kontrollen kan ligeledes begrundes med, at en fællesskabsinstitution på et bestemt indsatsområde skal foretage komplicerede vurderinger (113).

233. Denne retspraksis og dens forudsætninger må efter min opfattelse også gælde i denne sag, idet Rådet og Kommissionen under arbejdet med PNR-ordningen stod over for politiske valg mellem forskellige vanskeligt forenelige hensyn og komplicerede vurderinger (114). Dette vil være i overensstemmelse med princippet med magtens tredeling, hvorefter Domstolen skal respektere Fællesskabets lovgivende og administrative instansers politiske ansvar og ikke må sætte sig i disse instansers sted ved vurderingen af, hvilke politiske valg de skal foretage.

234. Jeg skal nu nøje undersøge, om Rådet og Kommissionen ved vedtagelsen af de forskellige bestanddele af PNR-ordningen åbenbart har overskredet grænserne for deres skøn i spørgsmålet om retten til respekt for privatlivet, særlig retten til beskyttelse af flypassagerers personoplysninger, når der henses til det legitime formål, der forfølges.

235. I denne forbindelse har indholdet af CBP’s forpligtelseserklæring en særlig betydning, idet erklæringen nøjagtigt angiver de garantier, der er knyttet til PNR-ordningen. I mine øjne vil det være forkert at anse forpligtelseserklæringen for ikke-bindende og for at indeholde forpligtelser, som de amerikanske myndigheder frit kan ændre eller tilbagetrække.

236. Forpligtelseserklæringen, der er vedlagt beslutningen om tilstrækkelig beskyttelse, er en af bestanddelene af PNR-ordningen. Derfor vil en undladelse af at respektere erklæringen sætte hele ordningen ud af spil. Ifølge aftalens afsnit 1 og 2 forudsætter den forpligtelse til at behandle PNR-oplysninger, der pålægges luftfartsselskaber, en streng overholdelse af beslutningen om tilstrækkelig beskyttelse, idet forpligtelsen kun gælder, »så længe [beslutningen om tilstrækkelig beskyttelse] er gældende«. I aftalens afsnit 3 bekendtgør CBP, »at det honorerer den vedlagte forpligtelseserklæring«. Endelig definerer artikel 3, 4 og 5 i beslutningen om tilstrækkelig beskyttelse de foranstaltninger, der skal træffes, hvis det beskyttelsesniveau, der er fastsat i forpligtelseserklæringen, ikke overholdes. Bl.a. kan medlemsstaternes kompetente myndigheder suspendere videregivelsen af oplysninger til CBP, ligesom beslutningen om tilstrækkelig beskyttelse kan ophæves eller suspenderes, hvis de væsentlige principper, der er nødvendige for at sikre et tilstrækkeligt beskyttelsesniveau for de berørte personer, ikke efterleves. Dette vil gøre aftalens afsnit 1 og 2 uanvendelige.

237. Parlamentet har til støtte for sin påstand om, at Domstolen skal fastslå, at indgrebet i disse passagerers udøvelse af retten til respekt for privatlivet ikke opfylder proportionalitetsprincippet, anført, dels, at CBP kræver for mange typer oplysninger fra luftfartsselskaberne, dels, at visse af de kategorier af PNR-oplysninger, der ønskes videregivet, kan indeholde følsomme oplysninger.

238. Efter min opfattelse har Kommissionen ved at vedtage den liste over 34 kategorier af personoplysninger, der er vedlagt beslutningen om tilstrækkelig beskyttelse, ikke godkendt en foranstaltning, der er åbenbart uegnet til at opnå det tilsigtede formål, nemlig at bekæmpe terrorisme og anden alvorlig kriminalitet. Jeg skal nemlig understrege, at indsamlingen af oplysninger er meget vigtig i kampen mod terrorisme, idet en stats sikkerhedstjenester ved hjælp af disse oplysninger får mulighed for at forebygge et eventuelt terrorangreb. Sikkerhedstjenesterne skal have mulighed for at tegne en profil af potentielle terrorister, hvilket kræver adgang til mange typer oplysninger. Desuden er den omstændighed, at andre af EU’s aftaler om informationsudveksling ikke kræver videregivelse af lige så mange oplysninger, ikke ensbetydende med, at det antal, der kræves ifølge PNR-ordningen, som specifikt tager sigte på at bekæmpe terrorisme, er for stort (115).

239. Selv om Parlamentet har ret i, at tre af de kategorier af oplysninger, der ønskes videregivet, kan indeholde følsomme oplysninger (116), er CBP’s adgang til disse tre kategorier dog strengt begrænset i henhold til forpligtelseserklæringens punkt 5, ligesom det i henhold til erklæringens punkt 9-11 er udelukket, at CBP kan anvende følsomme oplysninger. Endelig har CBP indført et system til automatisk filtrering af følsomme oplysninger, jf. CBP’s forpligtelseserklæring (117).

240. For det andet finder Parlamentet, at de amerikanske myndigheder opbevarer flypassagerers PNR-oplysninger for længe i betragtning af det forfulgte formål.

241. Opbevaringens varighed er omhandlet i forpligtelseserklæringens punkt 15, hvorefter autoriserede CBP-brugere har onlineadgang til PNR-oplysningerne, i første omgang i en periode på syv dage. Efter de syv dage har et begrænset antal autoriserede embedsmænd mulighed for at konsultere oplysningerne i yderligere tre år og seks måneder. Herefter destrueres de oplysninger, der ikke er blevet konsulteret manuelt i denne periode, mens de oplysninger, der er blevet konsulteret manuelt i perioden på tre år og seks måneder, af CBP overføres til en fil med slettede oplysninger, hvor de opbevares i en periode på otte år, inden de destrueres (118).

242. Det fremgår således af forpligtelseserklæringen, at den normale opbevaringsperiode for PNR-oplysninger er på tre år og seks måneder, undtagen for de oplysninger, der er blevet konsulteret manuelt i løbet af denne periode. Jeg finder ikke denne opbevaringstid åbenbart urimelig, bl.a. fordi en efterforskning af terrorangreb eller anden alvorlig kriminalitet som påpeget af Rådet kan strække sig over flere år. Principielt er det ganske vist ønskeligt, at personoplysninger kun opbevares i en kort periode, men i denne sag må opbevaringstiden for PNR-oplysninger ses i forhold til oplysningernes nytte, ikke blot for bekæmpelsen af terrorisme, men også for retshåndhævelsen i almindelighed.

243. Som det fremgår, er den ordning for opbevaring af oplysninger, der er omhandlet i forpligtelseserklæringens punkt 15, i mine øjne ikke en åbenbar tilsidesættelse af retten til respekt for privatlivet.

244. For det tredje kritiserer Parlamentet PNR-ordningen for ikke at indeholde bestemmelser om domstolsprøvelse af de amerikanske myndigheders behandling af personoplysninger.

245. Jeg skal påpege, at såvel konvention nr. 108 som direktiv 95/46 indeholder bestemmelser om klageadgang i tilfælde af krænkelse af de nationale love, som gennemfører konventionens og direktivets regler (119).

246. Med hensyn til overholdelsen af EKMR’s artikel 8, stk. 2, finder jeg de ved forpligtelseserklæringens punkt 36 ff. indførte regler om oplysningspligt, adgang til oplysninger og flypassagerers klageadgang egnede til at forhindre et eventuelt misbrug. Hele denne række af garantier bevirker, at jeg i betragtning af det vide skøn, der efter min opfattelse skal indrømmes Rådet og Kommissionen i denne sag, finder, at indgrebet i flypassagerernes privatliv står i rimeligt forhold til PNR-ordningens legitime formål.

247. Mere specifikt skal jeg påpege, at forpligtelseserklæringens punkt 37 ud over at forpligte CBP til at give flypassagerer visse generelle oplysninger (120) bestemmer, at de pågældende i henhold til loven om informationsfrihed (121) kan kræve en kopi af de PNR-oplysninger, der vedrører dem, og som findes i CBP’s databaser (122).

248. Det hedder ganske vist i forpligtelseserklæringens punkt 38, at CBP »[u]nder visse særlige omstændigheder« kan afslå eller udsætte videregivelsen af alle eller en del af PNR-oplysningerne, der »kan antages at hindre retshåndhævende foranstaltninger« eller »vil afsløre teknikker og procedurer, der anvendes i forbindelse med retshåndhævende efterforskning«. Ud over, at denne mulighed, der gives CBP, er lovreguleret, har »[e]nhver, der har indgivet anmodning om kopi af PNR-oplysningerne om sig selv, […] i henhold til FOIA mulighed for ved klage eller sagsanlæg at gøre indsigelse mod CBP’s afgørelse om at tilbageholde oplysninger« (123).

249. Endvidere præciserer forpligtelseserklæringens punkt 40, at anmodninger om berigtigelse af PNR-oplysninger, der er registreret i CBP’s database, og klager fra fysiske personer over CBP’s behandling af deres PNR-oplysninger skal indgives til CBP’s »Assistant Commissioner« (124).

250. Hvis CBP ikke kan afgøre en klage, skal den henvises til »den højeste ansvarlige for DHS’ databeskyttelsesenhed« (»Chief Privacy Officer«) (125).

251. Det hedder i øvrigt i forpligtelseserklæringens punkt 42, at »DHS Privacy Office desuden hastebehandler klager, som henvises af EU-medlemsstaternes databeskyttelsesmyndigheder på vegne af en person, der er bosiddende i EU, såfremt sidstnævnte har givet databeskyttelsesenheden tilladelse til at handle på sine vegne og er af den opfattelse, at CBP (jf. punkt 37-41) eller DHS Privacy Officer ikke har behandlet hans eller hendes databeskyttelsesklage vedrørende PNR på tilfredsstillende vis«.

252. Endvidere bestemmer punkt 42 dels, at DHS Privacy Officer »udarbejder en rapport med sine konklusioner og anbefalinger med hensyn til eventuelle foranstaltninger, som den eller de pågældende databeskyttelsesmyndigheder bør træffe«, dels, at Chief Privacy Officer »i sin rapport til Kongressen [nævner] antallet, indholdet og resultatet af klagerne vedrørende behandling af personoplysninger, herunder PNR-oplysninger« (126).

253. Parlamentet har med rette anført, at Chief Privacy Officer ikke er en retsinstans. Chief Privacy Officer er dog efter min opfattelse et administrativt organ, der til en vis grad er uafhængigt i forhold til DHS, og hvis afgørelser er bindende (127).

254. Denne mulighed for flypassagerer for at indgive klage til Chief Privacy Officer og for at få en sag prøvet ved domstolene i henhold til FOIA må således anses for væsentlige garantier, der sikrer deres ret til respekt for privatlivet. På grund af disse garantier finder jeg ikke, at Rådet og Kommissionen overskred grænserne for deres skøn, da de vedtog PNR-ordningen.

255. Endelig har Parlamentet gjort gældende, at PNR-ordningen er mere vidtrækkende end nødvendigt for at bekæmpe terrorisme og anden alvorlig kriminalitet, idet den tillader videregivelse af oplysninger om flypassagerer til andre offentlige myndigheder. Ifølge Parlamentet råder CBP over et skøn, når det træffer beslutning om at videregive PNR-oplysninger til andre offentlige myndigheder, herunder udenlandske nationale myndigheder, hvilket er uforeneligt med EKMR’s artikel 8, stk. 2.

256. Dette er jeg ikke enig i. Også her forekommer det mig nemlig, at de garantier, der er knyttet til videregivelsen af PNR-oplysninger til andre nationale myndigheder, indebærer, at indgrebet i flypassagerers privatliv står i rimeligt forhold til PNR-ordningens formål.

257. Selv om forpligtelseserklæringen indrømmer CBP et vidt skøn, er dette skøn dog underlagt forskellige regler. Ifølge forpligtelseserklæringens punkt 29 kan CBP nemlig kun udlevere PNR-oplysninger til andre offentlige myndigheder, »herunder udenlandske, der beskæftiger sig med terrorbekæmpelse eller retshåndhævelse«, »under hensyn til sagens konkrete omstændigheder« og principielt kun »med henblik på at forebygge og bekæmpe de i punkt 3 anførte overtrædelser«. CBP skal i henhold til forpligtelseserklæringens punkt 30 undersøge, om begrundelsen for at videregive oplysninger til en anden myndighed er i overensstemmelse med de anførte mål.

258. Ganske vist udvides disse mål i forpligtelseserklæringens punkt 34 og 35, idet det af disse punkter fremgår, at forpligtelseserklæringen ikke er til hinder for anvendelsen eller videregivelsen af PNR-oplysninger til relevante offentlige myndigheder, »når dette anses for nødvendigt for at beskytte den registreredes eller andre personers vitale interesser, herunder især i helbredstruende situationer«, og anvendelsen eller videregivelsen af PNR-oplysninger »i forbindelse med en strafferetlig procedure eller i øvrigt krævet i henhold til loven«.

259. Disse mål er imidlertid i høj grad knyttet til PNR-ordningens legitime formål, ligesom forpligtelseserklæringen indeholder en række garantier. F.eks. hedder det i erklæringens punkt 31, at CBP »i forbindelse med videregivelsen af PNR-oplysninger, der udveksles med andre udpegede myndigheder, [betragtes] som »ejer« af de pågældende oplysninger, og [at] disse udpegede myndigheder […] i henhold til udtrykkelige betingelser for videregivelse« er bundet af visse forpligtelser. Blandt de forpligtelser, der påhviler de myndigheder, der modtager oplysningerne, kan nævnes forpligtelsen til »at sikre en korrekt sletning af de PNR-oplysninger, der er modtaget, i overensstemmelse med den udpegede myndigheds procedure for registerføring« og til »at opnå CBP’s udtrykkelige tilladelse til enhver yderligere videregivelse«.

260. Endvidere præciseres det i forpligtelseserklæringens punkt 32, at »[e]nhver videregivelse af PNR-oplysninger fra CBP sker på vilkår af, at det modtagende organ behandler oplysningerne som fortrolige kommercielle oplysninger eller som den registreredes følsomme og fortrolige retshåndhævelsesrelevante personoplysninger, […] der skal behandles som undtaget fra videregivelse i henhold til Freedom of Information Act […]«. I samme punkt hedder det videre, at »[d]et modtagende organ [desuden informeres] om, at yderligere videregivelse af sådanne oplysninger ikke er tilladt uden udtrykkelig forudgående tilladelse fra CBP«, som ikke tillader »videre overførsel af PNR-oplysninger til andre formål end dem, der er anført i punkt 29, 34 eller 35«. Endelig bestemmer erklæringens punkt 33, at »[a]nsatte i disse udpegede myndigheder, der uden tilladelse hertil videregiver PNR-oplysninger, risikerer strafferetlige sanktioner«.

261. Henset til disse garantier under ét, kan Rådet og Kommissionen efter min opfattelse ikke anses for at have overskredet grænserne for det vide skøn, som jeg finder bør indrømmes dem med henblik på at bekæmpe terrorisme og anden alvorlig kriminalitet.

262. Af ovennævnte grunde finder jeg, at anbringenderne om tilsidesættelse af retten til beskyttelse af personoplysninger og proportionalitetsprincippet er ubegrundede og derfor bør forkastes.

D –    Anbringendet om, at Rådets afgørelse er utilstrækkeligt begrundet

263. Efter Parlamentets opfattelse opfylder Rådets afgørelse ikke begrundelsespligten som omhandlet i artikel 253 EF. Bl.a. fremgår det ikke af begrundelsen, om og i hvilket omfang afgørelsens genstand er det indre markeds funktion.

264. Derimod finder Rådet, med støtte fra Det Forenede Kongerige og Kommissionen, at begrundelsen for afgørelsen opfylder de krav, der er opstillet af Domstolen.

265. Selv om begrundelsen for Rådets afgørelse er kortfattet, finder jeg den tilstrækkelig.

266. Ifølge fast retspraksis skal den begrundelse, som kræves i henhold til artikel 253 EF, »tilpasses karakteren af den pågældende retsakt og klart og utvetydigt angive de betragtninger, som den institution, der har udstedt den anfægtede retsakt, har lagt til grund, således at de berørte parter kan få kendskab til grundlaget for den trufne foranstaltning, og således at Domstolen kan udøve sin prøvelsesret«. Ifølge samme retspraksis »[kræves det ikke], at begrundelsen angiver alle de forskellige relevante faktiske og retlige momenter, da spørgsmålet, om en beslutnings begrundelse opfylder kravene [efter artikel 253 EF], ikke blot vurderes i forhold til ordlyden, men ligeledes til den sammenhæng, hvori den indgår, samt under hensyn til alle de retsregler, som gælder på det pågældende område« (128).

267. Med hensyn til retsaktens karakter skal jeg understrege, at den har form af en afgørelse, hvis hovedformål er at godkende aftalen mellem Fællesskabet og De Forenede Stater på Fællesskabets vegne. Afgørelsen indeholder de nødvendige oplysninger om den anvendte fremgangsmåde for en rådsvedtagelse, nemlig fremgangsmåden efter artikel 300, stk. 2, første afsnit, EF, og oplysning om, at Parlamentet ikke har afgivet udtalelse inden for den frist, som Rådet har fastsat i henhold til artikel 300, stk. 3, første afsnit, EF. Endvidere henvises der i Rådets afgørelse til artikel 95 EF.

268. I betragtning af afgørelsens særlige karakter, som til en vis grad hænger sammen med, at den vedrører en international aftale, bør undersøgelsen af, om begrundelsen er tilstrækkelig, endvidere efter min opfattelse ligeledes omfatte præambelen til selve aftalen. Sammenholdes Rådets afgørelse med aftalens præambel fremgår det, jf. min gennemgang af de foregående anbringender, at Domstolen har mulighed for at udøve sin prøvelsesret og tage stilling til, om der er valgt den rette hjemmel for afgørelsen.

269. Jeg finder derfor, at anbringendet om, at Rådets afgørelse er utilstrækkeligt begrundet, er ubegrundet og derfor bør forkastes.

E –    Anbringendet om tilsidesættelse af princippet om loyalt samarbejde i artikel 10 EF

270. Parlamentet har med dette anbringende gjort gældende, at selv om artikel 300, stk. 3, første afsnit, EF giver Rådet mulighed for under hensyntagen til, hvor meget sagen haster, at fastsætte en frist for Parlamentets udtalelse, og selv om den procedure, hvorefter der på forhånd kan indhentes udtalelse fra Domstolen, jf. artikel 300, stk. 6, EF, ikke har opsættende karakter, har Rådet under proceduren for vedtagelsen af aftalen tilsidesat sin pligt til loyalt samarbejde i henhold til artikel 10 EF.

271. Rådet, der støttes af Kommissionen og Det Forenede Kongerige, finder derimod ikke, at det har tilsidesat princippet om loyalt samarbejde ved at indgå aftalen, selv om Parlamentet har begæret en udtalelse fra Domstolen i henhold til artikel 300, stk. 6, EF.

272. Artikel 10 EF pålægger medlemsstaterne en forpligtelse til loyalt samarbejde med fællesskabsinstitutionerne, men fastsætter ikke udtrykkeligt noget princip om loyalt samarbejde institutionerne imellem. Domstolen har imidlertid fastslået, at »[i]nden for rammerne af dialogen mellem institutionerne, som bl.a. høringsproceduren beror på, gælder de samme gensidige forpligtelser til loyalt samarbejde som dem, der gælder for forholdet mellem medlemsstaterne og Fællesskabets institutioner« (129).

273. Gennemgangen af de faktiske omstændigheder i denne sag viser, at Kommissionen den 17. marts 2004 fremsendte forslaget til Rådets afgørelse til Parlamentet, og at Rådet ved skrivelse af 25. marts 2004 anmodede Parlamentet om at afgive udtalelse om forslaget senest den 22. april 2004. Rådet fremhævede i skrivelsen, at »[t]errorbekæmpelse, som begrunder de foreslåede foranstaltninger, har meget høj prioritet i Den Europæiske Union. Luftfartsselskaberne og passagererne befinder sig for tiden i en situation præget af usikkerhed, som snarest bør afhjælpes. Det er endvidere vigtigt at beskytte de berørte parters økonomiske interesser.«

274. Den 21. april 2004 besluttede Parlamentet i henhold til artikel 300, stk. 6, EF at indhente udtalelse fra Domstolen om den påtænkte aftales forenelighed med traktatens bestemmelser.

275. Den 28. april 2004 tilsendte Rådet under henvisning til artikel 300, stk. 3, første afsnit, EF Parlamentet en skrivelse med anmodning om en udtalelse om indgåelsen af aftalen inden den 5. maj 2004. Rådet gav samme begrundelse for den korte frist som i skrivelsen af 25. marts 2004.

276. Parlamentet afviste denne anmodning om hastebehandling, og Parlamentets formand opfordrede endvidere Rådet og Kommissionen til ikke at gå videre med sagen, førend Domstolen havde afgivet den udtalelse, der var begæret den 21. april 2004. Alligevel vedtog Rådet den anfægtede afgørelse den 17. maj 2004.

277. Jeg finder ikke, at Rådet ved at vedtage afgørelsen om godkendelse af aftalen på Fællesskabets vegne, før Domstolen var færdig med at behandle den begæring om udtalelse, Parlamentet havde indgivet i henhold til artikel 300, stk. 6, EF, tilsidesatte sin forpligtelse til loyalt samarbejde over for Parlamentet.

278. Som Parlamentet i øvrigt selv har erkendt, har indgivelsen af en begæring om udtalelse fra Domstolen nemlig ikke opsættende karakter. Rådet var således ikke forhindret i at vedtage afgørelsen om godkendelse af aftalen, selv om begæringen om udtalelse stadig var under behandling, heller ikke selv om der som i denne sag kun var forholdsvis kort tid mellem indgivelsen af begæringen om udtalelse til Domstolen og vedtagelsen af afgørelsen om godkendelse af aftalen.

279. At en begæring om en udtalelse fra Domstolen, der er indgivet i henhold til artikel 300, stk. 6, EF, ikke har opsættende virkning, kan udledes såvel af selve bestemmelsen, der ikke udtrykkeligt nævner nogen opsættende virkning, som af Domstolens praksis. Domstolen fastslog nemlig i udtalelse 3/94 (130), at begæringen om udtalelse ikke længere havde nogen genstand, og at det var ufornødent at efterkomme begæringen om udtalelse, fordi den aftale, begæringen vedrørte, og som var under overvejelse på det tidspunkt, hvor Domstolen modtog begæringen, i mellemtiden var blevet indgået. Domstolen bemærkede, dels, at proceduren i henhold til artikel 300, stk. 6, EF »[først og fremmest tilsigter] at forhindre de vanskeligheder, der måtte skyldes, at Fællesskabets bindende internationale aftaler er uforenelige med traktaten, og ikke at beskytte interesser eller rettigheder hos den medlemsstat eller institution, som har indgivet begæringen om udtalelse« (131), dels, at »[u]nder alle omstændigheder har den stat eller fællesskabsinstitution, der har begæret en udtalelse, mulighed for at anlægge annullationssøgsmål mod Rådets afgørelse om at indgå aftalen […]« (132).

280. Det fremgår endvidere såvel af sagens akter som af anden betragtning til Rådets afgørelse, at Rådet har givet en tilstrækkelig begrundelse for det presserende behov, det har påberåbt sig som begrundelse for anmodningen til Parlamentet om at afgive udtalelse efter hasteproceduren i henhold til artikel 300, stk. 3, første afsnit, EF. Endvidere hedder det udtrykkeligt i denne artikel, at »[h]vis der ikke er afgivet udtalelse ved fristens udløb, kan Rådet træffe afgørelse«.

281. Af ovennævnte grunde finder jeg, at anbringendet om Rådets tilsidesættelse af sin forpligtelse til loyalt samarbejde er ubegrundet og bør forkastes.

VII – Sagens omkostninger

282. I sag C-318/04, hvor jeg finder Parlamentets påstande begrundede, foreslår jeg, at Kommissionen tilpligtes at betale sagens omkostninger i henhold til artikel 69, stk. 2, i Domstolens procesreglement. I henhold til procesreglementets artikel 69, stk. 4, bør de intervenerende parter, nemlig Det Forenede Kongerige og EDPS, endvidere bære deres egne omkostninger.

283. I sag C-317/04, hvor jeg også giver Parlamentet medhold, finder jeg, at Rådet bør tilpligtes at betale sagens omkostninger i henhold til artikel 69, stk. 2, i Domstolens procesreglement. I henhold til procesreglementets artikel 69, stk. 4, bør de intervenerende parter, nemlig Det Forenede Kongerige, Kommissionen og EDPS, endvidere bære deres egne omkostninger.

VIII – Forslag til afgørelse

284. I betragtning af det anførte foreslår jeg Domstolen at træffe følgende afgørelse:

»–      I sag C-318/04 annulleres Kommissionens beslutning 2004/535/EF af 14. maj 2004 om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed.

–      I sag C-317/04 annulleres Rådets afgørelse 2004/496/EF af 17. maj 2004 om indgåelse af en aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til United States Department of Homeland Security, Bureau of Customs and Border Protection.«

1 – Originalsprog: fransk.

2 – Afgørelse 2004/496/EF (EUT L 183, s. 83, herefter »Rådets afgørelse«).

3 – Beslutning 2004/535/EF (EUT L 235, s. 11, herefter »beslutningen om tilstrækkelig beskyttelse«).

4 – Spørgsmålet vedrører ligeledes Fællesskabets forbindelser med andre tredjelande. Således er en aftale af samme type som den, der er genstand for sag C-317/04, blevet indgået af Det Europæiske Fællesskab og Canada den 3.10.2005.

5 – Jf. Aviation and Transportation Security Act (ATSA) af 19.11.2001 (Public Law 107-71, 107th Congress, afsnit 49, section 44909(c)(3) i United States Code). Told- og grænsekontrolmyndigheden under det amerikanske ministerium for national sikkerhed (United States Bureau of Customs and Border Protection, herefter »CBP«) har vedtaget gennemførelsesbestemmelser til denne lov som f.eks. de Passenger and Crew Manifests Required for Passengers Flights in Foreign Air Transportation to the United States, der blev offentliggjort i Federal Register den 31.12.2001, og Passenger Name Record Information Required for Passengers on Flights in Foreign Air Transportation to or from the United States, offentliggjort i Federal Register den 25.6.2002 (afsnit 19, section 122.49b i Code of Federal Regulations).

6 – Rådets forordning (EØF) nr. 2299/89 af 24.7.1989 om en adfærdskodeks for anvendelse af edb-reservationssystemer (EFT L 220, s. 1), som ændret ved Rådets forordning (EF) nr. 323/1999 af 8.2.1999 (EFT L 40, s. 1).

7 – EFT L 281, s. 31, som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 1882/2003 af 29.9.2003 om tilpasning til Rådets afgørelse 1999/468/EF af bestemmelserne vedrørende de udvalg, der bistår Kommissionen i forbindelse med udøvelsen af de gennemførelsesbeføjelser, der er fastsat i retsakter omfattet af proceduren i EF-traktatens artikel 251 (EUT L 284, s. 1).

8 – Arbejdsgruppen blev oprettet i henhold til artikel 29 i direktiv 95/46. Der er tale om et uafhængigt rådgivende organ, som beskæftiger sig med spørgsmål om personbeskyttelse i forbindelse med behandling af personoplysninger. Gruppens opgaver er beskrevet i direktivets artikel 30 og i artikel 15, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om privatlivets fred og elektronisk kommunikation) (EFT L 201, s. 37).

9 – Udtalelse nr. 4/2003 om databeskyttelsesniveauet i De Forenede Stater ved overførsel af passageroplysninger. Udtalelsen findes på webadressen:

http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2003_en.htm

10 – Udtalelse nr. 2/2004 om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger, der er indeholdt i flypassagerers PNR, som overføres til De Forenede Staters told- og grænsekontrolmyndighed (CBP). Udtalelsen findes på webadressen: http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2004_en.htm

11 – Afgørelse 1999/468/EF (EFT L 184, s. 23).

12 – Jf. punkt 8 ovenfor.

13 – Parlamentet begrundede i sine stævninger denne afvisning med, at forslaget til Rådets afgørelse endnu ikke var blevet oversat til samtlige sprog.

14 – Begæringen om udtalelse blev slettet fra Domstolens register ved kendelse afsagt af Domstolens præsident den 16.12.2004.

15 – Europæisk traktatsamling, nr. 108 (herefter »konvention nr. 108«). Konventionen trådte i kraft den 1.10.1985. Europarådets ministerudvalg vedtog den 15.6.1999 ændringer med henblik på at give De Europæiske Fællesskaber mulighed for at tilslutte sig den (ændringerne er endnu ikke blevet godkendt af samtlige stater, der har tilsluttet sig konvention nr. 108). Jf. tillige tillægsprotokollen til konvention nr. 108, der vedrører kontrolmyndigheder og grænseoverskridende datastrømme, og som blev åbnet for undertegnelse den 8.11.2001 og trådte i kraft den 1.7.2004 (europæisk traktatsamling, nr. 181).

16 – EFT 2000, C 364, s. 1. Charteret blev underskrevet og proklameret af formændene for Parlamentet, Rådet og Kommissionen på Det Europæiske Råds møde i Nice den 7.12.2000. Teksten findes i del II i traktaten om en forfatning for Europa, der endnu ikke er trådt i kraft (EUT 2004, C 310, s. 41). Som De Europæiske Fællesskabers Ret i Første Instans har fastslået, »[viser] Den Europæiske Unions charter om grundlæggende rettigheder […] selv om det ikke er retligt bindende […] betydningen af de nævnte rettigheder i Fællesskabets retsorden«. Jf. dom af 15.1.2003, forenede sager T-377/00, T-379/00, T-380/00, T-260/01 og T-272/01, Philip Morris International m.fl. mod Kommissionen, Sml. II, s. 1, præmis 122).

17 – Artikel 286, stk. 2, EF bestemmer:

»Før den i stk. 1 nævnte dato opretter Rådet efter fremgangsmåden i artikel 251 en uafhængig kontrolinstans, der skal have ansvaret for at overvåge gennemførelsen af sådanne fællesskabsretsakter i Fællesskabets institutioner og organer, og det vedtager om nødvendigt andre relevante bestemmelser.«

Med hjemmel i artikel 286 EF udstedte Europa-Parlamentet og Rådet forordning (EF) nr. 45/2001 af 18.12.2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT 2001, L 8, s. 1).

18 – Med henblik på en detaljeret gennemgang af den generelle baggrund for dette direktiv og dets bestemmelser, henvises til M.-H. Boulanger, C. de Terwangne, T. Léonard, S. Louveaux, D. Moreau og Y. Poullet, »La protection des données à caractère personnel en droit communautaire«, JTDE, 1997, nr. 40-42. Jf. tillige S. Simitis, Data Protection in the European Union – the Quest for Common Rules, Collected Courses of the Academy of European Law, bind VIII, bog I, 2001, s. 95. Jeg skal ligeledes anføre, at der er udstedt et særligt direktiv, nemlig direktiv 2002/58, med bestemmelser gældende for elektronisk kommunikation.

19 – Syvende betragtning.

20 – Ottende betragtning.

21 – Niende betragtning.

22 – F.eks. kan nævnes datastrømme i forbindelse med personers mobilitet, e-handel og koncerninterne overførsler.

23 – 57. betragtning til direktiv 95/46.

24 – Konvention om gennemførelse af Schengen-aftalen af 14.6.1985 mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, som blev undertegnet i Schengen den 19.6.1990 (EFT 2000, L 239, s. 19).

25 – Jf. konventionens artikel 102-118. Kommissionen har med henblik på indførelsen af anden generation af Schengen-informationssystemet (SIS II) fremlagt forslag til en rådsafgørelse (KOM(2005) 230 endelig udg.) og til to forordninger (KOM(2005) 236 endelig udg. og KOM(2005) 237 endelig udg.).

26 – EFT 1995 C 316, s. 2, herefter »Europol-konventionen«.

27 – Afgørelse 2002/187/JAI af 28.2.2002 om oprettelse af Eurojust for at styrke bekæmpelsen af grov kriminalitet (EFT L 63, s. 1, herefter »Eurojust-afgørelsen«). Jf. afgørelsens artikel 14 ff.

28 – EUT 2005 C 68, s. 1.

29 – EFT 1995 C 316, s. 34. Jf. især konventionens artikel 13-15, 17 og 18.

30 – Rådets retsakt af 29.5.2000 om udarbejdelse af denne konvention i henhold til artikel 34 i traktaten om Den Europæiske Union (EFT C 197, s. 1). Jf. bl.a. konventionens artikel 23.

31 – KOM(2005) 475 endelig udg. Forslaget til rammeafgørelse bygger på artikel 30 EU og 31 EU samt artikel 34, stk. 2, litra b), EU. Forslaget er en af de foranstaltninger, der er foreskrevet i Rådets og Kommissionens handlingsplan om gennemførelse af Haag-programmet om styrkelse af frihed, sikkerhed og retfærdighed i Den Europæiske Union (EUT C 198, s. 1, afsnit 3.1).

32 – Da der er tale om en gennemførelsesbestemmelse til direktiv 95/46, blev beslutningen om tilstrækkelig beskyttelse vedtaget efter fremgangsmåden i dette direktivs artikel 31, stk. 2, som selv henviser til artikel 4, 7 og 8 i afgørelse 1999/468. Når Kommissionen vedtager en gennemførelsesbestemmelse til nævnte direktiv, bistås den således af et udvalg sammensat af repræsentanter for medlemsstaterne med Kommissionens repræsentant som formand. I den foreliggende sag er det det såkaldte »artikel 31«-udvalg, der bistår Kommissionen.

33 – Jf. forpligtelseserklæringens punkt 47.

34 – Overskrifterne er følgende: »1. PNR-registrets lokaliseringskode, 2. Reservationsdato, 3. Planlagt(e) rejsedato(er), 4. Navn, 5. Andre navne i PNR-registret, 6. Adresse, 7. Alle former for betalingsoplysninger, 8. Faktureringsadresse, 9. Telefonnumre, 10. Hele rejseruten for den pågældende PNR, 11. Frequent flyer-oplysninger (kun antal rejsekilometer og adresse(r)), 12. Rejsebureau, 13. Rejseagent, 14. PNR-dataelementer om kodedeling, 15. Passagerens rejsestatus, 16. Delte PNR-dataelementer, 17. E-post-adresse, 18. Billetoplysninger, 19. Generelle bemærkninger, 20. Billetnummer, 21. Pladsnummer, 22. Billettens udstedelsesdato, 23. Passager, der ved tidligere lejligheder ikke har tjekket ind, 24. Bagageseddelnummer, 25. Passager, der ved tidligere lejligheder har tjekket ind i sidste øjeblik uden reservation, 26. Andre OSI-oplysninger (Other Service Information), 27. Særlige SSI-/SSR-oplysninger (Special Service Request), 28. Kildeoplysninger, 29. Alle tidligere ændringer af PNR, 30. Antal rejsende under PNR, 31. Pladsoplysninger, 32. Enkeltbilletter, 33. Eventuelle indsamlede APIS-oplysninger (Advanced Passenger Information System), 34. ATFQ-felter (Automatic Ticket Fare Quote)«.

35 – Herefter »aftalen«.

36 – Jf. meddelelse om datoen for ikrafttrædelse af aftalen mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til United States Department of Homeland Security, Bureau of Customs and Border Protection (EUT 2004 C 158, s. 1).

37 – Jeg skal anføre, at henvisningen til beslutningen om tilstrækkelig beskyttelse i præambelen til aftalen er forkert. Den korrekte henvisning er til beslutning 2004/535/EF af 14.5.2004, der blev meddelt under nr. K(2004) 1914, og ikke afgørelse K(2004) 1799 af 17.5.2004. Fejlen er blevet berigtiget i Den Europæiske Unions Tidende, jf. berigtigelsesprotokol til aftalen (EUT 2005 L 255, s. 168).

38 – Luftfartsselskabers dataoverførsler sker efter det såkaldte »push-system«, mens CBP’s direkte adgang til oplysningerne går under betegnelsen «pull-systemet«.

39 – Der menes beslutningen om tilstrækkelig beskyttelse, der er den eneste »beslutning/afgørelse«, der er nævnt i præambelen til aftalen.

40 – Samme bemærkning som ovenfor i fodnote 39.

41 – Aftalens afsnit 5.

42 – Aftalens afsnit 6.

43 – Kendelser afsagt af Domstolens Præsident henholdsvis den 18.1.2005 og den 18.11.2004.

44 – Domstolens kendelse af 17.3.2005.

45 – Kendelse afsagt af Domstolens Præsident den 17.12.2004.

46 – Domstolens kendelse af 17.3.2005.

47 – Dom af 6.11.2003, sag C-101/01, Lindqvist, Sml. I, s. 12971, præmis 63.

48 – Blandt disse forhold kan nævnes oplysningernes art samt den eller de påtænkte behandlingers formål og varighed.

49 – Lindqvist-dommen, præmis 56. I denne sag fastslog Domstolen, at en operation, der består i at lægge personoplysninger ud på en internetside, ikke udgør en »videregivelse til et tredjeland« i den forstand, hvori udtrykket er anvendt i artikel 25 i direktiv 95/46, fordi disse oplysninger derved bliver tilgængelige for personer, der befinder sig i et tredjeland. Domstolen nåede frem til denne konklusion under hensyntagen til dels den tekniske karakter af de udførte operationer, dels formålet med og opbygningen af nævnte direktivs kapitel IV, der indeholder artikel 25.

50 – Og dette gælder også, selv om oplysningerne modtages af et særligt organ under det pågældende tredjelands interne forvaltning.

51 – Jeg skal bemærke, at begreberne behandling og videregivelse af personoplysninger til en vis grad overlapper hinanden. Således forekommer det mig, at videregivelse ved transmission, formidling eller overladelse af personoplysninger både kan opfattes som en behandling og en videregivelse af oplysningerne i direktivets forstand. I denne sag er der overlapning mellem begreberne videregivelse og behandling, idet den indførte ordning bl.a. har til formål at give CBP adgang til PNR-oplysninger. Dette kan efter min opfattelse forklares ved den meget brede definition af begrebet behandling, som omfatter en lang række operationer. I sidste instans kan videregivelsen af oplysninger til et tredjeland fra dette synspunkt opfattes som en særlig form for behandling. Jf. i denne retning Kommissionens forslag til rammeafgørelse, hvor artikel 15 vedrørende »Overførsel til kompetente myndigheder i tredjelande eller til internationale organer« er indeholdt i kapitel III: »Særlige former for behandling«.

52 – Jeg skal f.eks. nævne, at det i artikel 1 i Kommissionens beslutning 2000/519/EF af 26.7.2000 i henhold til direktiv 95/46 vedrørende tilstrækkeligheden af beskyttelsesniveauet for personoplysninger i Ungarn (EFT L 215, s. 4) bestemmes, at »[f]or så vidt angår artikel 25, stk. 2, i direktiv 95/46/EF anses Ungarn med hensyn til al virksomhed, der falder ind under direktivets anvendelsesområde, for at sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger, der videregives fra Den Europæiske Union« (min fremhævelse).

53 – Mine fremhævelser. Domstolen bemærkede i Lindqvist-dommen, at »[d]e aktiviteter, der er nævnt som eksempler i artikel 3, stk. 2, første led, i direktiv 95/46 […], [under alle omstændigheder er] statens eller statslige myndigheders aktiviteter og har ikke noget at gøre med området for den enkelte borgers aktiviteter« (præmis 43).

54 – Sjette betragtning.

55 – Syvende betragtning.

56 – Ottende betragtning.

57 – Jf. i denne retning Y. Poullets og M.V. Peres Asinans artikel: »Données des voyageurs aériens: le débat Europe – États-Unis«, JTDE, 2004, nr. 113, s. 274. Ifølge disse forfattere »skal en løsning for at kunne legitimere disse grænseoverskridende strømme af en ganske bestemt type sikre lovligheden af en videregivelse af oplysninger til udenlandske offentlige forvaltninger med henblik på at bekæmpe terrorisme […], hvilket vil være en notorisk overskridelse af anvendelsesområdet for et direktiv fra første søjle«. De tilføjer, at »dette område på europæisk plan hører til tredje søjle, hvorfor der kan rejses tvivl om Kommissionens kompetence til at handle på området […]«. Jf. tillige O. De Schutter, »La Convention européenne des droits de l’homme à l’épreuve de la lutte contre le terrorisme«, i Lutte contre le terrorisme et droits fondamentaux, E. Bribosia og A. Weyembergh (red.), Collection droit et justice, Bruylant, Bruxelles, 2002, s. 112, fodnote 43. Efter at have citeret artikel 3, stk. 2, første led, i direktiv 95/46 bemærker forfatteren, at »[d]enne begrænsning af direktivets anvendelsesområde kan forklares ved de begrænsede beføjelser, der er tillagt Det Europæiske Fællesskab, som ikke har nogen generel kompetence til at lovgive på menneskerettighedsområdet, men dog kan gribe ind på dette område, såfremt formålet som tilfældet er med [nævnte direktiv] er at lette oprettelsen af et indre marked, som bl.a. indebærer fjernelse af hindringerne for de frie varebevægelser og den frie udveksling af tjenesteydelser«.

58 – Fællesskabet behandler PNR-oplysninger ved at stille dem til rådighed for CBP. Oplysningerne skal ligeledes behandles efter videregivelsen som følge af CBP’s brug heraf.

59 – Dette indebærer ikke, at en beslutning om tilstrækkelig beskyttelse, der vedtages under lignende omstændigheder, i EU’s retsorden bør anses for ikke at skulle respektere de væsentlige garantier for personoplysningers beskyttelse, der bl.a. fremgår af konvention nr. 108. Jeg finder blot ikke, at direktiv 95/46 er den rigtige referenceramme, idet formålet med beslutningen om tilstrækkelig beskyttelse som nævnt falder uden for anvendelsesområdet for direktivet, der er hjemmel for beslutningen. Da den afledte ret ikke fastsætter nogen norm, der kan anvendes, når der er tale om behandling af personoplysninger til retshåndhævende formål og med henblik på at forbedre den offentlige sikkerhed, er det umuligt at foretage en teoretisk domstolsprøvelse af garantierne. Der vil imidlertid fortsat bestå en retslig beskyttelse. Kontrollen med de væsentlige garantier for beskyttelse af personoplysninger er nemlig, som det vil fremgå af det følgende, tæt forbundet med undersøgelsen af betingelserne i EKMR’s artikel 8, stk. 2.

60 – Herefter »PNR-ordningen«.

61 – Dom af 31.3.1971, sag 22/70, Kommissionen mod Rådet (»AETR-dommen«), Sml. 1971, s. 41, org.ref. Rec.: s. 263.

62 – Jf. bl.a. dom af 11.6.1991, sag C-300/89, Kommissionen mod Rådet (»Titandioxid-dommen«), Sml. I, s. 2867, præmis 10, af 12.11.1996, sag C-84/94, Det Forenede Kongerige mod Rådet, Sml. I, s. 5755, præmis 25, af 25.2.1999, forenede sager C-164/94 og C-165/97, Parlamentet mod Rådet, Sml. I, s. 1139, præmis 12, af 4.4.2000, sag C-269/97, Kommissionen mod Rådet, Sml. I, s. 2257, præmis 43, af 19.9.2002, sag C-336/00, Huber, Sml. I, s. 7699, præmis 30, af 29.4.2004, sag C-338/01, Kommissionen mod Rådet, Sml. I, s. 4829, præmis 54, og af 13.9.2005, sag C-176/03, Kommissionen mod Rådet, endnu ikke trykt i Samling af Afgørelser, præmis 45.

63 – Dom af 26.3.1987, sag 45/86, Kommissionen mod Rådet, Sml. s. 1493, præmis 11.

64 – Udtalelse 2/00 af 6.12.2001 afgivet i henhold til artikel 300, stk. 6, EF (Sml. I, s. 9713, punkt 5).

65 – Senere skal jeg anvende udtrykket »bekæmpelse af terrorisme og anden alvorlig kriminalitet«, når jeg omtaler dette mål.

66 – Terrorisme er desuden et internationalt fænomen, der ikke kender nogen grænser.

67 – Jf. punkt 10 i generaladvokat Tesauros forslag til afgørelse i titandioxid-dommen.

68 – Dom af 5.10.2000, sag C-376/98, Tyskland mod Parlamentet og Rådet, Sml. I, s. 8419, præmis 83, 84 og 95, og af 10.12.2002, sag C-491/01, British American Tobacco (Investments) og Imperial Tobacco, Sml. I, s. 11453, præmis 60.

69 – Jf. i denne retning dom af 13.7.1995, sag C-350/92, Spanien mod Rådet, Sml. I, s. 1985, præmis 35, samt dommen i sagen Tyskland mod Parlamentet og Rådet, præmis 86, dom af 9.10.2001, sag C-377/98, Nederlandene mod Parlamentet og Rådet, Sml. I, s. 7079, præmis 15, dommen i sagen British American Tobacco (Investments) og Imperial Tobacco, præmis 61, og dom af 14.12.2004, sag C-434/02, Arnold André, Sml. I, s. 11825, præmis 31.

70 – Jf. bl.a. dom af 9.11.1995, sag C-426/93, Tyskland mod Rådet, Sml. I, s. 3723, præmis 33.

71 – Jf. bl.a. dom af 17.3.1993, sag C-155/91, Kommissionen mod Rådet, Sml. I, s. 939, præmis 19 og 21, af 23.2.1999, sag C-42/97, Parlamentet mod Rådet, Sml. I, s. 869, præmis 39 og 40, af 30.1.2001, sag C-36/98, Spanien mod Rådet, Sml. I, s. 779, præmis 59, og af 12.12.2002, sag C-281/01, Kommissionen mod Rådet, Sml. I, s. 12049, præmis 34.

72 – Jf. bl.a. titandioxid-dommen, præmis 13 og 17, dommen af 23.2.1999, Parlamentet mod Rådet, præmis 38 og 43, Huber-dommen, præmis 31, og dommen af 12.12.2002, Kommissionen mod Rådet, præmis 35.

73 – Dommen af 12.12.2002, Kommissionen mod Rådet, præmis 46.

74 – Dom af 20.5.2003, forenede sager C-465/00, C-138/01 og C-139/01, Österreichischer Rundfunk m.fl., Sml. I, s. 4989, præmis 39. I betragtning af forskellen mellem aftalens og direktiv 95/46’s formål og målsætning, finder jeg det desuden usandsynligt, at direktivet som hævdet af Kommissionen ville være blevet berørt i AETR-dommens forstand, hvis medlemsstaterne individuelt eller kollektivt havde indgået en aftale af denne type, der ikke var omfattet af fællesskabsretten.

75 – I debatten nævnes »den tredje søjle« undertiden i forbindelse med spørgsmålet om luftfartsselskabers videregivelse af personoplysninger til De Forenede Stater. Således har artikel 29-gruppen vedrørende databeskyttelse i en udtalelse af 24.10.2002 (udtalelse nr. 6/2002 om videregivelse af passagerlisteoplysninger og andre oplysninger fra luftfartsselskaber til De Forenede Stater) udtalt, at »[i] al væsentlighed skal videregivelse af oplysninger til offentlige myndigheder i et tredjeland af hensyn til offentlig orden i det pågældende land forstås som samarbejdsmekanismer, der oprettes under den tredje søjle (retligt og politimæssigt samarbejde) […] Det er vigtigt, at de samarbejdsmekanismer, der fastsættes under den tredje søjle, ikke bliver omgået via den første søjle«. Der henvises til webadressen:

http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2002_en.htm

76 – Hvad angår den direkte informationsudveksling mellem offentlige myndigheder henviser jeg til Rådets afgørelse af 27.3.2000 om bemyndigelse til Europols direktør til at indlede forhandlinger om aftaler med tredjelande og organisationer, der ikke er tilknyttet Den Europæiske Union (EFT C 106, s. 1). På dette grundlag blev der den 20.12.2002 indgået en aftale mellem Europol og Amerikas Forenede Stater om udveksling af personoplysninger.

77 – Denne problemstilling er et centralt element i den aktuelle interinstitutionelle debat om telekommunikationsselskabers opbevaring af oplysninger. I debatten fremføres modstridende synspunkter, idet nogle hævder, at dette spørgsmål skal afgøres under den første søjle, mens andre derimod finder, at emnet henhører under den tredje søjle, hvilket viser, hvor nyt og komplekst spørgsmålet om anvendelse af kommercielle oplysninger til retshåndhævende formål er. Jf. i denne forbindelse udkastet til rammeafgørelse om opbevaring af data, der behandles og lagres i forbindelse med levering af offentligt tilgængelige elektroniske kommunikationstjenester, og af data, der findes i offentlige kommunikationsnet, med henblik på forhindring, efterforskning, afsløring og retsforfølgning i forbindelse med kriminalitet og strafbare handlinger, herunder terrorisme (udkast fremlagt den 28.4.2004 på initiativ af Den Franske Republik, Irland, Kongeriget Sverige og Det Forenede Kongerige), og Kommissionens konkurrerende forslag til Europa-Parlamentets og Rådets direktiv om lagring af data behandlet i forbindelse med tilvejebringelse af offentlige elektroniske kommunikationstjenester og om ændring af direktiv 2002/58, der blev fremlagt den 21.9.2005 (dokument KOM(2005) 438 endelig udg.).

78 – Angående spørgsmålet om pålæggelse af økonomiske og finansielle sanktioner som indefrysning af midler over for enkeltpersoner og enheder, der mistænkes for at bidrage til finansiering af terrorisme, henvises til Rettens domme af 21.9.2005, sag T-306/01, Yusuf og Al Barakaat International Foundation mod Rådet og Kommissionen, endnu ikke trykt i Samling af Afgørelser, præmis 152, og sag T-315/01, Kadi mod Rådet og Kommissionen, endnu ikke trykt i Samling af Afgørelser, præmis 116. Under de omstændigheder, der gjorde sig gældende i disse sager, tog Retten imidlertid hensyn til »den forbindelse, som specifikt blev etableret ved ændringen ved Maastricht-traktaten, mellem Fællesskabets handlinger i form af økonomiske sanktioner i henhold til artikel 60 EF og 301 EF og EU-traktatens mål på området for forbindelserne udadtil« (præmis 159 i dommen i sag T-306/01 og præmis 123 i dommen i sag T-315/01). Mere generelt konstaterede Retten, at »kampen mod international terrorisme og finansieringen heraf [ubestrideligt henhører] under Unionens mål for den fælles udenrigs- og sikkerhedspolitik, således som de er defineret i artikel 11 EU […]« (præmis 167 i dommen i sag T-306/01 og præmis 131 i dommen i sag T-315/01). Jeg kan tilføje, at det i artikel 2 EU hedder: »Unionen har som mål […] at bevare og udbygge Unionen som et område med frihed, sikkerhed og retfærdighed, hvor der er fri bevægelighed for personer, kombineret med passende foranstaltninger vedrørende kontrol ved de ydre grænser, asyl, indvandring og forebyggelse og bekæmpelse af kriminalitet […]« (mine fremhævelser). Ifølge artikel 29, stk. 2, EU, skal det EU-mål, der består i at give borgerne et højt tryghedsniveau i et område med frihed, sikkerhed og retfærdighed, »nås både ved at forebygge og bekæmpe organiseret og anden kriminalitet, især terrorisme […]« (min fremhævelse). Angående de eksterne aspekter af europæisk strafferet henvises til G. de Kerchove og A. Weyembergh, Sécurité et justice: enjeu de la politique extérieure de l’Union européenne, éditions de l’Université de Bruxelles, 2003.

79 – Derimod har Domstolen udtalt sig om et andet tilfælde, hvor der kræves samstemmende udtalelse fra Parlamentet, nemlig når »en aftale […] har betydelige budgetmæssige virkninger«, i dom af 8.7.1999, sag C-189/97, Parlamentet mod Rådet, Sml. I, s. 4741.

80 – Jf. C. Schmitter, »Article 228« i V. Constantinesco, R. Kovar og D. Simon, Traité sur l’Union européenne, commentaire article par article, Économica, 1995, s. 725, særlig punkt 43.

81 – Jf. i denne retning C. Schmitter, op. cit.

82 – Jeg skal nævne, at traktaten om en forfatning for Europa på dette punkt giver større mulighed for at kræve Parlamentets godkendelse. Forfatningstraktatens artikel III-325 vedrørende proceduren for indgåelse af internationale aftaler bestemmer nemlig i stk. 6, litra a), nr. v), at Rådet vedtager afgørelsen om indgåelse af aftalen efter Parlamentets godkendelse, bl.a. i tilfælde af »aftaler, som dækker områder, hvor den almindelige lovgivningsprocedure eller, når der kræves godkendelse af Europa-Parlamentet, den særlige lovgivningsprocedure finder anvendelse« (min fremhævelse).

83 – Mine fremhævelser.

84 – Punkt 107 ovenfor.

85 – Jf. punkt 109 ff. ovenfor.

86 – Parlamentet har herved henvist til dom af 20.5.2003, sag C-108/01, Consorzio del Prosciutto di Parma og Salumificio S. Rita, Sml. I, s. 5121, præmis 89.

87 –      Parlamentet har herved bl.a. henvist til Europol-konventionen, hvor der i artikel 8, stk. 2, nævnes fem typer oplysninger, samt Rådets direktiv 2004/82/EF af 29.4.2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (EUT L 261, s. 24). Direktivet, der har hjemmel i artikel 62, stk. 2, litra a), EF og artikel 63, stk. 3, litra b), EF, pålægger i artikel 3 luftfartsselskaber, på anmodning af myndigheder, der er ansvarlige for personkontrollen ved de ydre grænser, at fremsende i alt ni typer personoplysninger.

88 – De seks kategorier er nr. 11. »Frequent flyer-oplysninger« (kun antal rejsekilometer og adresse(r))«, 19. »Generelle bemærkninger«, 26. »Andre OSI-oplysninger (Other Service Information)«, 27. »Særlige SSI/SSR-oplysninger (Special Service Request)«, 30. »Antal rejsende under PNR«, og 33. »Eventuelle indsamlede APIS-oplysninger (Advanced Passenger Information System)«.

89 – Kategori nr. 19, 26 og 27 (jf. fodnote 88 ovenfor).

90 – Forpligtelseserklæringens punkt 5 bestemmer:

»Hvad angår dataelementerne »OSI« og »SSI/SSR« (almindeligvis benævnt »generelle bemærkninger« og »åbne forhold«) søger CBP’s elektroniske system i disse felter efter andre af de dataelementer, der er angivet i [listen over de kategorier af PNR-oplysninger, der ønskes]. CBP’s personale vil ikke få tilladelse til manuelt at gennemgå de fulde OSI- og SSI/SSR-felter, medmindre den person, som den pågældende PNR vedrører, er blevet identificeret af CBP som en person, der udgør en høj risiko med hensyn til de i punkt 3 anførte forhold.«

91 – I forpligtelseserklæringens punkt 9 hedder det:

»CBP vil ikke anvende følsomme oplysninger (dvs. personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, medlemskab af fagforening og oplysninger om helbredsforhold og seksuelle forhold) fra PNR som beskrevet nedenfor.«

Forpligtelseserklæringens punkt 10 foreskriver:

»CBP indfører hurtigst muligt et system til automatisk filtrering og sletning af visse »følsomme« PNR-koder og -oplysninger, som CBP har defineret i samråd med Kommissionen [...]«

Forpligtelseserklæringens punkt 11 er affattet således:

»Indtil disse elektroniske filtre kan indføres, forpligter CBP sig til ikke at anvende »følsomme« PNR-oplysninger og til at slette følsomme oplysninger i forbindelse med enhver skønsmæssig videregivelse af PNR-oplysninger i henhold til punkt 28-34.«

Disse punkter vedrører videregivelse af PNR-oplysninger til andre nationale myndigheder.

92 – Jf. bl.a. dom af 12.11.1969, sag 29/69, Stauder, Sml. 1969, s. 107, org.ref.: Rec. s. 419, præmis 7, af 17.12.1970, sag 11/70, Internationale Handelsgesellschaft, Sml. 1970, s. 235, org.ref.: Rec. s. 1125, præmis 4, og af 14.5.1974, sag 4/73, Nold mod Kommissionen, Sml. s. 491, præmis 13.

93 – Jf. bl.a. dom af 18.6.1991, sag C-260/89, ERT, Sml. I, s. 2925, præmis 41, af 29.5.1997, sag C-299/95, Kremzow, Sml. I, s. 2629, præmis 14, og af 6.3.2001, sag C-274/99 P, Connolly mod Kommissionen, Sml. I, s. 1611, præmis 37.

94 – Dom af 13.7.1989, sag 5/88, Wachauf, Sml. s. 2609, præmis 19.

95 – Dom af 26.6.1980, sag 136/79, National Panasonic mod Kommissionen, Sml. s. 2033, præmis 18 og 19. Denne ret omfatter tillige retten til beskyttelse af den lægelige tavshedspligt (jf. dom af 8.4.1992, sag C-62/90, Kommissionen mod Tyskland, Sml. I, s. 2575, og af 5.10.1994, sag C-404/92 P, X mod Kommissionen, Sml. I, s. 4737). Hvad angår retten til beskyttelse af personoplysninger skal jeg igen henvise til dommen i sagen Österreichischer Rundfunk m.fl. og Lindqvist-dommen.

96 – Jf. dom af 24.4.1990, Kruslin mod Frankrig, serie A nr. 176, præmis 27.

97 – Jf. dom af 24.3.1988, Olsson mod Sverige, serie A nr. 130, præmis 61 og 62. De love, der begrænser den garanterede ret, skal være så præcist affattet, at de berørte kan tilpasse deres adfærd og om nødvendigt søge kvalificeret rådgivning (dom af 26.4.1979, Sunday Times mod Det Forenede Kongerige, serie A nr. 30, præmis 49).

98 – Jf. sjette betragtning til beslutningen om tilstrækkelig beskyttelse og fodnote 2 og 3 hertil.

99 – Jf. forpligtelseserklæringens punkt 36-42.

100 – Jf. berigtigelsesprotokollen til aftalen, der som tidligere nævnt er offentliggjort i EUT L 255 af 30.9.2005.

101 – I aftalens præambel nævnes forhindring og bekæmpelse af terrorisme »og dermed forbunden kriminalitet og anden alvorlig kriminalitet af grænseoverskridende karakter, herunder organiseret kriminalitet«. Endvidere bestemmer forpligtelseserklæringens punkt 3: »CBP anvender udelukkende PNR-oplysninger til at forebygge og bekæmpe 1) terrorisme og dermed forbundne forbrydelser, 2) andre alvorlige forbrydelser, herunder organiseret kriminalitet, der har tværnational karakter, og 3) flugt fra anholdelse eller varetægtsfængsling begrundet i ovennævnte kriminalitet.« Jf. tillige 15. betragtning til beslutningen om tilstrækkelig beskyttelse, der indeholder samme formulering.

102 – Jf. bl.a. dom af 24.11.1986, Gillow mod Det Forenede Kongerige, serie A nr. 109, præmis 55.

103 – Jf. dom af 26.3.1987, Leander mod Sverige, serie A nr. 116, præmis 59.

104 – Jf. f.eks. dom af 6.9.1978, Klass, serie A nr. 28, præmis 59, der bl.a. tager stilling til den hemmelige overvågning af borgernes korrespondance og telefonsamtaler, der finder sted i kampen mod terrorisme. Menneskerettighedsdomstolen fastslog heri, at »konventionen foretager en vis afvejning mellem kravene om beskyttelse af det demokratiske samfund og kravene om beskyttelse af individets rettigheder«.

105 – F. Sudre, Droit européen et international des droits de l’homme, 7. reviderede udgave, PUF, 2005, s. 219. F. Sudre konstaterer tillige, at »[a]fhængig af, hvor strengt den fortolker proportionalitetsbetingelsen – skal der være streng, korrekt eller rimelig proportionalitet – varierer Menneskerettighedsdomstolen kontrollens intensitet og således også grænserne for statens skøn […]«.

106 – Jf. dom af 25.2.1997, Z. mod Finland, Samling af domme og afgørelser 1997-I.

107 – Jf. i denne retning F. Sudre, op. cit., s. 219. Jf. tillige P. Wachsmann, »Le droit au secret de la vie privée« i Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme, S. Sudre (red.), Bruylant, 2005, s. 141. Om dommen i sagen Z mod Finland bemærker forfatteren, at »[k]ontrollen af, om indgrebet er nødvendigt, har i den foreliggende sag været meget streng, idet spørgsmålet, om oplysninger om en persons HIV-positive status må videregives til tredjemand, er ekstremt følsomt«.

108 – Dommen i sagen Leander mod Sverige. Leander var blevet ansat som vagt på et svensk søfartsmuseum og havde mistet sit job efter en personalekontrol, hvor der blev indsamlet hemmelige oplysninger om ham, som førte til den konklusion, at han ikke kunne arbejde på et museum, hvor en række depoter befandt sig på et militært område uden offentlig adgang. Sagen gav Den Europæiske Menneskerettighedsdomstol lejlighed til klart at bekræfte princippet om, at såvel lagring som videregivelse af personoplysninger, uden at der gives den pågældende mulighed for at gendrive oplysningerne, er en krænkelse af retten til respekt af privatlivet. Ved behandlingen af begrundelsen for indgrebet fastslog Menneskerettighedsdomstolen, at »de kontraherende stater med henblik på at opretholde den nationale sikkerhed unægtelig har behov for love, der bemyndiger de kompetente interne myndigheder til at indsamle og lagre personoplysninger i hemmelige filer og anvende oplysningerne til bedømmelsen af, om ansøgere til stillinger af stor sikkerhedsmæssig betydning er egnede« (præmis 59). Under henvisning til de garantier, der var indbygget i det svenske personalekontrolsystem, og statens vide skøn fastslog Menneskerettighedsdomstolen, at »den sagsøgte regering med rette kunne anse hensynet til den nationale sikkerhed for at gå forud for sagsøgerens individuelle interesser«. Indgrebet rettet mod Leander stod således ikke i misforhold til det forfulgte legitime formål (præmis 67).

109 – Jf. dom af 28.10.1994, Murray mod Det Forenede Kongerige, serie A nr. 300, præmis 47 og 90. I denne sag fastslog Menneskerettighedsdomstolen, at bekæmpelse af terrorisme var et mål, der kunne begrunde militærets lagring af personoplysninger vedrørende den første sagsøger. Menneskerettighedsdomstolen bemærkede bl.a., at det ikke tilkom den at »sætte sin egen vurdering i stedet for de nationale myndigheders vurdering af, hvilken politik der er bedst egnet med henblik på efterforskning af terrorkriminalitet« (præmis 90). Jf. tillige Menneskerettighedsdomstolen Klass-dom, præmis 49.

110 – Ifølge D. Ritleng foreligger der et åbenbart urigtigt skøn (eller »åbenbart fejlagtigt skøn«, som det også hedder), »hvis der er sket en åbenbar tilsidesættelse af lovgivningen. Uanset hvor vidt et skøn fællesskabsinstitutionerne har, må deres vurdering af de faktiske omstændigheder ikke føre til en hvilken som helst beslutning. Ved at kontrollere, at der ikke er anlagt et åbenbart urigtigt skøn, forhindrer Fællesskabets retsinstanser, at skønnet udøves på en åbenlyst fejlagtig måde«. Jf. »Le contrôle de la légalité des actes communautaires par la Cour de justice et le Tribunal de première instance des Communautés européennes«, afhandling forsvaret den 24.1.1998 på Robert Schuman-universitetet i Strasbourg, s. 538, punkt 628.

111 – Jf. med hensyn til den fælles landbrugspolitik Domstolens dom af 13.11.1990, sag C-331/88, Fedesa m.fl., Sml. I, s. 4023, præmis 14. Jf. ligeledes hvad angår antidumpingtold Rettens dom af 5.6.1996, sag T-162/94, NMB France m.fl. mod Kommissionen, Sml. II, s. 427, præmis 70.

112 – Jf. med hensyn til den fælles landbrugspolitik Domstolens dom af 5.10.1994, sag C-280/93, Tyskland mod Rådet, Sml. I, s. 4973, præmis 91. Samme retspraksis findes f.eks. også på det socialpolitiske område, hvor Rådet indrømmes »et vidt skøn på et område, hvor lovgiveren […] må træffe visse socialpolitiske valg, og hvor lovgiveren skal foretage komplicerede vurderinger« (dommen i sagen Det Forenede Kongerige mod Rådet, præmis 58). Også i en sag om aktindsigt i fællesskabsinstitutionernes dokumenter og om rækkevidden af Rettens prøvelsesadgang i forhold til lovligheden af en beslutning om afslag har Retten indrømmet Rådet et vidt skøn i forbindelse med en beslutning om afslag på aktindsigt, hvor dette var hjemlet i beskyttelsen af offentlighedens interesser med hensyn til internationale forbindelser eller beskyttelsen af offentlighedens interesser i forhold til offentlig sikkerhed. Jf. bl.a. med hensyn til terrorbekæmpelse Rettens dom af 26.4.2005, forenede sager T-110/03, T-150/03 og T-405/03, Sison mod Rådet, endnu ikke trykt i Samling af Afgørelser, præmis 46 og 71-82.

113 – Foruden dommen i sagen Det Forenede Kongerige mod Rådet findes mange eksempler på, at Fællesskabets retsinstanser har anerkendt, at de vurderinger, fællesskabsinstitutioner skal foretage, er komplicerede, jf. bl.a. med hensyn til fri etableringsret dom af 13.5.1997, sag C-233/94, Tyskland mod Parlamentet og Rådet, Sml. I, s. 2405, præmis 55. Et eksempel på Rettens anerkendelse af, at der skal foretages »komplicerede økonomiske og sociale vurderinger«, findes i dom af 13.9.1995, forenede sager T-244/93 og T-486/93, TWD mod Kommissionen, Sml. II, s. 2265, præmis 82.

114 – Jeg finder f.eks., at Kommissionen rådede over et vidt skøn ved afgørelsen af, om De Forenede Stater i forbindelse med særlig videregivelsen af PNR-oplysninger var i stand til at sikre et tilstrækkeligt beskyttelsesniveau for disse personoplysninger.

115 – Ifølge Kommissionen »er PNR-ordningen en specifik løsning på et specifikt problem […] Fællesskabet og De Forenede Stater har sammen udviklet et lukket databeskyttelsessystem til brug for CBP, et system, som er adskilt fra det amerikanske system, og hvortil der er knyttet supplerende administrative garantier i form af amerikansk kontrol og administrativ og retslig kontrol fra EU’s side« (punkt 13 i Kommissionens bemærkninger til EDPS’ interventionsindlæg i sag C-318/04).

116 – Som nævnt drejer det sig om kategori 19. »Generelle bemærkninger«, 26. »Andre OSI-oplysninger (Other Service Information)« og 27. »Særlige SSI/SSR-oplysninger (Special Service Request)«.

117 – Jf. punkt 20 og 21 i Kommissionens bemærkninger til EPDS’ interventionsindlæg i sag C-318/04.

118 – Det præciseres endvidere i fodnote 7 til forpligtelseserklæringen, at når PNR-oplysningerne overføres til filen med slettede oplysninger, opbevares de kun som rådata, dvs. i en form, der ikke tillader umiddelbar søgning, og som derfor ikke kan anvendes til »traditionel« retshåndhævende efterforskning.

119 – Jf. punkt 8, litra d), og punkt 10 i konvention nr. 108 og artikel 22 i direktiv 95/46.

120 – Jf. forpligtelseserklæringens punkt 36, der bestemmer:

»CBP oplyser de rejsende om PNR-kravet og de forskellige aspekter af anvendelsen af disse oplysninger (der gives således på CBP’s hjemmeside og i rejsebrochurer generelle oplysninger om den myndighed, der er ansvarlig for indsamlingen af oplysninger, formålet med indsamlingen, databeskyttelse, dataudveksling, den ansvarlige embedsmands identitet, klageprocedurer og kontaktoplysninger, der kan benyttes, hvis man har spørgsmål eller særlige problemer).«

121–
                                                                                                 Freedom of Information Act (afsnit 5, section 552, i United States Code, herefter »FOIA«). Med hensyn til CBP’s dokumenter skal disse bestemmelser i FOIA sammenholdes med afsnit 19, section 103.0 ff., i Code of Federal Regulations.

122 – Ifølge FOIA formodes det, at alle skal have adgang til alle føderale regeringsdokumenter. Trods denne formodning for adgang til dokumenterne kan den pågældende nationale myndighed dog undlade at give aktindsigt, hvis den godtgør, at de ønskede oplysninger tilhører en kategori, der ikke er omfattet af aktindsigtspligten. Jeg skal i denne forbindelse nævne, at det af forpligtelseserklæringens punkt 37 fremgår, at »[i] forbindelse med anmodninger fra den registrerede selv vil CBP ikke anvende det forhold, at CBP i øvrigt betragter PNR-oplysninger som den registreredes fortrolige personoplysninger og som luftfartsselskabets fortrolige kommercielle oplysninger, til at tilbageholde den registreredes PNR-oplysninger i medfør af FOIA«.

123 – Min fremhævelse. I forpligtelseserklæringens punkt 38 henvises der til afsnit 5, section 552(a)(4)(B) i United States Code og til afsnit 19, section 103.7-103.9 i Code of Federal Regulations. Det fremgår af disse bestemmelser, at der før en sag om retslig prøvelse (»judicial review«) af et afslag fra CBP på en anmodning om aktindsigt skal indgives en administrativ klage til FOIA Appeals Officer (afsnit 19, section 103.7 i Code of Federal Regulations). Hvis den pågældende ikke får medhold i denne administrative klagesag, kan han rejse sag ved en Federal District Court, der er kompetent til at påbyde udlevering af enhver oplysning, der fejlagtigt er blevet tilbageholdt af en national myndighed.

124 – »Assistant Commissioner«’s adresse er angivet i samme punkt.

125 – Adressen findes i forpligtelseserklæringens punkt 41.

126 – Jf. i denne retning section 222, stk. 5, i den amerikanske lov af 2002 om indre sikkerhed (Homeland Security Act – Public Law, 107-296, af 25.11.2002), hvorefter Chief Privacy Officer hvert år skal forelægge Kongressen en rapport om de af DHS’ aktiviteter, der berører beskyttelsen af privatlivet, og hvori der gøres rede for eventuelle klager over krænkelse af privatlivets fred.

127 – Jf. fodnote 11 til forpligtelseserklæringen, hvoraf det fremgår, at DHS Chief Privacy Officer »er uafhængig af alle afdelinger i [DHS]. DHS Chief Privacy Officer er ifølge loven forpligtet til at sikre, at personoplysninger anvendes i overensstemmelse med den relevante lovgivning […] De afgørelser, der træffes af Chief Privacy Officer, er bindende for [DHS] og må ikke tilsidesættes af politiske grunde«. I øvrigt fremgår kravet om adgang til at indgive klage til en uafhængig instans med beslutningsbeføjelser bl.a. af Menneskerettighedsdomstolen dom af 7.7.1989, Gaskin mod Det Forenede Kongerige (serie A nr. 160, præmis 49). Jeg skal tilføje, at ifølge artikel 8, stk. 3, i Den Europæiske Union’s charter om grundlæggende rettigheder er overholdelsen af charterets regler »underlagt en uafhængig myndigheds kontrol«.

128 – Jf. f.eks. dom af 29.2.1996, sag C-56/93, Belgien mod Kommissionen, Sml. I, s. 723, præmis 86.

129 – Dom af 27.9.1988, sag 204/86, Grækenland mod Rådet, Sml. s. 5323, præmis 16, og af 30.3.1995, sag C-65/93, Parlamentet mod Rådet, Sml. I, s. 643, præmis 23.

130 – Udtalelse af 13.12.1995 (Sml. I, s. 4577), afgivet efter begæring fra Forbundsrepublikken Tyskland angående foreneligheden med traktaten af rammeaftalen om bananer mellem det Europæiske Fællesskab og Colombia, Costa Rica, Nicaragua samt Venezuela.

131 – Udtalelsens punkt 21 (min fremhævelse).

132 – Udtalelsens punkt 22.