Language of document : ECLI:EU:C:2015:627

CONCLUSIE VAN ADVOCAAT-GENERAAL

Y. BOT

van 23 september 2015 (1)

Zaak C‑362/14

Maximillian Schrems

tegen

Data Protection Commissioner

[verzoek van de High Court of Justice (Ierland) om een prejudiciële beslissing]

„Prejudiciële verwijzing – Persoonsgegevens ‒ Bescherming van natuurlijke personen in het kader van de verwerking van deze gegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Richtlijn 95/46/EG – Artikel 25 – Beschikking 2000/520/EG – Doorgifte van persoonsgegevens naar de Verenigde Staten – Evaluatie van de gepastheid of ongepastheid van het beschermingsniveau – Klacht van een natuurlijke persoon wiens gegevens zijn doorgegeven naar een derde land – Nationale toezichthoudende autoriteit – Bevoegdheden”





I –    Inleiding

1.        Zoals de Europese Commissie heeft vastgesteld in haar mededeling van 27 november 2013(2) is „[d]e doorgifte van persoonsgegevens [...] een belangrijk en noodzakelijk onderdeel van het trans-Atlantisch partnerschap. Deze doorgifte maakt een integraal onderdeel uit van de commerciële uitwisselingen over de Atlantische Oceaan heen, ook voor nieuwe, groeiende digitale ondernemingen, zoals sociale media of cloudcomputing, waarbij er grote hoeveelheden gegevens van de [...] Europese Unie naar de [...] Verenigde Staten gaan.”(3)

2.        Beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd(4) heeft betrekking op het handelsverkeer. Deze beschikking voorziet in een rechtsgrondslag voor de doorgifte van persoonsgegevens vanuit de Unie naar in de Verenigde Staten gevestigde ondernemingen die de veiligehavenbeginselen onderschrijven.

3.        Deze beschikking staat thans voor de moeilijke taak om de onophoudelijke gegevensstromen tussen de Unie en de Verenigde Staten mogelijk te maken en tegelijkertijd, zoals het Unierecht eist, voor deze gegevens een hoog beschermingsniveau te waarborgen.

4.        Een aantal onthullingen heeft recent immers het bestaan van Amerikaanse programma’s aan het licht gebracht waarmee op grote schaal informatie wordt verzameld. Deze onthullingen hebben bezorgdheid gewekt over de eerbiediging van de normen van Unierecht bij de doorgifte van persoonsgegevens naar in de Verenigde Staten gevestigde ondernemingen en over de zwakke punten van de veiligehavenregeling.

5.        De onderhavige prejudiciële verwijzing is voor het Hof aanleiding nader te bepalen welke houding de nationale toezichthoudende autoriteiten en de Commissie moeten aannemen wanneer zij worden geconfronteerd met gebreken in de uitvoering van beschikking 2000/520.

6.        Hoofdstuk IV van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(5) bevat regels voor de doorgifte van persoonsgegevens naar derde landen.

7.        In artikel 25, lid 1, van die richtlijn is het beginsel neergelegd dat persoonsgegevens die aan een verwerking worden onderworpen of bestemd zijn om na doorgifte te worden verwerkt, slechts naar een derde land mogen worden doorgegeven indien dat land ten aanzien van die gegevens een passend beschermingsniveau waarborgt.

8.        Omgekeerd dient, zoals de Uniewetgever opmerkt in overweging 57 van die richtlijn, doorgifte van persoonsgegevens naar een derde land te worden verboden indien in dat land geen passend beschermingsniveau wordt geboden.

9.        Volgens artikel 25, lid 2, van richtlijn 95/46 wordt „[h]et passend karakter van het door een derde land geboden beschermingsniveau [...] beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd”.

10.      De Commissie kan krachtens artikel 25, lid 6, van deze richtlijn constateren dat een derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, een passend beschermingsniveau biedt voor persoonsgegevens. Wanneer de Commissie een besluit in die zin neemt, kan de doorgifte van persoonsgegevens naar dat derde land plaatsvinden.

11.      De Commissie heeft ter uitvoering van die bepaling beschikking 2000/520 vastgesteld. Volgens artikel 1, lid 1, van deze beschikking worden de „Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer” die ten uitvoer worden gelegd overeenkomstig de richtsnoeren in de „Vaak gestelde vragen”(6), geacht een passend beschermingsniveau te waarborgen voor de doorgifte van persoonsgegevens vanuit de Unie naar in de Verenigde Staten gevestigde ondernemingen.

12.      Beschikking 2000/520 staat dus toe dat persoonsgegevens vanuit de lidstaten worden doorgegeven naar in de Verenigde Staten gevestigde ondernemingen die zich ertoe hebben verbonden de veiligehavenbeginselen te eerbiedigen.

13.      Beschikking 2000/520 noemt in bijlage I een aantal op vrijwillige basis door de ondernemingen te onderschrijven beginselen waaraan beperkingen en een specifiek controlesysteem zijn verbonden. In 2013 hadden ruim 3 200 ondernemingen deze „gedragscode” onderschreven.

14.      De veiligehavenregeling berust op een combinatie van zelfcertificering en zelftoetsing door particuliere ondernemingen en overheidsingrijpen.

15.      De veiligehavenbeginselen zijn „in samenspraak met het bedrijfsleven en het grote publiek opgesteld om de handel tussen de Verenigde Staten en de [...] Unie te vergemakkelijken. Ze zijn uitsluitend bedoeld om te worden gebruikt door organisaties in de Verenigde Staten die persoonsgegevens uit de [...] Unie ontvangen, om zo in aanmerking te komen voor de veilige haven en de hierdoor geboden veronderstelling van een ,passend beschermingsniveau’.”(7)

16.      De in bijlage I van beschikking 2000/520 opgenomen veiligehavenbeginselen behelzen met name:

–        een verplichting om „particulieren in kennis [te] stellen van de doeleinden waarvoor zij informatie over hen verzamelt en gebruikt, hoe particulieren voor vragen of klachten contact met de organisatie kunnen opnemen, aan welke derden de informatie bekend wordt gemaakt en welke keuzemogelijkheden en middelen de organisatie hen biedt om het gebruik en de bekendmaking van deze informatie te beperken. Deze kennisgeving moet [...] worden gedaan als de betrokkenen voor de eerste keer wordt gevraagd de organisatie persoonlijke informatie te verstrekken of zo spoedig mogelijk daarna, maar in ieder geval voordat de organisatie dergelijke informatie gebruikt voor een ander doel dan waarvoor deze oorspronkelijk is verzameld of door de doorgevende organisatie is verwerkt, of voor de eerste keer aan een derde bekendmaakt”(8);

–        een verplichting voor de organisaties om personen de mogelijkheid te geven te kiezen of hun persoonlijke informatie aan derden bekend zal worden gemaakt of zal worden gebruikt voor een doel dat onverenigbaar is met het (de) doel(en) waarvoor deze informatie oorspronkelijk is verzameld of waarvoor de betrokkene achteraf zijn toestemming heeft gegeven. Wat gevoelige informatie betreft „moet de betrokkene positief of expliciet de mogelijkheid krijgen ervoor te kiezen (toestemming te geven [...]) dat de informatie aan een derde bekend wordt gemaakt of zal worden gebruikt voor een ander doel dan waarvoor deze oorspronkelijk is verzameld of waarvoor de betrokkene achteraf zijn toestemming heeft gegeven”(9);

–        regels betreffende de verdere doorgifte van gegevens. „Wanneer een organisatie informatie bekendmaakt aan een derde, moet zij het kennisgevings- en het keuzebeginsel toepassen”(10);

–        wat de beveiliging van de gegevens betreft, een verplichting voor „[o]rganisaties die persoonlijke informatie verzamelen, bijhouden, gebruiken of verspreiden, [om] [...] redelijke voorzorgsmaatregelen [te] nemen om deze te beschermen tegen verlies, misbruik en ongeoorloofde toegang, bekendmaking, wijziging en vernietiging”(11);

–        wat de integriteit van gegevens betreft, een verplichting voor organisaties om „redelijke stappen [te] ondernemen om ervoor te zorgen dat de gegevens betrouwbaar zijn voor het beoogde gebruik en dat ze correct, volledig en actueel zijn”(12);

–        dat particulieren, in beginsel, „toegang [moeten] hebben tot de persoonlijke informatie die een organisatie over hen in bezit heeft, en deze informatie, voor zover deze onjuist is, kunnen corrigeren, wijzigen of verwijderen”(13);

–        een verplichting om te voorzien in „mechanismen [...] om de naleving van de beginselen te garanderen, alsmede verhaalmogelijkheden voor degenen op wie de gegevens betrekking hebben indien de beginselen niet worden nageleefd, en gevolgen voor een organisatie die zich niet aan de beginselen houdt”.(14)

17.      Amerikaanse organisaties die de veiligehavenbeginselen wensen te onderschrijven zijn gehouden in hun bekendmakingen over hun beleid inzake de bescherming van de persoonlijke levenssfeer te vermelden dat zij deze beginselen onderschrijven, en dienen zichzelf te certificeren door een verklaring af te leggen aan het ministerie van Handel van de Verenigde Staten dat zij deze beginselen onderschrijven en naleven.(15)

18.      Organisaties kunnen zich op verschillende manieren conformeren aan de veiligehavenbeginselen. Zij kunnen bijvoorbeeld „deelne[men] aan een zelfreguleringsprogramma op het gebied van de bescherming van de persoonlijke levenssfeer dat de beginselen naleeft [of] een eigen zelfreguleringsbeleid ter zake [...] ontwikkelen, dat zij met de beginselen in overeenstemming brengen. [...] Bovendien kunnen organisaties waarop wettelijke of bestuursrechtelijke bepalingen met betrekking tot een effectieve bescherming van persoonsgegevens van toepassing zijn, eveneens voor de voordelen van de veilige haven in aanmerking komen.”(16)

19.      Voor het toezicht op de naleving van de veiligehavenbeginselen bestaan verschillende mechanismen die een mengeling vormen van particuliere klachtenprocedures en overheidstoezicht. Het toezicht kan worden uitgeoefend door middel van buitengerechtelijke geschillenbeslechting door een onafhankelijke derde. Organisaties kunnen zich ook ertoe verplichten samen te werken met het panel van gegevensbeschermingsautoriteiten van de Unie. De Federal Trade Commission (hierna: „FTC”) is krachtens section 5 van de Federal Trade Commission Act bevoegd klachten te onderzoeken, het Department of Transportation is daartoe bevoegd krachtens section 41712 in titel 49 van de United States Code.

20.      Volgens de vierde alinea van bijlage I van beschikking 2000/520 kan de naleving van de veiligehavenbeginselen met name worden beperkt door „de eisen van de nationale veiligheid, het algemeen belang en [de] rechtshandhaving” en door „wettelijke of bestuursrechtelijke bepalingen of rechtspraak die tegenstrijdige verplichtingen of uitdrukkelijke machtigingen scheppen, mits een organisatie die van een dergelijke machtiging gebruikmaakt, kan aantonen dat de niet-naleving van de beginselen beperkt is tot de mate die nodig is om de met de machtiging beoogde hogere legitieme belangen te waarborgen”.(17)

21.      Verder is de mogelijkheid waarover de bevoegde autoriteiten van de lidstaten beschikken om gegevensstromen op te schorten onderworpen aan een aantal voorwaarden die zijn opgenomen in artikel 3, lid 1, van beschikking 2000/520.

22.      Het onderhavige prejudiciële verzoek betreft de draagwijdte van beschikking 2000/520 in het licht van de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”) en van de artikelen 25, lid 6, en 28 van richtlijn 95/46. Dit verzoek is gedaan in het kader van een geding tussen M. Schrems en de Data Protection Commissioner over de weigering van laatstgenoemde om een klacht van Schrems te onderzoeken over het feit dat Facebook Ireland Ltd. (hierna: „Facebook Ireland”) persoonsgegevens van zijn abonnees bewaart op servers die zich in de Verenigde Staten bevinden.

23.      Schrems is een Oostenrijker die in Oostenrijk woont. Hij is sinds 2008 geabonneerd op het sociale netwerk Facebook.

24.      Aan alle abonnees van Facebook die op het grondgebied van de Unie wonen wordt gevraagd een overeenkomst te sluiten met Facebook Ireland, een dochtermaatschappij van het in de Verenigde Staten gevestigde Facebook Inc. (hierna: „Facebook USA”). De gegevens van de abonnees van Facebook Ireland die op het grondgebied van de Unie verblijven, worden, geheel of gedeeltelijk, doorgegeven naar en bewaard op servers van Facebook USA die zich op het grondgebied van de Verenigde Staten bevinden.

25.      Schrems heeft op 25 juni 2013 een klacht ingediend bij de Data Protection Commissioner, in wezen erop neerkomend dat het recht en de praktijk van de Verenigde Staten geen werkelijke bescherming bieden tegen staatstoezicht van de gegevens die op het grondgebied van de Verenigde Staten worden bewaard. Dit zou aan het licht zijn gebracht door de onthullingen die Edward Snowden vanaf mei 2013 heeft gedaan over de activiteiten van de Amerikaanse inlichtingendiensten en in het bijzonder de National Security Agency (hierna: „NSA”).

26.      Volgens deze onthullingen beschikt de NSA over een programma met de naam „PRISM” waarmee die dienst vrij toegang heeft tot de enorme hoeveelheid gegevens die zich bevindt op servers in de Verenigde Staten die toebehoren aan of gecontroleerd worden door een hele serie op het gebied van internet en technologie werkzame bedrijven, zoals Facebook.

27.      De Data Protection Commissioner was van mening dat de klacht rechtens ongegrond was en niet nader onderzocht hoefde te worden. Hij vond dat er geen bewijzen waren dat de NSA zich toegang had verschaft tot de gegevens van Schrems. De klacht moest volgens hem ook worden afgewezen omdat de Commissie in beschikking 2000/520 had geconstateerd dat de Verenigde Staten in het kader van de veiligehavenregeling een passend beschermingsniveau waarborgen voor de doorgifte van persoonsgegevens. Omdat iedere vraag betreffende de gepastheid van de bescherming van deze gegevens in de Verenigde Staten in overeenstemming met die beschikking moet worden beantwoord, kon hij het in de klacht opgeworpen probleem niet onderzoeken.

28.      De nationale regeling die de Data Protection Commissioner tot afwijzing van de klacht heeft gebracht is de volgende.

29.      Section 10, lid 1, van de Data Protection Act 1988 (wet op de gegevensbescherming), zoals gewijzigd bij de Data Protection (Amendment) Act 2003, verleent hem de bevoegdheid klachten te onderzoeken; het luidt:

„a)      De Commissioner kan onderzoeken, of laten onderzoeken, of bepalingen van deze wet in relatie tot een bepaalde persoon zijn geschonden of dreigen te worden geschonden, hetzij naar aanleiding van een klacht van die persoon over schending van enige bepaling van deze wet, hetzij omdat de Commissioner anderszins meent dat van een dergelijke schending sprake kan zijn.

b)      Wanneer een persoon krachtens het bepaalde in punt a) van dit lid een klacht bij de Commissioner indient:

i)      onderzoekt de Commissioner de klacht of laat hij de klacht onderzoeken, tenzij hij haar onbelangrijk of onnodig acht, en

ii)      indien hij of zij de betrokken partijen niet binnen een redelijke termijn tot een minnelijke schikking kan bewegen stelt hij of zij de indiener van de klacht schriftelijk in kennis van zijn of haar besluit daarover en vermeldt daarbij dat deze persoon, indien hij zich door dit besluit benadeeld voelt, krachtens section 26 van deze wet binnen 21 dagen na de ontvangst van de kennisgeving beroep in rechte kan instellen.”

30.      In casu achtte de Commissioner de klacht van Schrems „onbelangrijk of onnodig” omdat zij wegens het ontbreken van een rechtsgrond was gedoemd te mislukken. Hij heeft op die grond geweigerd haar te onderzoeken.

31.      Section 11 van de Data Protection Act regelt de doorgifte van persoonsgegevens naar het buitenland. Section 11, lid 2, onder a), bepaalt:

„Wanneer in een procedure op grond van deze wet de vraag rijst

i)      of een land of gebied buiten de Europese Economische Ruimte [(EER)] waarnaar persoonsgegevens worden doorgegeven het passend beschermingsniveau waarborgt zoals dat in lid 1 van dit artikel nader is bepaald, en

ii)      de Unie de gepastheid van het beschermingsniveau voor het betrokken type doorgifte heeft geconstateerd,

wordt over deze vraag beslist in overeenstemming met die constatering.”

32.      Section 11, lid 2, onder b), van de Data Protection Act definieert het begrip constatering van de Unie als volgt:

„In punt a) van dit lid betekent ‚constatering van de Unie’ een constatering die de [...] Commissie, volgens de procedure van artikel 31, lid 2, van richtlijn [95/46], heeft gedaan met betrekking tot lid 4 of 6 van artikel 25 van die richtlijn, teneinde vast te stellen of een land of gebied buiten de [EER] het passend beschermingsniveau waarborgt zoals dat in lid 1 van het onderhavige artikel nader is bepaald.”

33.      De Data Protection Commissioner heeft opgemerkt dat beschikking 2000/520 een „constatering van de Unie” is in de zin van artikel 11, lid 2, onder a), van de Data Protection Act, zodat, krachtens die wet, iedere vraag over de gepastheid van de gegevensbescherming in het derde land waarnaar gegevens worden doorgegeven moet worden beantwoord overeenkomstig die constatering. Aangezien de klacht van Schrems nu juist hierop betrekking had – dat persoonsgegevens werden doorgegeven naar een derde land waar in de praktijk geen passend beschermingsniveau gold – stelde de Commissioner zich op het standpunt dat de aard en het bestaan zelf van beschikking 2000/520 een onderzoek naar die vraag uitsloot.

34.      Schrems heeft bij de High Court of Justice beroep ingesteld tegen het afwijzende besluit van de Commissioner. Deze rechter heeft, na het in het hoofdgeding overgelegde bewijs te hebben onderzocht, vastgesteld dat het langs elektronische weg surveilleren en onderscheppen van persoonsgegevens noodzakelijke en onontbeerlijke doelstellingen van algemeen belang dient, namelijk de handhaving van de nationale veiligheid en het voorkomen van ernstige criminaliteit. De High Court of Justice wijst er in dit verband op dat het surveilleren en onderscheppen van persoonsgegevens die vanuit de Unie naar de Verenigde Staten worden doorgegeven legitieme doeleinden van terrorismebestrijding dient.

35.      Volgens diezelfde rechter hebben de onthullingen van Snowden echter aangetoond dat de NSA en andere vergelijkbare instanties hierin veel te ver gaan. De Foreign Intelligence Surveillance Court (hierna: „FISC”) oefent, in het kader van de Foreign Intelligence Surveillance Act of 1978 (wet van 1978 betreffende het toezicht op buitenlandse inlichtingendiensten)(18), weliswaar enige controle uit, maar de procedure voor die rechter is niet op tegenspraak en vindt bovendien in het geheim plaats. Burgers van de Unie beschikken derhalve, buiten het feit dat beslissingen over de toegang tot persoonsgegevens worden genomen overeenkomstig Amerikaans recht, in feite over geen enkel recht om gehoord te worden over het surveilleren en onderscheppen van hun gegevens.

36.      Uit de overvloedige documentatie bij de in het hoofdgeding afgelegde verklaringen blijkt duidelijk dat de juistheid van een groot deel van de onthullingen van Snowden niet wordt betwist. De High Court of Justice heeft dan ook vastgesteld dat zodra persoonsgegevens naar de Verenigde Staten zijn doorgegeven, de NSA en andere Amerikaanse veiligheidsinstanties zoals de Federal Bureau of Investigation (FBI) deze persoonsgegevens ongedifferentieerd en op grote schaal kunnen surveilleren en onderscheppen.

37.      De High Court of Justice constateert dat in het Ierse recht het belang van de grondwettelijke rechten op eerbiediging van de persoonlijke levenssfeer en onschendbaarheid van de woning vereist dat iedere inmenging in deze rechten berust op de wet en evenredig moet zijn. De ongedifferentieerde toegang tot persoonsgegevens die op grote schaal plaatsvindt voldoet geenszins aan het evenredigheidsvereiste en moet derhalve in strijd met de Ierse grondwet worden geacht.(19)

38.      De High Court of Justice stelt dat het onderscheppen van elektronische communicatie slechts dan grondwettelijk kan worden geacht wanneer wordt aangetoond dat het onderscheppen van bepaalde elektronische communicatie en het surveilleren van bepaalde personen of groepen van personen objectief worden gerechtvaardigd door de belangen van nationale veiligheid en misdaadbestrijding en worden omringd met passende en controleerbare waarborgen.

39.      De High Court of Justice wijst er derhalve op dat, indien de onderhavige zaak uitsluitend zou moeten worden beoordeeld op grond van het Ierse recht, de vraag of de Verenigde Staten „een passend beschermingsniveau waarborgen voor de persoonlijke levenssfeer en de fundamentele rechten en vrijheden” in de zin van artikel 11, lid 1, van de Data Protection Act, een aanzienlijk probleem zou opleveren. Op grond van het Ierse recht, en in het bijzonder de grondwettelijke vereisten ervan, had de Commissioner de klacht van Schrems niet mogen afwijzen, maar die vraag moeten onderzoeken.

40.      De High Court of Justice constateert echter dat de zaak die haar is voorgelegd de tenuitvoerlegging van het Unierecht in de zin van artikel 51, lid 1, van het Handvest betreft, zodat de rechtmatigheid van het besluit van de Commissioner moet worden beoordeeld in het licht van het Unierecht.

41.      Het probleem waarvoor de Commissioner zich gesteld zag is door de High Court of Justice als volgt uitgelegd. Krachtens artikel 11, lid 2, onder a), van de Data Protection Act is de Commissioner gehouden om over de vraag of de bescherming in het derde land passend is te beslissen „in overeenstemming” met een constatering van de Unie die de Commissie overeenkomstig artikel 25, lid 6, van richtlijn 95/46 heeft gedaan. Dit betekent dat de Commissioner niet mag afwijken van een dergelijke constatering. Nu de Commissie in beschikking 2000/520 heeft geconstateerd dat de Verenigde Staten een passend beschermingsniveau waarborgen voor de verwerking van persoonsgegevens door ondernemingen die de veiligehavenbeginselen onderschrijven, moest de Commissioner een klacht over de ongepastheid van die bescherming noodzakelijkerwijs afwijzen.

42.      De High Court of Justice stelt vast dat de Commissioner aldus scrupuleus heeft vastgehouden aan de letter van richtlijn 95/46 en beschikking 2000/520, en is van oordeel dat Schrems in feite veeleer bezwaar maakt tegen de veiligehavenregeling zelf dan tegen de wijze waarop de Commissioner haar heeft toegepast, maar benadrukt dat hij de geldigheid van richtlijn 95/46 en beschikking 2000/520 niet rechtstreeks heeft betwist.

43.      Volgens de High Court of Justice is dus de hoofdvraag of, gelet op het Unierecht en in het bijzonder rekening houdend met de inwerkingtreding van de artikelen 7 en 8 van het Handvest sindsdien, de Commissioner zonder meer is gebonden aan de in beschikking 2000/520 geformuleerde constatering van de Commissie betreffende de gepastheid van de gegevensbescherming in het recht en de praktijk van de Verenigde Staten.

44.      De High Court of Justice preciseert voorts dat, in het bij haar ingestelde beroep, de handelwijze van Facebook Ireland en Facebook USA als zodanig nooit is bestreden. Artikel 3, lid 1, onder b), van beschikking 2000/520, dat de bevoegde nationale autoriteiten in staat stelt ondernemingen te gelasten gegevensstromen naar een derde land op te schorten, is volgens deze rechter slechts van toepassing wanneer de klacht is gericht tegen de handelwijze van de betrokken onderneming, hetgeen in casu niet het geval is.

45.      De High Court of Justice benadrukt derhalve dat het werkelijke bezwaar niet is gericht tegen de handelwijze van Facebook USA als zodanig, maar tegen het feit dat de Commissie heeft geoordeeld dat het recht en de praktijk van de Verenigde Staten een passend niveau van gegevensbescherming waarborgen, terwijl de onthullingen van Snowden duidelijk laten zien dat de Amerikaanse autoriteiten zich op grote schaal en ongedifferentieerd toegang kunnen verschaffen tot persoonsgegevens van de bevolking van de Unie.(20)

46.      De High Court of Justice is op dit punt van oordeel dat het moeilijk is voor te stellen hoe beschikking 2000/520 in de praktijk zou kunnen voldoen aan de eisen van de artikelen 7 en 8 van het Handvest, en al helemaal indien rekening wordt gehouden met de door het Hof in het arrest Digital Rights Ireland e.a.(21) geformuleerde beginselen. In het bijzonder worden de in artikel 7 van het Handvest neergelegde waarborg en de kernwaarden die gemeen zijn aan de constitutionele tradities van de lidstaten geschaad wanneer overheden op aleatoire en algemene wijze toegang kunnen krijgen tot elektronische communicatie zonder dat hiervoor een objectieve rechtvaardiging hoeft te worden aangevoerd die berust op overwegingen van nationale veiligheid of misdaadpreventie specifiek verband houdend met de betrokken personen, en zonder te worden omringd met passende en verifieerbare waarborgen. Omdat het beroep van Schrems suggereert dat beschikking 2000/520 in abstracto onverenigbaar zou kunnen zijn met de artikelen 7 en 8 van het Handvest, zou het Hof kunnen oordelen dat het mogelijk is richtlijn 95/46, en met name artikel 25, lid 6, ervan, en beschikking 2000/520 aldus uit te leggen dat nationale autoriteiten bevoegd zijn een eigen onderzoek in te stellen om vast te stellen of het doorgeven van persoonsgegevens naar een derde land en het aldaar bewaren daarvan in overeenstemming is met de vereisten van de artikelen 7 en 8 van het Handvest.

47.      De High Court of Justice heeft daarop besloten de behandeling van de zaak te schorsen en het Hof de volgende prejudiciële vragen te stellen:

„Wanneer bij een onafhankelijke ambtsdrager aan wie bij de wet de toepassing en de uitvoering van de wetgeving inzake gegevensbescherming is opgedragen, een klacht wordt ingediend dat persoonsgegevens worden doorgegeven aan een derde land (in casu de Verenigde Staten) waarvan het recht en de praktijk volgens de klager de betrokkenen geen passende bescherming bieden, is die ambtsdrager dan absoluut gebonden aan de communautaire bevinding van het tegendeel in beschikking 2000/520, gelet op de artikelen 7, 8 en 47 van het Handvest, niettegenstaande artikel 25, lid 6, van richtlijn 95/46?

Of kan en/of moet de ambtsdrager overgaan tot een eigen onderzoek van de zaak in het licht van de feitelijke ontwikkelingen die zich sinds de eerste bekendmaking van beschikking 2000/520 hebben voorgedaan?”

II – Analyse

48.      Met de twee door de High Court of Justice geformuleerde vragen wordt het Hof verzocht te preciseren over welke bevoegdheden de nationale toezichthoudende autoriteiten beschikken wanneer hen een klacht is voorgelegd over een doorgifte van persoonsgegevens naar een in een derde land gevestigde onderneming, en ter ondersteuning van die klacht wordt aangevoerd dat, hoewel de Commissie krachtens artikel 25, lid 6, van richtlijn 95/46 een beschikking heeft vastgesteld waarin zij de gepastheid van het door dat derde land gewaarborgde beschermingsniveau heeft erkend, dit land geen passend niveau van bescherming van de doorgifte van gegevens waarborgt.

49.      De klacht die Schrems bij de Commissioner heeft ingediend heeft een dubbele dimensie. Schrems betwist de doorgifte van persoonsgegevens van Facebook Ireland aan Facebook USA. Hij wil deze doorgifte laten stopzetten omdat de Verenigde Staten volgens hem geen passend niveau van bescherming van de doorgifte van persoonsgegevens waarborgen in het kader van de veiligehavenregeling. Meer in het bijzonder verwijt hij dit derde land de invoering van het PRISM-programma, dat de NSA vrij toegang geeft tot de enorme hoeveelheid gegevens die op servers in de Verenigde Staten zijn opgeslagen. De klacht betreft dus specifiek de doorgifte van persoonsgegevens van Facebook Ireland aan Facebook USA en stelt meer in het algemeen het in het kader van de veiligehavenregeling gewaarborgde niveau van bescherming van dergelijke gegevens ter discussie.

50.      De Commissioner was van mening dat het bestaan zelf van een beschikking waarin de Commissie erkent dat de Verenigde Staten in het kader van de veiligehavenregeling een passend beschermingsniveau waarborgen een onderzoek van de klacht uitsloot.

51.      De twee vragen, die in wezen ertoe strekken vast te stellen of artikel 28 van richtlijn 95/64, gelezen in het licht van de artikelen 7 en 8 van het Handvest, aldus moet worden uitgelegd dat het bestaan van een door de Commissie overeenkomstig artikel 25, lid 6, van die richtlijn vastgestelde beschikking een nationale toezichthoudende autoriteit belet om een klacht te onderzoeken waarin wordt aangevoerd dat een derde land geen passend niveau van bescherming van de doorgifte van persoonsgegevens waarborgt en, om in voorkomend geval de doorgifte van die gegevens op te schorten, moeten derhalve samen worden onderzocht.

52.      Artikel 7 van het Handvest waarborgt het recht op eerbiediging van het privéleven, terwijl artikel 8 van het Handvest uitdrukkelijk het recht op bescherming van persoonsgegevens vastlegt. De leden 2 en 3 van laatstgenoemd artikel preciseren dat deze gegevens eerlijk moeten worden verwerkt voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet, dat eenieder het recht van inzage heeft in de over hem verzamelde gegevens en op rectificatie daarvan, en dat een onafhankelijke autoriteit erop toeziet dat deze regels worden nageleefd.

A –    Bevoegdheden van de nationale toezichthoudende autoriteiten in het geval van een besluit van de Commissie tot vaststelling van de gepastheid van het beschermingsniveau

53.      Zoals Schrems in zijn opmerkingen aangeeft heeft de klacht in het hoofdgeding met name betrekking op de doorgifte van persoonsgegevens van Facebook Ireland aan Facebook USA in het licht van de algemene toegang die de NSA en andere Amerikaanse veiligheidsdiensten uit hoofde van de hen bij de Amerikaanse wet toegekende bevoegdheden hebben tot de bij Facebook USA opgeslagen gegevens.

54.      Wanneer bij een nationale toezichthoudende autoriteit een klacht is ingediend die de constatering ter discussie stelt dat een derde land voor de doorgifte van gegevens een passend beschermingsniveau waarborgt, kan die autoriteit volgens Schrems, wanneer zij over aanwijzingen beschikt die erop lijken te wijzen dat deze klacht gegrond is, de in de klacht aangewezen onderneming gelasten de doorgifte van gegevens op te schorten.

55.      Gelet op de verplichting van de Commissioner om de grondrechten van Schrems te beschermen stelt deze dat de Commissioner niet enkel de plicht heeft om een onderzoek in te stellen maar ook, wanneer de klacht gegrond is bevonden, om gebruik te maken van zijn bevoegdheid om de gegevensstroom tussen Facebook Ireland en Facebook USA op te schorten.

56.      De Commissioner heeft de klacht echter afgewezen op basis van zijn in de Data Protection Act opgesomde bevoegdheden. Deze conclusie was gebaseerd op zijn standpunt dat hij was gebonden aan beschikking 2000/520.

57.      De onderhavige zaak draait dus om de kwestie of het in beschikking 2000/520 vervatte oordeel van de Commissie over de gepastheid van het beschermingsniveau de nationale gegevensbeschermingsautoriteiten zonder meer bindt en uitsluit dat klachten die deze constatering ter discussie stellen kunnen worden onderzocht. De prejudiciële vragen betreffen dus de omvang van de onderzoeksbevoegdheden van de nationale gegevensbeschermingsautoriteiten wanneer de Commissie een besluit tot vaststelling van de gepastheid van het beschermingsniveau heeft genomen.

58.      Volgens de Commissie is het van belang rekening te houden met de verhouding tussen haar eigen bevoegdheden en die van de nationale gegevensbeschermingsautoriteiten. De bevoegdheden van laatstgenoemden zijn toegespitst op de toepassing van de gegevensbeschermingswetgeving in individuele gevallen, terwijl de Commissie bevoegd is om een algemeen onderzoek in te stellen naar de toepassing van beschikking 2000/520 en om te beslissen over de opschorting of intrekking ervan.

59.      De Commissie betoogt dat Schrems geen specifieke argumenten heeft aangevoerd die erop wijzen dat er ernstige schade voor hem dreigde als gevolg van de doorgifte van gegevens tussen Facebook Ireland en Facebook USA. Integendeel, de door Schrems geuite bezorgdheid over de surveillanceprogramma’s van de Amerikaanse veiligheidsdiensten is net zo abstract en algemeen van aard als die welke voor de Commissie aanleiding waren beschikking 2000/520 opnieuw te onderzoeken.

60.      Volgens de Commissie zouden de nationale toezichthoudende autoriteiten, als zij maatregelen zouden nemen op basis van klachten die uitsluitend zijn gebaseerd op een structurele en abstracte bezorgdheid, inbreuk maken op haar bevoegdheid om opnieuw met de Verenigde Staten te onderhandelen over de voorwaarden van deze beschikking of om de beschikking, zo nodig, op te schorten.

61.      Ik deel het standpunt van de Commissie niet. Het bestaan van een door de Commissie overeenkomstig artikel 25, lid 6, van richtlijn 95/46 vastgestelde beschikking kan mijns inziens de bevoegdheden waarover de nationale toezichthoudende autoriteiten krachtens artikel 28 van die richtlijn beschikken niet tenietdoen en zelfs niet beperken. Anders dan de Commissie stelt belet het feit dat nationale toezichthoudende autoriteiten individuele klachten ontvangen mijns inziens niet dat deze autoriteiten hun eigen mening vormen over het door een derde land gewaarborgde algemene beschermingsniveau en daaruit conclusies trekken voor de beoordeling van individuele gevallen.

62.      Uit vaste rechtspraak van het Hof volgt dat voor de uitlegging van een Unierechtelijke bepaling niet enkel rekening moet worden gehouden met de bewoordingen ervan, maar ook met de context en de doelstellingen die de regeling waarvan zij deel uitmaakt nastreeft.(22)

63.      Uit overweging 62 van richtlijn 95/46 blijkt „dat het voor de bescherming van personen in verband met de verwerking van persoonsgegevens van wezenlijk belang is dat in elke lidstaat onafhankelijke toezichthoudende autoriteiten worden ingesteld”.

64.      Volgens artikel 28, lid 1, eerste alinea, van die richtlijn „[bepaalt] elke lidstaat [...] dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de lidstaten vastgestelde bepalingen”. Artikel 28, lid 1, tweede alinea, van die richtlijn bepaalt dat „[d]eze autoriteiten [...] de hun opgedragen taken in volledige onafhankelijkheid vervullen”.

65.      Artikel 28, lid 3, van richtlijn 95/46 somt de bevoegdheden op waarover elke toezichthoudende autoriteit beschikt, namelijk onderzoeksbevoegdheden, effectieve bevoegdheden om in te grijpen die het mogelijk maken een verwerking voorlopig of definitief te verbieden, en de bevoegdheid om in rechte op te treden in het geval van inbreuken op ter uitvoering van deze richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen.

66.      Artikel 28, lid 4, eerste alinea, van richtlijn 95/46 bepaalt voorts dat „[e]enieder [...] bij elke toezichthoudende autoriteit een verzoek [kan] indienen met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens”. Artikel 28, lid 4, tweede alinea, van die richtlijn preciseert dat „[e]enieder [...] meer bepaald bij elke autoriteit een verzoek [kan] indienen om de rechtmatigheid van een verwerking te verifiëren, wanneer de krachtens artikel 13 van deze richtlijn vastgestelde nationale bepalingen van toepassing zijn”. De lidstaten kunnen overeenkomstig dat laatste artikel wettelijke maatregelen nemen om de reikwijdte van bepaalde in richtlijn 95/46 neergelegde rechten en verplichtingen te beperken, wanneer dit met name noodzakelijk is om redenen van staatsveiligheid, defensie, openbare veiligheid of met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten.

67.      Het Hof heeft er reeds op gewezen dat het vereiste dat een onafhankelijke autoriteit toezicht houdt op de naleving van de Unievoorschriften betreffende de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens, tevens voortvloeit uit primair Unierecht, met name uit artikel 8, lid 3, van het Handvest en artikel 16, lid 2, VWEU.(23) Het heeft er tevens aan herinnerd dat „[d]e instelling van onafhankelijke toezichthoudende autoriteiten in de lidstaten [...] dus van wezenlijk belang [is] voor de eerbiediging van de bescherming van personen bij de verwerking van persoonsgegevens”.(24)

68.      Het Hof heeft eveneens geoordeeld dat „artikel 28, lid 1, tweede alinea, van richtlijn 95/46 in die zin moet worden uitgelegd dat de autoriteiten die belast zijn met het toezicht op de verwerking van persoonsgegevens een onafhankelijkheid moeten genieten die hen in staat stelt om hun taken te vervullen zonder beïnvloeding van buitenaf te ondergaan. Deze onafhankelijkheid sluit met name elk bevel en elke andere – rechtstreekse of indirecte – beïnvloeding van buitenaf uit, in welke vorm ook, die hun beslissingen zou kunnen sturen en aldus de vervulling door deze autoriteiten van hun taak om een juist evenwicht tussen de bescherming van het recht op bescherming van de persoonlijke levenssfeer en het vrije verkeer van persoonsgegevens te vinden, in het gedrang zou kunnen brengen.”(25)

69.      Het Hof heeft voorts gepreciseerd dat „[d]e waarborg van onafhankelijkheid van de nationale toezichthoudende autoriteiten beoogt de doeltreffendheid en de betrouwbaarheid van het toezicht op de naleving van de bepalingen inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens te verzekeren”.(26) Deze waarborg is ingesteld „om een grotere bescherming te bieden aan de personen en organen die door [de] beslissingen [van deze nationale toezichthoudende autoriteiten] worden getroffen”.(27)

70.      Zoals met name blijkt uit overweging 10 en artikel 1 van richtlijn 95/46 heeft deze richtlijn tot doel in de Unie „een hoog niveau van bescherming van de fundamentele rechten en vrijheden bij de verwerking van persoonsgegevens te waarborgen”.(28) Volgens het Hof „[zijn] de toezichthoudende autoriteiten [...] dus de hoeders van deze fundamentele rechten en vrijheden”.(29)

71.      Gezien het belang van de rol die de nationale toezichthoudende autoriteiten spelen bij de bescherming van de persoonsgegevens van natuurlijke personen, moeten hun bevoegdheden om in te grijpen in stand blijven, zelfs wanneer de Commissie een beschikking krachtens artikel 25, lid 6, van richtlijn 95/46 heeft vastgesteld.

72.      Ik merk in dit verband op dat niets erop wijst dat de regelingen betreffende de doorgifte van persoonsgegevens naar derde landen buiten de materiële werkingssfeer zouden vallen van artikel 8, lid 3, van het Handvest dat, op het allerhoogste niveau van de normenhiërarchie in het recht van de Unie, het belang erkent van het toezicht door een onafhankelijke autoriteit op de eerbiediging van de regels betreffende de bescherming van persoonsgegevens.

73.      Als de nationale toezichthoudende autoriteiten zonder meer zouden zijn gebonden aan de besluiten van de Commissie zou dat hun volledige onafhankelijkheid onvermijdelijk beperken. Zij moeten, als hoeders van fundamentele rechten, in alle onafhankelijkheid de bij hen ingediende klachten kunnen onderzoeken, in het belang van de bescherming van particulieren bij de verwerking van persoonsgegevens.

74.      Bovendien bestaat er, zoals de Belgische regering en het Europees Parlement ter terechtzitting terecht hebben opgemerkt, geen enkel hiërarchisch verband tussen hoofdstuk IV van richtlijn 95/46, dat de doorgifte van persoonsgegevens naar derde landen betreft, en hoofdstuk VI ervan, dat met name is gewijd aan de rol van de nationale toezichthoudende autoriteiten. Niets in dat hoofdstuk VI suggereert dat de bepalingen betreffende de nationale toezichthoudende autoriteiten op enigerlei wijze ondergeschikt zouden zijn aan de doorgiftebepalingen van hoofdstuk IV van richtlijn 95/46.

75.      Integendeel, uit het in hoofdstuk IV opgenomen artikel 25, lid 1, van deze richtlijn blijkt uitdrukkelijk dat de doorgifte van persoonsgegevens naar een derde land dat een passend beschermingsniveau waarborgt, slechts is toegestaan wanneer de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn worden geëerbiedigd.

76.      Krachtens die bepaling moeten de lidstaten immers in hun nationale wetgeving bepalen dat persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte te worden verwerkt, slechts naar een derde land mogen worden doorgegeven indien, onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van richtlijn 95/46, dat land een passend beschermingsniveau waarborgt.

77.      Volgens artikel 28, lid 1, van die richtlijn zijn de nationale toezichthoudende autoriteiten belast met het toezicht op de toepassing op hun grondgebied van de ter uitvoering van deze richtlijn door hun lidstaat vastgestelde bepalingen.

78.      Worden deze twee bepalingen naast elkaar gelegd, dringt de opvatting zich op dat de regel van artikel 25, lid 1, dat de doorgifte van persoonsgegevens slechts kan plaatsvinden wanneer het ontvangende derde land een passend beschermingsniveau waarborgt, deel uitmaakt van de regels waarop de nationale toezichthoudende autoriteiten toezicht moeten houden.

79.      De bevoegdheid van de nationale toezichthoudende autoriteiten om klachten die hen uit hoofde van artikel 28 van richtlijn 95/46 zijn voorgelegd in volledige onafhankelijkheid te onderzoeken moet, overeenkomstig artikel 8, lid 3, van het Handvest, ruim worden uitgelegd. Die bevoegdheid kan derhalve niet worden beperkt door de bevoegdheid om te constateren dat een derde land een passend beschermingsniveau waarborgt, die de Uniewetgever in artikel 25, lid 6, van die richtlijn aan de Commissie heeft verleend.

80.      Gezien hun essentiële rol in de bescherming van persoonsgegevens moeten de nationale toezichthoudende autoriteiten een onderzoek kunnen instellen wanneer bij hen een klacht is ingediend die het door een derde land gewaarborgde beschermingsniveau ter discussie stelt, zelfs wanneer de Commissie krachtens artikel 25, lid 6, van richtlijn 95/46 een beschikking heeft vastgesteld waarin zij constateert dat het derde land in kwestie een passend beschermingsniveau waarborgt.

81.      Als een nationale toezichthoudende autoriteit naar aanleiding van een onderzoek dat zij heeft uitgevoerd meent dat de betwiste doorgifte van gegevens afbreuk doet aan de bescherming die de burgers van de Unie behoren te genieten bij de verwerking van hun gegevens, heeft zij de bevoegdheid die doorgifte op te schorten, ongeacht de algemene evaluatie die de Commissie in haar beschikking heeft gemaakt.

82.      Het staat immers vast dat, volgens artikel 25, lid 2, van richtlijn 95/46, de gepastheid van het door een derde land geboden beschermingsniveau wordt beoordeeld met inachtneming van een geheel van feitelijke en juridische omstandigheden. Als een van die omstandigheden verandert en de gepastheid van het door een derde land geboden beschermingsniveau in twijfel lijkt te trekken, moet de nationale toezichthoudende autoriteit waarbij een klacht is ingediend daaraan consequenties kunnen verbinden voor de betwiste doorgifte.

83.      Uiteraard is de Commissioner, zoals Ierland heeft opgemerkt, net als andere overheidsautoriteiten gebonden aan beschikking 2000/520. Uit artikel 288, vierde alinea, VWEU volgt immers dat een besluit dat door een instelling van de Unie is genomen verbindend is in al zijn onderdelen. Beschikking 2000/520 bindt dus de lidstaten tot wie zij is gericht.

84.      Ik merk in dit verband op dat beschikking 2000/520 zelf in artikel 5 bepaalt dat „[d]e lidstaten [...] alle nodige maatregelen [nemen] om uiterlijk negentig dagen na de kennisgeving ervan aan de lidstaten aan deze beschikking te voldoen”. Artikel 6 van deze beschikking bevestigd voorts dat „[zij] is gericht tot de lidstaten”.

85.      Ik ben echter van mening dat, gelet op de hiervoor vermelde bepalingen van richtlijn 95/46 en het Handvest, beschikking 2000/520 de Commissioner niet in die mate bindt dat hij klachten waarin wordt aangevoerd dat een doorgifte van persoonsgegevens naar de Verenigde Staten in het kader van deze beschikking niet is omgeven met de noodzakelijke beschermingswaarborgen die het Unierecht vereist, in het geheel niet mag onderzoeken. Anders gezegd, hij wordt niet gedwongen iedere klacht van deze soort zonder meer, dus onmiddellijk en zonder onderzoek naar de gegrondheid ervan, af te wijzen.

86.      Bovendien blijkt uit de opzet van artikel 25 van richtlijn 95/46 dat zowel de lidstaten als de Commissie kunnen constateren dat een derde land al dan niet een passend niveau van bescherming waarborgt. Het betreft dus een gedeelde bevoegdheid.

87.      Uit artikel 25, lid 6, van deze richtlijn volgt dat wanneer de Commissie constateert dat een derde land een passend niveau van bescherming waarborgt in de zin van artikel 25, lid 2, van die richtlijn, de lidstaten de nodige maatregelen moeten nemen om zich naar het besluit van de Commissie te voegen.

88.      Aangezien een dergelijk besluit de doorgifte van persoonsgegevens naar een derde land dat volgens de Commissie een gepast niveau van bescherming biedt mogelijk maakt, moeten de lidstaten dus, in beginsel, toestaan dat de op hun grondgebied gevestigde ondernemingen tot een dergelijke doorgifte overgaan.

89.      Artikel 25 van richtlijn 95/46 kent de Commissie echter geen exclusieve bevoegdheid toe om te constateren of het niveau van bescherming van doorgegeven persoonsgegevens al dan niet passend is. De opzet van dit artikel getuigt ervan dat de lidstaten hierbij ook een rol spelen. Een besluit van de Commissie speelt weliswaar een belangrijke rol bij de uniformering van de doorgiftevoorwaarden in de lidstaten, maar deze uniformering kan slechts voortduren zolang die constatering niet ter discussie wordt gesteld.

90.      Het argument dat het noodzakelijk is de voorwaarden voor de doorgifte van persoonsgegevens naar een derde land te uniformeren vindt mijns inziens zijn grens in een situatie als in het hoofdgeding, waarin de Commissie er niet alleen van in kennis is gesteld dat haar constatering aan kritiek onderhevig is, maar waarin zij zelf ook dergelijke kritiek heeft geleverd en onderhandelingen voert om die kritiek te verhelpen.

91.      De beoordeling van de gepastheid of ongepastheid van het beschermingsniveau dat een derde land biedt kan ook aanleiding geven tot samenwerking tussen de lidstaten en de Commissie. Artikel 25, lid 3, van richtlijn 95/46 bepaalt in dit verband dat „[d]e lidstaten en de Commissie [...] elkaar op de hoogte [brengen] van de gevallen waarin, naar hun oordeel, een derde land geen waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt”. Dit maakt, zoals het Parlement opmerkt, duidelijk dat de lidstaten en de Commissie een gelijke rol hebben te spelen bij het opsporen van gevallen waarin een derde land geen passend beschermingsniveau waarborgt.

92.      Het besluit tot vaststelling van de gepastheid van het beschermingsniveau strekt ertoe de doorgifte van persoonsgegevens naar het betrokken derde land toe te staan. Dat betekent niet dat de burgers van de Unie geen verzoek tot bescherming van hun persoonsgegevens meer kunnen voorleggen aan de toezichthoudende autoriteiten. Ik merk in dit verband op dat artikel 28, lid 4, eerste alinea, van richtlijn 95/46, dat bepaalt dat „[e]enieder [...] bij elke toezichthoudende autoriteit een verzoek [kan] indienen met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens”, niet voorziet in een uitzondering op dit beginsel voor het geval er sprake is van een besluit dat de Commissie krachtens artikel 25, lid 6, van deze richtlijn heeft vastgesteld.

93.      Een besluit dat de Commissie neemt uit hoofde van de uitvoeringsbevoegdheden die haar bij die laatste bepaling zijn toegekend, heeft tot gevolg dat de doorgifte van persoonsgegevens naar een derde land wordt toegestaan, maar mag anderzijds niet tot gevolg hebben dat aan de lidstaten, en met name aan hun toezichthoudende autoriteiten, elke bevoegdheid wordt ontnomen of dat hun bevoegdheden ook maar worden ingeperkt zodra zij worden geconfronteerd met klachten over de schending van fundamentele rechten.

94.      Een nationale toezichthoudende autoriteit moet de in artikel 28, lid 3, van richtlijn 95/46 neergelegde bevoegdheden, waaronder de bevoegdheid om een verwerking van persoonsgegevens voorlopig of definitief te verbieden, kunnen uitoefenen. Hoewel de opsomming van bevoegdheden in die bepaling niet uitdrukkelijk voorziet in een bevoegdheid inzake de doorgifte van gegevens vanuit een lidstaat naar een derde land, moet een dergelijke doorgifte mijns inziens worden beschouwd als een verwerking van gegevens.(30) Uit de bewoordingen van die bepaling blijkt bovendien dat de opsomming niet uitputtend is. Hoe dan ook, gezien de essentiële rol die de nationale toezichthoudende autoriteiten spelen in het door richtlijn 95/46 ingevoerde stelsel, behoren zij te beschikken over de bevoegdheid om een doorgifte van gegevens op te schorten wanneer er sprake is van daadwerkelijke schending of van een risico van schending van fundamentele rechten.

95.      Als de nationale toezichthoudende autoriteiten in omstandigheden als in de onderhavige zaak hun onderzoeksbevoegdheid niet konden uitoefenen, zou dat niet alleen in strijd zijn met het onafhankelijkheidsbeginsel, maar ook met de doelstelling van richtlijn 95/46 zoals die blijkt uit artikel 1, lid 1, ervan.

96.      Het Hof heeft erop gewezen dat „[u]it de punten 3, 8 en 10 van de considerans van richtlijn 95/46 blijkt dat de wetgever van de Unie het vrije verkeer van persoonsgegevens heeft willen vergemakkelijken door de wetgevingen van de lidstaten onderling aan te passen, waarbij echter de grondrechten van personen, en met name het recht op bescherming van een persoonlijke levenssfeer, moeten worden beschermd en een hoog beschermingsniveau in de Unie moet worden gewaarborgd. Artikel 1 van deze richtlijn bepaalt aldus dat de lidstaten in verband met de verwerking van persoonsgegevens de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, en met name hun persoonlijke levenssfeer, dienen te waarborgen.”(31)

97.      De bepalingen van richtlijn 95/46 moeten dus worden uitgelegd overeenkomstig haar doelstelling om bij de verwerking van persoonsgegevens binnen de Unie een hoog beschermingsniveau van de fundamentele rechten en vrijheden van natuurlijke personen te waarborgen, en met name van hun recht op privéleven.

98.      Het belang van deze doelstelling en van de rol die de lidstaten moeten spelen om haar te verwezenlijken brengt met zich dat wanneer bij de doorgifte van persoonsgegevens naar een derde land bijzondere omstandigheden aanleiding geven tot gerede twijfel aan de eerbiediging van de door het Handvest gewaarborgde fundamentele rechten, de lidstaten, en daarbinnen dus de nationale toezichthoudende autoriteiten, niet absoluut gebonden kunnen zijn aan een besluit van de Commissie tot vaststelling van de gepastheid van het beschermingsniveau.

99.      Het Hof heeft reeds geoordeeld dat „richtlijn 95/46, doordat zij een regeling treft in verband met de verwerking van persoonsgegevens die afbreuk kan doen aan de fundamentele vrijheden, en inzonderheid aan het recht op privéleven, noodzakelijkerwijs moet worden uitgelegd op basis van de grondrechten, die volgens vaste rechtspraak integrerend deel uitmaken van de algemene rechtsbeginselen waarvan het Hof de eerbiediging verzekert, en die thans in het Handvest zijn opgenomen”.(32)

100. Ik refereer voorts aan de rechtspraak volgens welke „de lidstaten niet alleen hun nationale recht conform het Unierecht moeten uitleggen, maar er ook op moeten toezien dat zij zich niet baseren op een uitlegging van een tekst van afgeleid recht die in conflict zou komen met de door de rechtsorde van de Unie beschermde grondrechten of met de andere algemene beginselen van Unierecht”.(33)

101. Zo heeft het Hof in het arrest N. S. e.a.(34) geoordeeld dat „de toepassing van verordening [(EG)] nr. 343/2003[(35)] op basis van een onweerlegbaar vermoeden dat de grondrechten van de asielzoeker in de lidstaat die normaal gesproken bevoegd is om zijn asielverzoek te behandelen worden geëerbiedigd, onverenigbaar is met de verplichting van de lidstaten om verordening nr. 343/2003 conform de grondrechten uit te leggen en toe te passen”.(36)

102. Het Hof heeft in dit verband aanvaard dat, in de context waarin de lidstaten elkaar beschouwen als veilige landen van oorsprong voor juridische en praktische vraagstukken in verband met het recht op asiel, moet worden aangenomen dat de behandeling van asielzoekers in elke lidstaat in overeenstemming is met de eisen van het Handvest, met het op 28 juli 1951 te Genève ondertekende Verdrag betreffende de status van vluchtelingen(37), en met het op 4 november 1950 te Rome ondertekende Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.(38) Het Hof heeft echter geoordeeld dat „[t]och [...] niet [kan] worden uitgesloten dat de werking van dit stelsel in de praktijk in een bepaalde lidstaat grote moeilijkheden ondervindt, zodat een ernstig risico bestaat dat asielzoekers, wanneer zij aan deze lidstaat worden overgedragen, worden behandeld op een wijze die hun grondrechten schendt”(39).

103. Bijgevolg heeft het Hof geoordeeld „dat het aan de lidstaten, daaronder begrepen de nationale rechterlijke instanties, staat een asielzoeker niet aan de ‚verantwoordelijke lidstaat’ in de zin van verordening nr. 343/2003 over te dragen wanneer zij niet onkundig kunnen zijn van het feit dat de fundamentele tekortkomingen van de asielprocedure en de opvangvoorzieningen voor asielzoekers in deze lidstaat ernstige, op feiten berustende gronden vormen om aan te nemen dat de asielzoeker een reëel risico zal lopen op onmenselijke of vernederende behandelingen in de zin van artikel 4 van het Handvest”.(40)

104. De uitspraak in het arrest N. S. e.a.(41) kan mijns inziens bij uitbreiding worden toegepast op een situatie als in het hoofdgeding. Een uitlegging van een tekst van afgeleid recht van de Unie die zou berusten op een onweerlegbaar vermoeden dat de fundamentele rechten worden geëerbiedigd ‒ of dat nu is door een lidstaat, de Commissie of een derde land ‒ moet onverenigbaar worden geacht met de verplichting van de lidstaten om het afgeleide recht van de Unie overeenkomstig de fundamentele rechten uit te leggen en toe te passen. Artikel 25, lid 6, van richtlijn 95/46 legt derhalve, wat de beoordeling door de Commissie betreft van de gepastheid van het beschermingsniveau dat een derde land biedt, niet een dergelijk onweerlegbaar vermoeden van eerbiediging van de fundamentele rechten op. Integendeel, het vermoeden dat aan deze bepaling ten grondslag ligt – dat de doorgifte van gegevens naar een derde land de fundamentele rechten eerbiedigt – moet weerlegbaar worden geacht.(42) Deze bepaling moet derhalve niet aldus worden uitgelegd dat zij afbreuk doet aan de met name in artikel 28, lid 3, van die richtlijn en in artikel 8, lid 3, van het Handvest opgenomen garanties inzake de bescherming en eerbiediging van het recht op bescherming van persoonsgegevens.

105. Ik leid derhalve uit dit arrest af dat wanneer in het derde land waarnaar persoonsgegevens worden doorgegeven systemische tekortkomingen worden geconstateerd, de lidstaten de noodzakelijke maatregelen moeten kunnen nemen om de door de artikelen 7 en 8 van het Handvest beschermde fundamentele rechten veilig te stellen.

106. Bovendien mag, zoals de Italiaanse regering in haar opmerkingen stelt, een besluit van de Commissie tot vaststelling van de gepastheid van het beschermingsniveau niet tot gevolg hebben dat wanneer persoonsgegevens worden doorgegeven naar een derde land de bescherming van de burgers van de Unie bij de verwerking van die gegevens wordt beperkt ten opzichte van het beschermingsniveau dat die burgers zouden genieten wanneer hun gegevens binnen de Unie zouden worden verwerkt. Bijgevolg moeten de nationale toezichthoudende autoriteiten kunnen ingrijpen en hun bevoegdheden met betrekking tot de doorgifte van gegevens naar derde landen waarvoor een besluit tot vaststelling van de gepastheid van het beschermingsniveau geldt kunnen uitoefenen, anders zouden de burgers van de Unie minder goed zijn beschermd dan wanneer hun gegevens binnen de Unie worden verwerkt.

107. Een besluit dat de Commissie overeenkomstig artikel 25, lid 6, van richtlijn 95/46 vaststelt doorbreekt derhalve slechts het algemene verbod op uitvoer van gegevens naar derde landen die geen beschermingsniveau waarborgen dat vergelijkbaar is met dat waarin deze richtlijn voorziet. Anders gezegd, er wordt geen bijzondere uitzonderingsregeling gecreëerd die de burgers van de Unie minder bescherming zou bieden dan de algemene regeling waarin de richtlijn voorziet voor de verwerking van gegevens binnen de Unie.

108. Het Hof heeft er weliswaar in punt 63 van het arrest Lindqvist(43) op gewezen dat „[h]oofdstuk IV van richtlijn 95/46, waarin artikel 25 is opgenomen, [...] een bijzondere regeling [invoert]”, maar dat betekent naar mijn mening niet dat een dergelijke regeling minder bescherming moet bieden. Om het doel te verwezenlijken dat is vastgelegd in artikel 1, lid 1, van richtlijn 95/46, legt artikel 25 de lidstaten en de Commissie juist een serie verplichtingen op(44) en formuleert het beginsel dat de doorgifte van persoonsgegevens naar een derde land dient te worden verboden indien daar geen passend beschermingsniveau wordt geboden(45).

109. Wat meer in het bijzonder de veiligehavenregeling betreft is volgens de Commissie de tussenkomst van de nationale toezichthoudende autoriteiten en de opschorting van gegevensstromen door deze autoriteiten slechts mogelijk binnen het in artikel 3, lid 1, onder b), van beschikking 2000/520 beschreven kader.

110. Volgens overweging 8 van deze beschikking „[moet] [t]er wille van de doorzichtigheid en teneinde te garanderen dat de bevoegde autoriteiten in de lidstaten de personen wier persoonsgegevens worden verwerkt kunnen beschermen, [...] worden aangegeven in welke buitengewone omstandigheden het gerechtvaardigd is specifieke gegevensstromen op te schorten, ook al is een passend beschermingsniveau vastgesteld”.

111. In de onderhavige zaak is met name gediscussieerd over de toepassing van artikel 3, lid 1, onder b), van beschikking 2000/520. Krachtens deze bepaling kunnen de nationale toezichthoudende autoriteiten beslissen gegevensstromen op te schorten wanneer „het zeer waarschijnlijk is dat de beginselen worden geschonden; er redelijkerwijs kan worden aangenomen dat het desbetreffende handhavingsmechanisme niet tijdig passende maatregelen neemt of zal nemen om het betrokken probleem op te lossen; zich een risico voordoet dat de betrokkenen ernstige schade wordt toegebracht wanneer verder gegevens worden doorgegeven; en de bevoegde autoriteiten in de lidstaat zich naar omstandigheden redelijke inspanningen hebben getroost om de organisatie van het probleem in kennis te stellen en de gelegenheid te geven te reageren”.

112. Deze bepaling stelt een aantal voorwaarden die tijdens de onderhavige procedure door de partijen verschillend zijn uitgelegd.(46) Zonder over deze opvattingen in detail te treden blijkt er wel uit dat de bevoegdheid van de nationale toezichthoudende autoriteiten om gegevensstromen op te schorten strikt is afgebakend.

113. In tegenstelling tot hetgeen de Commissie betoogt moet artikel 3, lid 1, onder b), van beschikking 2000/520 worden uitgelegd in overeenstemming met de doelstelling van bescherming van persoonsgegevens die richtlijn 95/46 nastreeft, en mede in het licht van artikel 8 van het Handvest. De eis van een grondrechtenconforme uitlegging pleit voor een ruime opvatting van deze bepaling.

114. Daaruit volgt dat de voorwaarden die in artikel 3, lid 1, onder b), van richtlijn 2000/520 zijn gesteld een nationale toezichthoudende autoriteit mijns inziens niet mogen beletten om de bevoegdheden die haar bij artikel 28, lid 3, van richtlijn 95/46 zijn toegekend in alle onafhankelijkheid uit te oefenen.

115. Zoals de Belgische en de Oostenrijkse regering ter terechtzitting hebben aangegeven is de nooduitgang die artikel 3, lid 1, onder b), van beschikking 2000/520 biedt zo smal dat het moeilijk is er gebruik van te maken. Deze nooduitgang eist cumulatieve criteria en legt de lat te hoog. In het licht van artikel 8, lid 3, van het Handvest is het immers onmogelijk dat de speelruimte van de nationale toezichthoudende autoriteiten met betrekking tot de uit artikel 28, lid 3, van richtlijn 95/46 voortvloeiende bevoegdheden zodanig zou worden beperkt dat die bevoegdheden niet meer zouden kunnen worden uitgeoefend.

116. Het Parlement heeft in dit verband terecht opgemerkt dat het de Uniewetgever is die heeft beslist welke bevoegdheden aan de nationale toezichthoudende autoriteiten moesten toekomen. De uitvoeringsbevoegdheid die de Uniewetgever in artikel 25, lid 6, van richtlijn 95/46 aan de Commissie heeft toegekend tast de bevoegdheden die door diezelfde Uniewetgever in artikel 28, lid 3, van die richtlijn zijn toegekend aan de nationale toezichthoudende autoriteiten niet aan. Anders gezegd, de Commissie kan de bevoegdheden van de nationale toezichthoudende autoriteiten niet inperken.

117. Derhalve moeten de nationale toezichthoudende autoriteiten, om een passende bescherming van de fundamentele rechten van natuurlijke personen bij de verwerking van persoonsgegevens te waarborgen, een onderzoek kunnen instellen wanneer wordt aangevoerd dat deze rechten worden geschonden. Als deze autoriteiten naar aanleiding van een dergelijk onderzoek van mening zijn dat in een derde land waarvoor een besluit tot vaststelling van de gepastheid van het beschermingsniveau geldt, ernstige aanwijzingen bestaan dat er afbreuk wordt gedaan aan het recht van de burgers van de Unie op bescherming van hun persoonsgegevens, moeten zij de doorgifte van gegevens naar de in dat derde land gevestigde ontvanger ervan kunnen opschorten.

118. Anders gezegd, de nationale toezichthoudende autoriteiten moeten hun onderzoek onafhankelijk van de in artikel 3, lid 1, onder b), van richtlijn 2000/520 gestelde beperkende voorwaarden kunnen uitvoeren en in voorkomend geval een doorgifte van gegevens kunnen opschorten.

119. Krachtens hun in artikel 28, lid 3, van richtlijn 95/46 vervatte bevoegdheid om in rechte op te treden in het geval van inbreuken op ter uitvoering van richtlijn 95/46 vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen, moeten de nationale toezichthoudende autoriteiten, wanneer zij kennis dragen van feiten waaruit blijkt dat een derde land geen passend beschermingsniveau waarborgt, zich tot een nationale rechter kunnen wenden die, in voorkomend geval, het Hof om een prejudiciële beslissing kan verzoeken over de geldigheid van een besluit van de Commissie tot vaststelling van de gepastheid van het beschermingsniveau.

120. Uit het voorgaande volgt dat artikel 28 van richtlijn 95/46, gelezen in het licht van de artikelen 7 en 8 van het Handvest, aldus moet worden uitgelegd dat een besluit dat de Commissie krachtens artikel 25, lid 6, van die richtlijn heeft vastgesteld de nationale toezichthoudende autoriteiten niet belet om een klacht te onderzoeken waarin wordt aangevoerd dat een derde land geen passend niveau van bescherming van persoonsgegevens waarborgt, en om in voorkomend geval de doorgifte van deze gegevens op te schorten.

121. Hoewel de High Court of Justice in zijn verwijzingsbeslissing benadrukt dat Schrems in het beroep in het hoofdgeding noch de geldigheid van richtlijn 95/46, noch die van beschikking 2000/520 formeel betwist, blijkt uit die verwijzingsbeslissing dat Schrems met zijn kritiek vooral beoogt de constatering ter discussie te stellen dat de Verenigde Staten in het kader van de veiligehavenregeling een passend beschermingsniveau voor de doorgifte gegevens waarborgt.

122. Ook uit de opmerkingen van de Commissioner blijkt dat Schrems met zijn klacht beoogt beschikking 2000/520 rechtstreeks ter discussie te stellen. Met deze klacht wil Schrems de letter en het functioneren van de veiligehavenregeling als zodanig aanvechten, omdat het op grote schaal surveilleren van naar de Verenigde Staten doorgegeven persoonsgegevens zou aantonen dat deze gegevens in het geldende recht en de praktijk van dit derde land niet werkelijk worden beschermd.

123. Bovendien merkt de verwijzende rechter zelf op dat de waarborg die wordt geboden door artikel 7 van het Handvest en de kernwaarden die gemeen zijn aan de constitutionele tradities van de lidstaten zou worden geschaad wanneer overheden op aleatoire en algemene wijze toegang konden krijgen tot elektronische communicatie zonder dat hiervoor een objectieve rechtvaardiging hoeft te worden aangevoerd die berust op overwegingen van nationale veiligheid of misdaadpreventie specifiek verband houdend met de betrokken personen, en zonder te worden omringd met passende en verifieerbare waarborgen.(47) De verwijzende rechter uit aldus indirect twijfel over de geldigheid van beschikking 2000/520.

124. De beoordeling van de vraag of de Verenigde Staten in het kader van de veiligehavenregeling een passend beschermingsniveau waarborgen voor de doorgifte van persoonsgegevens leidt dus noodzakelijkerwijs tot een beoordeling van de geldigheid van deze beschikking.

125. In dit verband moet worden opgemerkt dat het Hof er, in het kader van het bij artikel 267 VWEU ingestelde instrument van samenwerking tussen het Hof en de nationale gerechten, in bepaalde bijzondere omstandigheden toe kan worden gebracht de geldigheid van bepalingen van afgeleid recht te onderzoeken, ook indien uitsluitend een prejudiciële vraag over de uitlegging van het Unierecht is gesteld.

126. Zo heeft het Hof meermaals handelingen die het enkel diende uit te leggen, ambtshalve ongeldig verklaard.(48) Het heeft eveneens geoordeeld dat „[w]anneer blijkt dat de door een rechterlijke instantie voorgelegde vragen eerder behoren tot het onderzoek van de geldigheid dan van de interpretatie van [Unie]handelingen, [...] het de taak van het Hof [is] bedoelde rechter rechtstreeks van voorlichting te dienen zonder hem eerst te noodzaken zijn toevlucht te nemen tot zuiver dilatoire formaliteiten welke met de eigen aard der in artikel [267 VWEU] geregelde procedures onverenigbaar zijn”.(49) Het Hof heeft voorts reeds geoordeeld dat twijfel die een verwijzende rechter had geuit aan de verenigbaarheid van een handeling van afgeleid recht met de regels inzake de grondrechtenbescherming, de Unierechtelijke geldigheid van deze handeling aan de orde stelde.(50)

127. Ik herinner er tevens aan dat uit de rechtspraak van het Hof volgt dat het vermoeden van rechtsgeldigheid van de handelingen van instellingen, organen en organisaties van de Unie inhoudt dat zij rechtsgevolgen in het leven roepen zolang zij niet zijn ingetrokken, in het kader van een beroep tot nietigverklaring nietig zijn verklaard of ten gevolge van een prejudiciële verwijzing of een exceptie van onwettigheid ongeldig zijn verklaard. Alleen het Hof is bevoegd tot ongeldigverklaring van een handeling van de Unie, een bevoegdheid die ertoe strekt de rechtszekerheid te waarborgen door uniforme toepassing van het Unierecht. Bij gebreke van ongeldigverklaring, wijziging of intrekking door de bevoegde Unie-instellingen blijft het besluit volledig en rechtstreeks toepasselijk in elke lidstaat.(51)

128. Ik ben van mening dat het Hof de geldigheid van beschikking 2000/520 moet toetsen om de verwijzende rechter te voorzien van een volledig antwoord en om de in de loop van deze procedure geuite twijfels over de geldigheid van deze beschikking weg te nemen.

129. Ik wil hier nog bij aantekenen dat de toetsing van de geldigheid van beschikking 2000/520 beperkt moet blijven tot de grieven die in het kader van de onderhavige procedure onderwerp van discussie zijn geweest. Niet over alle aspecten van de werking van de veiligehavenregeling is in dit kader immers gediscussieerd, wat het mijns inziens onmogelijk maakt om hier tot een uitputtend onderzoek van de tekortkomingen van die regeling over te gaan.

130. De vraag of de algemene en niet-gerichte toegang van de Amerikaanse inlichtingendiensten tot doorgegeven gegevens de rechtmatigheid van beschikking 2000/520 kan aantasten is in het kader van deze procedure onderwerp geweest van discussie. De geldigheid van deze beschikking kan derhalve vanuit die invalshoek worden beoordeeld.

B –    Geldigheid van beschikking 2000/520

1.      Elementen voor de beoordeling van de geldigheid van beschikking 2000/520

131. Ik herinner aan de rechtspraak volgens welke „in het kader van een beroep tot nietigverklaring de wettigheid van een handeling moet worden beoordeeld aan de hand van de feiten en het recht op de datum waarop die handeling werd vastgesteld, omdat de beoordeling van de Commissie slechts kan worden veroordeeld wanneer deze beoordeling in het licht van de elementen waarover zij op het moment van vaststelling van de betrokken handeling beschikte kennelijk onjuist lijkt”.(52)

132. Het Hof heeft in het arrest Gaz de France – Berliner Investissement(53) herinnerd aan het beginsel dat „bij de beoordeling van de geldigheid van een handeling die het Hof in het kader van een prejudiciële verwijzing moet verrichten, normaliter moet worden uitgegaan van de situatie op het tijdstip van de vaststelling van deze handeling”.(54) Het lijkt echter te hebben aanvaard dat „de geldigheid van een handeling in sommige gevallen kan worden beoordeeld op basis van nieuwe elementen die na de vaststelling ervan zijn ingetreden”.(55)

133. Deze door het Hof geschetste opening lijkt mij in het kader van de onderhavige zaak zeer relevant.

134. De door de Commissie krachtens artikel 25, lid 6, van verordening 95/46 vastgestelde besluiten bezitten immers bijzondere kenmerken. Zij zijn ervoor bedoeld te beoordelen of het beschermingsniveau van persoonsgegevens dat een derde land biedt al dan niet passend is. Het betreft hier een beoordeling die evolueert naargelang van de feitelijke en juridische context in het derde land.

135. Gelet op het feit dat het besluit tot vaststelling van de gepastheid van het beschermingsniveau een bijzonder type besluit is, moet de regel dat de geldigheid ervan slechts kan worden beoordeeld aan de hand van de omstandigheden die bestonden op het moment van de vaststelling ervan, in casu worden genuanceerd. Deze regel zou er anders toe leiden dat als het Hof verscheidene jaren na het vaststellen van een besluit tot vaststelling van de gepastheid van het beschermingsniveau de geldigheid van dat besluit moet beoordelen, het de gebeurtenissen die zich sindsdien hebben voorgedaan niet in aanmerking zou kunnen nemen, en dat terwijl voor een prejudicieel verzoek tot toetsing van de geldigheid geen enkele tijdslimiet geldt en het juist zijn aanleiding kan vinden in latere feiten die de tekortkomingen van de betrokken handeling aan het licht brengen.

136. Dat beschikking 2000/520 al ongeveer 15 jaar van kracht is, geeft aan dat de Commissie impliciet de evaluatie bevestigt die zij in 2000 heeft gemaakt. Wanneer het Hof in het kader van een prejudiciële verwijzing de geldigheid van een door de Commissie al die tijd gehandhaafde evaluatie dient te beoordelen, is het derhalve niet alleen mogelijk maar ook passend dat het die evaluatie kan toetsen aan de nieuwe omstandigheden die zich sinds de vaststelling van het besluit tot vaststelling van de gepastheid van het beschermingsniveau hebben voorgedaan.

137. Gezien de bijzondere aard van het besluit tot vaststelling van de gepastheid van het beschermingsniveau moet de Commissie dat besluit regelmatig opnieuw onderzoeken. Indien de Commissie haar besluit niet wijzigt naar aanleiding van nieuwe omstandigheden die zich in de tussentijd hebben voorgedaan, bevestigt zij impliciet, maar noodzakelijkerwijs, haar eerdere beoordeling. Zij herhaalt aldus haar constatering dat het betrokken derde land een passend beschermingsniveau waarborgt voor persoonsgegevens die worden doorgegeven. Het staat aan het Hof om te onderzoeken of deze constatering nog altijd geldig is, ondanks de omstandigheden die zich sindsdien hebben voorgedaan.

138. Teneinde voor dit type besluit een effectieve rechterlijke toetsing te garanderen moet mijns inziens bij de beoordeling van de geldigheid ervan dus worden uitgegaan van de huidige feitelijke en juridische context.

2.      Het begrip passend beschermingsniveau

139. Artikel 25 van richtlijn 95/46 berust geheel op het beginsel dat de doorgifte van persoonsgegevens naar een derde land slechts kan plaatsvinden als dat derde land voor die gegevens een passend beschermingsniveau waarborgt. Dit artikel heeft derhalve tot doel de door de richtlijn verleende bescherming te continueren bij doorgifte van persoonsgegevens naar een derde land. Er zij in dit verband aan herinnerd dat deze richtlijn de burgers van de Unie een hoog beschermingsniveau biedt bij de verwerking van hun persoonsgegevens.

140. Gelet op de belangrijke rol die de bescherming van persoonsgegevens speelt in het licht van het grondrecht op eerbiediging van het privéleven, moet een dergelijk hoog beschermingsniveau dus ook worden gewaarborgd bij doorgifte van persoonsgegevens naar een derde land.

141. Ik ben dan ook van mening dat de Commissie slechts overeenkomstig artikel 25, lid 6, van richtlijn 95/46 kan constateren dat een derde land een passend beschermingsniveau waarborgt, wanneer uit een totaalevaluatie van het recht en de praktijk in het land in kwestie blijkt dat dit derde land een beschermingsniveau biedt dat in grote lijnen overeenkomt met het door deze richtlijn geboden beschermingsniveau, zelfs als het die bescherming op een andere wijze invult dan in het algemeen binnen de Unie gebruikelijk is.

142. Hoewel de Engelse term „adequate” vanuit linguïstisch oogpunt kan duiden op een beschermingsniveau dat maar net bevredigend of toereikend is, en dus een andere semantische betekenis heeft dan de Franse term „adéquat”, is het enige criterium dat de uitlegging van deze term mag leiden de doelstelling om, zoals richtlijn 95/46 vereist, een hoog niveau van bescherming van de fundamentele rechten te verwezenlijken.

143. Het onderzoek van het door een derde land geboden beschermingsniveau moet twee fundamentele punten omvatten, namelijk de inhoud van de toepasselijke voorschriften en de middelen om de handhaving ervan te garanderen.(56)

144. Om een beschermingsniveau te verwezenlijken dat in grote lijnen gelijk is aan het beschermingsniveau dat binnen de Unie geldt moet de veiligehavenregeling, die grotendeels berust op zelfcertificering en zelfevaluatie van de ondernemingen die vrijwillig aan deze regeling deelnemen, naar mijn mening zijn voorzien van passende waarborgen en een toereikend controlemechanisme. De doorgifte van persoonsgegevens naar derde landen mag dus geen zwakkere bescherming genieten dan de verwerkingen die binnen de Unie worden uitgevoerd.

145. Ik wil in dit verband meteen opmerken dat binnen de Unie de opvatting heerst dat extern toezicht in de vorm van een onafhankelijke autoriteit een noodzakelijk bestanddeel is van elke regeling die beoogt de eerbiediging van de regels betreffende de bescherming van persoonsgegevens te waarborgen.

146. Teneinde het nuttig effect van artikel 25, leden 1 en 3, van richtlijn 95/46 te waarborgen moet verder rekening worden gehouden met het feit dat de gepastheid van het door een derde land geboden beschermingsniveau een situatie is die in de loop van de tijd kan evolueren als gevolg van een serie factoren. De lidstaten en de Commissie moeten dus voortdurend attent zijn op elke wijziging in de omstandigheden die noodzaakt tot een nieuwe evaluatie van de gepastheid van het door een derde land geboden beschermingsniveau. Een evaluatie van de gepastheid van dat beschermingsniveau mag dus geenszins op een bepaald moment worden gefixeerd en vervolgens, los van iedere wijziging in de omstandigheden die aantoont dat het geboden beschermingsniveau in feite niet meer passend is, oneindig worden gehandhaafd.

147. De verplichting voor het derde land om een passend niveau van bescherming te waarborgen is dus een doorlopende verplichting. Terwijl de evaluatie op een bepaald moment heeft plaatsgevonden, betekent de handhaving van het besluit tot vaststelling van de gepastheid van het beschermingsniveau dat zich sindsdien geen enkele omstandigheid heeft voorgedaan die de aanvankelijke evaluatie van de Commissie ter discussie stelt.

148. Wij moeten immers niet uit het oog verliezen dat artikel 25 van richtlijn 95/46 tot doel heeft te voorkomen dat persoonsgegevens worden doorgegeven naar een derde land dat, in strijd met het grondrecht op bescherming van persoonsgegevens dat artikel 8 van het Handvest garandeert, geen passend beschermingsniveau waarborgt.

149. Het is van belang te benadrukken dat de bevoegdheid die de Uniewetgever in artikel 25, lid 6, van richtlijn 95/46 aan de Commissie heeft toegekend om te constateren dat een derde land een passend beschermingsniveau waarborgt uitdrukkelijk is gekoppeld aan de eis dat dit derde land een dergelijk niveau waarborgt in de zin van lid 2 van dat artikel. Indien zich nieuwe omstandigheden voordoen die de aanvankelijke evaluatie van de Commissie ter discussie stellen moet zij haar besluit dienovereenkomstig aanpassen.

3.      Mijn beoordeling

150. Ik herinner eraan dat de Commissie krachtens artikel 25, lid 6, van richtlijn 95/46 „volgens de procedure van artikel 31, lid 2, kan constateren dat een derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, die het met name na de in lid 5 bedoelde onderhandelingen is aangegaan, waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen”. Gelezen in samenhang met artikel 25, lid 2, van deze richtlijn houdt artikel 25, lid 6, in dat de Commissie om te constateren dat een derde land een passend beschermingsniveau waarborgt, alle in dat land geldende rechtsregels alsmede de toepassing ervan moet evalueren.

151. We hebben gezien dat het feit dat de Commissie beschikking 2000/520 heeft gehandhaafd, ondanks dat zich nieuwe feitelijke en juridische omstandigheden hebben voorgedaan, aangeeft dat zij haar aanvankelijke evaluatie wil bevestigen.

152. In het kader van een prejudiciële verwijzing is het niet aan het Hof om de feiten te beoordelen van het geding dat de nationale rechter tot die prejudiciële verwijzing heeft gebracht.(57)

153. Ik baseer mij derhalve op de feiten die de verwijzende rechter in zijn prejudiciële verzoek heeft vermeld, feiten die overigens door de Commissie zelf als vaststaand zijn erkend.(58)

154. De argumenten waarmee voor het Hof de evaluatie van de Commissie wordt betwist dat de veiligehavenregeling een passend beschermingsniveau waarborgt voor persoonsgegevens die vanuit de Unie naar de Verenigde Staten worden doorgegeven, kunnen als volgt worden beschreven.

155. In zijn prejudiciële verzoek gaat de verwijzende rechter uit van de volgende twee feiten. Enerzijds kunnen persoonsgegevens die door ondernemingen als Facebook Ireland aan hun in de Verenigde Staten gevestigde moedervennootschap zijn doorgegeven vervolgens worden geraadpleegd door de NSA en andere Amerikaanse veiligheidsdiensten tijdens grootschalige en niet-gerichte surveillance- en onderscheppingsactiviteiten. Na de onthullingen van Snowden kan thans immers geen enkele andere plausibele conclusie worden getrokken uit het beschikbare bewijsmateriaal.(59) Anderzijds beschikken de burgers van de Unie over geen enkel effectief recht om te worden gehoord over het surveilleren en onderscheppen van hun gegevens door de NSA en andere Amerikaanse veiligheidsdiensten.(60)

156. De feiten die de High Court of Justice aldus heeft vastgesteld worden ondersteund door de bevindingen van de Commissie zelf.

157. In haar hierboven genoemde mededeling betreffende de werking van de veiligehavenregeling uit het oogpunt van EU-burgers en in de EU gevestigde ondernemingen is de Commissie uitgegaan van de constatering dat in de loop van 2013 informatie over de schaal en de omvang van Amerikaanse surveillanceprogramma’s vragen heeft doen rijzen over de continuïteit van de bescherming van persoonsgegevens die rechtmatig naar de Verenigde Staten zijn doorgegeven in het kader van de veiligehavenregeling. Zij stelt dat alle ondernemingen die betrokken zijn bij het PRISM-programma en die de Amerikaanse autoriteiten toegang verlenen tot in de Verenigde Staten opgeslagen en verwerkte gegevens, gecertificeerd lijken te zijn in het kader van de veilige haven. Volgens haar heeft dit van de veilige haven een van de kanalen gemaakt waarlangs de Amerikaanse inlichtingendiensten toegang hebben tot persoonsgegevens die oorspronkelijk in de Unie zijn verwerkt.(61)

158. Uit deze gegevens volgt dat het recht en de praktijk van de Verenigde Staten het mogelijk maken op grote schaal persoonsgegevens van burgers van de Unie te verzamelen die in het kader van de veiligehavenregeling zijn doorgegeven, zonder dat die burgers een effectieve rechterlijke bescherming genieten.

159. Deze feiten tonen mijns inziens aan dat beschikking 2000/520 onvoldoende waarborgen bevat. Als gevolg van dit gebrek aan waarborgen is deze beschikking uitgevoerd op een wijze die niet voldoet aan de vereisten van het Handvest en van richtlijn 95/46.

160. Een door de Commissie krachtens artikel 25, lid 6, van richtlijn 95/46 vastgesteld besluit strekt ertoe te constateren dat een land een passend beschermingsniveau „waarborgt”. De in de tegenwoordige tijd vervoegde term „waarborgt” houdt in dat een dergelijk besluit slechts kan worden gehandhaafd wanneer het betrekking heeft op een derde land dat na de vaststelling van dat besluit bij voortduring een passend beschermingsniveau waarborgt.

161. In werkelijkheid hebben de genoemde onthullingen over de praktijken van de NSA, die in het kader van de veiligehavenregeling doorgegeven gegevens zou gebruiken, licht geworpen op de zwakke punten van de wettelijke grondslag die beschikking 2000/520 vormt.

162. De tekortkomingen die in de loop van deze procedure aan het licht zijn gebracht bevinden zich met name in bijlage I, vierde alinea van deze beschikking.

163. Ik herinner eraan dat volgens deze bepaling „de naleving van de [veiligehaven]beginselen [kan] worden beperkt a) voor zover dit nodig is om aan de eisen van de nationale veiligheid, het algemeen belang en rechtshandhaving te voldoen; b) door wettelijke of bestuursrechtelijke bepalingen of rechtspraak die tegenstrijdige verplichtingen of uitdrukkelijke machtigingen scheppen, mits een organisatie die van een dergelijke machtiging gebruikmaakt, kan aantonen dat de niet-naleving van de beginselen beperkt is tot de mate die nodig is om de met de machtiging beoogde hogere legitieme belangen te waarborgen”.

164. Het probleem komt met name voort uit het gebruik dat de Amerikaanse autoriteiten maken van de afwijkingen waarin deze bepaling voorziet. Doordat deze afwijkingen te algemeen zijn geformuleerd wordt de toepassing ervan door deze autoriteiten niet beperkt tot het strikt noodzakelijke.

165. Bij deze te algemene formulering komt dat de burgers van de Unie niet over een geschikte beroepsmogelijkheid beschikken tegen de verwerking van hun persoonsgegevens voor andere doeleinden dan die waarvoor zij oorspronkelijk waren verzameld en vervolgens doorgegeven naar de Verenigde Staten.

166. De afwijkingen op de toepassing van de veiligehavenbeginselen die met name ten behoeve van de eisen van nationale veiligheid in beschikking 2000/520 zijn opgenomen hadden, om de geconstateerde schendingen van het recht op privéleven te voorkomen, moeten worden voorzien van een eigen onafhankelijk controlemechanisme.

167. De onthullingen over de algemene surveillancepraktijken van de Amerikaanse inlichtingendiensten met betrekking tot in het kader van de veilige haven doorgegeven gegevens hebben dus bepaalde tekortkomingen van beschikking 2000/520 aan het licht gebracht.

168. Uit het gestelde in de onderhavige zaak kan niet worden afgeleid dat Facebook de veiligehavenbeginselen heeft geschonden. Als een gecertificeerde onderneming als Facebook USA de Amerikaanse autoriteiten toegang geeft tot gegevens die haar vanuit een lidstaat zijn doorgegeven, kan worden aangenomen dat zij dat doet om gehoor te geven aan de Amerikaanse wetgeving. Aangezien een dergelijke situatie, door de ruime formulering van de afwijkingen, uitdrukkelijk door beschikking 2000/520 wordt toegestaan, wordt in de onderhavige zaak in wezen de vraag gesteld of dergelijke afwijkingen verenigbaar zijn met het primaire Unierecht.

169. In dit verband moet worden benadrukt dat uit vaste rechtspraak van het Hof blijkt dat de eerbiediging van de mensenrechten een vereiste is voor de rechtmatigheid van de handelingen van de Unie en dat handelingen die onverenigbaar zijn met de eerbiediging van deze rechten niet toelaatbaar zijn in de Unie.(62)

170. Uit de rechtspraak van het Hof volgt eveneens dat de mededeling van verzamelde persoonsgegevens aan een derde, overheidsorgaan of particulier, een inmenging vormt in het recht op eerbiediging van het privéleven, „ongeacht het latere gebruik van de aldus meegedeelde gegevens”.(63) Het Hof heeft voorts in het arrest Digital Rights Ireland e.a.(64) bevestigd dat het feit dat nationale autoriteiten toegang wordt gegeven tot dergelijke gegevens een verdere inbreuk vormt op dat grondrecht.(65) Bovendien valt iedere verwerking van persoonsgegevens onder artikel 8 van het Handvest en vormt een inmenging in het recht op bescherming van die gegevens.(66) De toegang die de Amerikaanse inlichtingendiensten hebben tot doorgegeven gegevens is dus, omdat die toegang een verwerking vormt van die gegevens, eveneens een inmenging in het door artikel 8 van het Handvest gewaarborgde grondrecht op bescherming van persoonsgegevens.

171. In navolging van het Hof in dat arrest kan worden vastgesteld dat de aldus bepaalde inmenging, gelet op het grote aantal betrokken gebruikers en de grote hoeveelheid doorgegeven gegevens, zeer ver gaand en bijzonder zwaar is. Deze omstandigheden, samen met het geheime karakter van de toegang van de Amerikaanse autoriteiten tot persoonsgegevens die aan in de Verenigde Staten gevestigde ondernemingen zijn doorgegeven, maken deze inmenging uiterst ernstig.

172. Daarbij komt dat de burgers van de Unie die Facebook gebruiken, niet in kennis zijn gesteld van het feit dat hun persoonsgegevens algemeen toegankelijk zullen zijn voor de Amerikaanse veiligheidsdiensten.

173. Ook is van belang dat de verwijzende rechter heeft vastgesteld dat de burgers van de Unie in de Verenigde Staten geen enkel effectief recht hebben om te worden gehoord over het surveilleren en onderscheppen van hun gegevens. De FISC oefent weliswaar enig toezicht uit, maar de procedure voor dit gerecht is geheim en niet op tegenspraak.(67) Ik ben van mening dat hier sprake is van een inmenging in het door artikel 47 van het Handvest beschermde recht van de burgers van de Unie op een doeltreffende voorziening in rechte.

174. De in bijlage I, vierde alinea, van beschikking 2000/520 neergelegde afwijkingen van de veiligehavenbeginselen staan dus een inmenging toe in de door de artikelen 7, 8 en 47, van het Handvest beschermde grondrechten.

175. Thans moet worden nagegaan of deze inmenging al dan niet gerechtvaardigd is.

176. Volgens artikel 52, lid 1, van het Handvest moeten beperkingen op de uitoefening van de in dit Handvest erkende rechten en vrijheden bij wet worden gesteld en de wezenlijke inhoud van die rechten en vrijheden eerbiedigen. Er kunnen, met inachtneming van het evenredigheidsbeginsel, slechts beperkingen aan deze rechten en vrijheden worden gesteld indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen.

177. Gelet op de voorwaarden die aldus zijn gesteld aan beperkingen van de uitoefening van de door het Handvest beschermde rechten en vrijheden, twijfel ik er ernstig aan of de beperkingen die in de onderhavige zaak aan de orde zijn de wezenlijke inhoud van de artikelen 7 en 8 van het Handvest eerbiedigen. De toegang van de Amerikaanse inlichtingendiensten tot de doorgegeven gegevens lijkt zich immers uit te strekken tot de inhoud van elektronische communicatie, hetgeen afbreuk doet aan de wezenlijke inhoud van het fundamentele recht op eerbiediging van het privéleven en de andere in artikel 7 van het Handvest erkende rechten. Aangezien door de ruime formulering van de in bijlage I, vierde alinea, van beschikking 2000/520 neergelegde beperkingen alle veiligehavenbeginselen potentieel terzijde kunnen worden geschoven, kan bovendien worden aangenomen dat deze beperkingen afbreuk doen aan de wezenlijke inhoud van het grondrecht op bescherming van persoonsgegevens.(68)

178. Wat de vraag betreft of de geconstateerde inmenging beantwoordt aan een doelstelling van algemeen belang herinner ik er om te beginnen aan dat de naleving van de veiligehavenbeginselen volgens bijlage I, vierde alinea, onder b), van richtlijn 2000/520 kan worden beperkt door „wettelijke of bestuursrechtelijke bepalingen of rechtspraak die tegenstrijdige verplichtingen of uitdrukkelijke machtigingen scheppen, mits een organisatie die van een dergelijke machtiging gebruikmaakt kan aantonen dat de niet-naleving van de beginselen beperkt is tot de mate die nodig is om de met de machtiging beoogde hogere legitieme belangen te waarborgen”.

179. Vastgesteld moet worden dat de in deze bepaling genoemde „legitieme belangen” niet nader zijn bepaald. Er bestaat derhalve onduidelijkheid over de, potentieel uiterst ruime, werkingssfeer van deze afwijking op de toepassing van de veiligehavenbeginselen door de deelnemende ondernemingen.

180. Lezing van de toelichting in titel B van bijlage IV van beschikking 2000/520, met het opschrift „Uitdrukkelijke juridische machtigingen”, bevestigt deze indruk, met name de verklaring dat „het [...] duidelijk [is] dat, indien de wetgeving van de Verenigde Staten een tegenstrijdige verplichting oplegt, organisaties uit dat land de wet in acht moeten nemen, ongeacht of ze aan de veilige haven deelnemen of niet”. Voorts wordt, wat de uitdrukkelijke machtigingen betreft, aangegeven dat „ofschoon de veiligehavenbeginselen bedoeld zijn om de verschillen tussen de regeling van de Verenigde Staten en die van de Europese Unie inzake bescherming van de persoonlijke levenssfeer te overbruggen, eerbied [is] verschuldigd aan de prerogatieven van onze verkozen wetgevers op het gebied van wetgeving”.

181. Daaruit volgt mijns inziens dat deze afwijking in strijd is met de artikelen 7, 8 en 52, lid 1, van het Handvest, aangezien zij geen voldoende nauwkeurig bepaalde doelstelling van algemeen belang nastreeft.

182. Hoe dan ook, het gemak en de algemeenheid waarmee beschikking 2000/520 het zelf, in bijlage I, vierde alinea, onder b), en bijlage IV, B, mogelijk maakt de veiligehavenbeginselen onder toepassing van de Amerikaanse rechtsnormen terzijde te schuiven zijn onverenigbaar met de voorwaarde dat afwijkingen van de regels betreffende de bescherming van persoonsgegevens moeten worden beperkt tot het strikt noodzakelijke. De noodzakelijkheidsvoorwaarde wordt weliswaar vermeld, maar behalve dat de betrokken onderneming die noodzaak moet aantonen, zie ik niet hoe een dergelijke onderneming zich zou kunnen onttrekken aan een verplichting om de veiligehavenbeginselen terzijde te stellen die voortvloeit uit de rechtsregels die zij gehouden is toe te passen.

183. Ik ben derhalve van mening dat beschikking 2000/520 ongeldig moet worden verklaard aangezien het bestaan van een afwijking die het op een zodanige algemene en onnauwkeurige wijze mogelijk maakt de beginselen van de veiligehavenregeling terzijde te schuiven op zichzelf verhindert dat deze regeling kan worden geacht een passend niveau van bescherming te waarborgen van persoonsgegevens die vanuit de Unie naar de Verenigde Staten worden doorgegeven.

184. Wat nu de eerste categorie beperkingen betreft, die zijn opgenomen in bijlage I, vierde alinea, onder a), van beschikking 2000/520 en betrekking hebben op de eisen van nationale veiligheid, algemeen belang en rechtshandhaving, lijkt alleen de eerste doelstelling mij voldoende nauwkeurig om te kunnen worden beschouwd als door de Unie erkende doelstelling van algemeen belang in de zin van artikel 52, lid 1, van het Handvest.

185. Thans moet de evenredigheid van de vastgestelde inmenging worden onderzocht.

186. Volgens vaste rechtspraak van het Hof „vereist het evenredigheidsbeginsel dat handelingen van de instellingen van de Unie geschikt zijn om de door de betrokken regeling nagestreefde legitieme doelstellingen te verwezenlijken en niet verder gaan dan wat daarvoor geschikt en noodzakelijk is”.(69)

187. Wat het rechterlijk toezicht op de naleving van deze voorwaarden betreft geldt dat „wanneer sprake is van een inmenging in fundamentele rechten, de omvang van de beoordelingsbevoegdheid van de wetgever van de Unie beperkt kan zijn. Dit hangt af van een aantal factoren, waaronder met name het betrokken domein, de aard van het door het Handvest gewaarborgde recht dat aan de orde is, alsook de aard, de ernst en het doel van de inmenging.”(70)

188. Ik ben van mening dat het Hof de besluiten die de Commissie krachtens artikel 25, lid 6, van richtlijn 95/46 vaststelt volledig kan toetsen op de evenredigheid van de evaluatie die deze instelling heeft gemaakt van de gepastheid van het door een derde land op grond van „zijn nationale wetgeving of zijn internationale verbintenissen” geboden beschermingsniveau.

189. In dit verband zij opgemerkt dat het Hof in het arrest Digital Rights Ireland e.a.(71) heeft geoordeeld dat „[g]elet op de belangrijke rol die de bescherming van persoonsgegevens speelt in het licht van het fundamentele recht op bescherming van het privéleven, alsook op de omvang en de ernst van de door [de betrokken] richtlijn [...] veroorzaakte inmenging in dit recht, is de beoordelingsbevoegdheid van de Uniewetgever in casu beperkt, zodat een strikt toezicht moet worden uitgeoefend”.(72)

190. Een dergelijke inmenging moet geschikt en noodzakelijk zijn voor de verwezenlijking van het door de betrokken Uniehandeling nagestreefde doel.

191. Wat het recht op eerbiediging van het privéleven betreft, zij opgemerkt dat „de bescherming van dit fundamentele recht volgens vaste rechtspraak van het Hof hoe dan ook vereist dat de uitzonderingen op de bescherming van persoonsgegevens en de beperkingen ervan binnen de grenzen van het strikt noodzakelijke blijven”.(73)

192. Het Hof houdt er bij zijn toetsing eveneens rekening mee dat „de bescherming van persoonsgegevens, die uitdrukkelijk wordt voorgeschreven door artikel 8, lid 1, van het Handvest, van bijzonder belang is voor het in artikel 7 van dit Handvest verankerde recht op eerbiediging van het privéleven”.(74)

193. Volgens het Hof, dat in dit verband refereert aan de rechtspraak van het Europees Hof voor de Rechten van de Mens, „[moet] de betrokken Unieregeling [...] dus duidelijke en precieze regels betreffende de draagwijdte en de toepassing van de betrokken maatregel bevatten die minimale vereisten opleggen, zodat de personen van wie de gegevens zijn bewaard over voldoende garanties beschikken dat hun persoonsgegevens doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens”.(75) Het Hof wijst erop dat „[d]e noodzaak om over dergelijke garanties te beschikken [...] des te groter [is] wanneer de persoonsgegevens [...] automatisch worden verwerkt en er een aanzienlijk risico bestaat dat deze gegevens op onrechtmatige wijze zullen worden geraadpleegd”(76).

194. Er bestaat naar mijn mening een analogie tussen bijlage I, vierde alinea, onder a), van beschikking 2000/520 en artikel 13, lid 1, van richtlijn 95/46. In de eerste bepaling wordt aangegeven dat de naleving van de veiligehavenbeginselen kan worden beperkt door „eisen van [...] nationale veiligheid, [...] algemeen belang en rechtshandhaving”. Volgens de tweede bepaling kunnen de lidstaten wettelijke maatregelen treffen ter beperking van de reikwijdte van de in artikel 6, lid 1, artikel 10, artikel 11, lid 1, artikel 12 en artikel 21 bedoelde rechten en plichten indien dit noodzakelijk is ter vrijwaring van met name de veiligheid van de staat, de landsverdediging, de openbare veiligheid, alsook het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten.

195. Zoals het Hof heeft opgemerkt in het arrest IPI(77) blijkt uit de bewoordingen van artikel 13, lid 1, van richtlijn 95/46 dat de lidstaten de in deze bepaling bedoelde maatregelen slechts kunnen vaststellen indien deze noodzakelijk zijn. De voorwaarde dat de maatregelen „noodzakelijk” moeten zijn, beperkt aldus de krachtens deze bepaling aan de lidstaten toegekende mogelijkheid.(78) Voor de verwerking van persoonsgegevens binnen de Unie mogen de in artikel 13 van deze richtlijn opgenomen beperkingen dus niet verder gaan dan hetgeen strikt noodzakelijk is om de nagestreefde doelstelling te verwezenlijken. Mijns inziens moet hetzelfde gelden voor de beperkingen op de veiligehavenbeginselen die zijn vervat in bijlage I, vierde alinea, van beschikking 2000/520.

196. Vastgesteld moet worden dat niet alle taalversies het noodzakelijkheidscriterium vermelden in de tekst van bijlage I, vierde alinea, onder a), van beschikking 2000/520. Dat geldt met name voor de Franse taalversie die vermeldt dat „[l]’adhésion aux principes peut être limitée par [...] les exigences relatives à la sécurité nationale, l’intérêt public et le respect des lois des États-Unis”, terwijl bijvoorbeeld de Spaanse, de Duitse en de Engelse taalversies vermelden dat de ingestelde beperkingen noodzakelijk moeten zijn voor de verwezenlijking van de hierboven genoemde doelstellingen.

197. Hoe het ook zij, de feiten die door de verwijzende rechter en de Commissie, in haar hierboven vermelde mededelingen, naar voren zijn gebracht tonen duidelijk aan dat de toepassing van deze beperkingen in de praktijk niet beperkt blijft tot hetgeen strikt noodzakelijk is voor de verwezenlijking van de gestelde doelen.

198. Ik merk in dit verband op dat de toegang van de Amerikaanse inlichtingendiensten tot doorgegeven persoonsgegevens algemeen betrekking heeft op alle personen, alle elektronische communicatiemiddelen en alle doorgegeven gegevens en zich uitstrekt tot de inhoud van die communicatie, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van de nagestreefde doelstelling van algemeen belang.(79)

199. De toegang van de Amerikaanse inlichtingendiensten tot doorgegeven gegevens betreft immers algemeen alle personen die gebruik maken van elektronische communicatiediensten, zonder dat is vereist dat die personen een bedreiging vormen voor de nationale veiligheid.(80)

200. Een dergelijke grootschalige en niet-gerichte surveillance van gegevens is naar haar aard onevenredig en vormt een ongerechtvaardigde inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten.

201. Zoals het Parlement terecht heeft opgemerkt, volgt noodzakelijkerwijs uit het feit dat het voor de Uniewetgever en de lidstaten onmogelijk is wettelijke bepalingen vast te stellen die, in strijd met het Handvest, voorzien in het op grote schaal en niet-gericht surveilleren van persoonsgegevens dat, a fortiori, derde landen in geen geval kunnen worden geacht een passend beschermingsniveau te waarborgen voor de persoonsgegevens van Unieburgers wanneer hun regelgeving het op grote schaal en niet‒gericht surveilleren en onderscheppen van dit type gegevens daadwerkelijk toestaat.

202. Voorts is van belang dat de veiligehavenregeling zoals die in beschikking 2000/520 is vastgelegd geen eigen waarborgen bevat om een algemene toegang op grote schaal tot doorgegeven gegevens te voorkomen.

203. Ik merk in dit verband op dat het Hof in het arrest Digital Rights Ireland e.a.(81) het belang heeft benadrukt van „duidelijke en precieze regels [...] betreffende de omvang van de inmenging in de door de artikelen 7 en 8 van het Handvest erkende fundamentele rechten”.(82) Een dergelijke inmenging moet volgens het Hof „nauwkeurig [zijn] omkaderd door bepalingen die kunnen waarborgen dat zij daadwerkelijk beperkt is tot het strikt noodzakelijke”.(83) Het Hof heeft in dit arrest eveneens het accent gelegd op de noodzaak van „garanties [...] dat de bewaarde [persoons]gegevens doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik ervan, zoals wordt vereist door artikel 8 van het Handvest”.(84)

204. Vastgesteld moet echter worden dat de toegang van de Amerikaanse inlichtingendiensten tot vanuit de Unie doorgegeven persoonsgegevens niet kan worden betwist via particuliere klachtenprocedures of, vanwege haar tot handelsgeschillen beperkte rol, de FTC.

205. De bevoegdheid van de FTC heeft betrekking op oneerlijke en misleidende handelingen of praktijken in of in verband met de handel en strekt zich derhalve niet uit tot de verzameling en het gebruik van persoonlijke informatie voor niet-commerciële doeleinden.(85) Het beperkte bevoegdheidsgebied van de FTC beknot het recht van particulieren op bescherming van hun persoonsgegevens. De FTC is niet, zoals de nationale toezichthoudende autoriteiten in de Unie, in het leven geroepen om het individuele recht op bescherming van het privéleven te waarborgen, maar om consumenten te verzekeren van een eerlijk en betrouwbaar handelsverkeer hetgeen, de facto, haar interventievermogen op het gebied van de bescherming van persoonsgegevens beperkt. De FTC speelt derhalve geen rol die vergelijkbaar is met die welke in artikel 28 van richtlijn 95/46 is toegekend aan de nationale toezichthoudende autoriteiten.

206. Burgers van de Unie wier gegevens zijn doorgegeven kunnen zich tot in de Verenigde Staten gevestigde gespecialiseerde klachtenorganisaties als TRUSTe en BBBOnline wenden met de vraag of de onderneming die hun persoonsgegevens in bezit heeft de voorwaarden van de zelfcertificeringsregeling schendt. In particuliere klachtenprocedures bij organisaties als TRUSTe kunnen geen schendingen van het recht op privéleven door instanties of autoriteiten worden behandeld, maar alleen schendingen door zelfgecertificeerde ondernemingen. Deze klachtenorganisaties hebben geen enkele bevoegdheid om zich uit te spreken over de rechtmatigheid van de activiteiten van Amerikaanse veiligheidsdiensten.

207. Noch de FTC, noch de particuliere klachtenorganisaties zijn derhalve bevoegd om eventuele schendingen van de beginselen inzake de bescherming van persoonsgegevens door overheidsdiensten als de Amerikaanse veiligheidsdiensten te toetsen. Een dergelijke bevoegdheid is echter onontbeerlijk om het recht op een effectieve bescherming van deze gegevens volledig te waarborgen. De Commissie kon dus niet, door beschikking 2000/520 vast te stellen en vervolgens te handhaven, constateren dat het door artikel 8, lid 3, van het Handvest erkende recht voor alle naar de Verenigde Staten door te geven persoonsgegevens passend zou zijn beschermd, dat wil zeggen dat er een onafhankelijke autoriteit zou zijn die effectief toezicht uitoefent op de eerbiediging van de eisen van bescherming en veiligheid van die gegevens.

208. Er moet dus worden geconstateerd dat er binnen de veiligehavenregeling van beschikking 2000/520 geen onafhankelijke autoriteit is die kan controleren of afwijkingen van de veiligehavenbeginselen zijn beperkt tot het strikt noodzakelijke. Wij hebben evenwel gezien dat een dergelijk toezicht in het Unierecht van wezenlijk belang is voor de bescherming van personen bij de verwerking van persoonsgegevens.(86)

209. In dit verband moet de rol worden benadrukt die de nationale toezichthoudende autoriteiten in het binnen de Unie geldende stelsel van bescherming van persoonsgegevens spelen bij het toezicht op de in artikel 13 van richtlijn 95/46 vervatte beperkingen. Volgens artikel 28, lid 4, tweede alinea, van deze richtlijn „[kan] eenieder [...] meer bepaald bij elke autoriteit een verzoek indienen om de rechtmatigheid van een verwerking te verifiëren, wanneer de krachtens artikel 13 van deze richtlijn vastgestelde nationale bepalingen van toepassing zijn”. Ik ben, naar analogie, van mening dat de in bijlage I, vierde alinea, van beschikking 2000/520 genoemde beperkingen op de toepassing van de veiligehavenbeginselen hadden moeten worden voorzien van een controlemechanisme in de vorm van een onafhankelijke, in de bescherming van persoonsgegevens gespecialiseerde autoriteit.

210. De tussenkomst van onafhankelijke toezichthoudende autoriteiten is immers de kern van het Europese stelsel van bescherming van persoonsgegevens. Het is dus vanzelfsprekend dat het bestaan van dergelijke autoriteiten vanaf het begin is beschouwd als een van de noodzakelijke voorwaarden voor het constateren van de gepastheid van het door derde landen geboden beschermingsniveau. Het betreft hier een voorwaarde om te voorkomen dat gegevensstromen vanaf het grondgebied van de lidstaten naar dat van derde landen overeenkomstig artikel 25 van richtlijn 95/46 worden verboden.(87) Zoals het discussiedocument van de op basis van artikel 29 van die richtlijn ingestelde werkgroep vermeldt, is er in Europa een brede consensus dat „een systeem van ‚extern toezicht’ in de vorm van een onafhankelijke autoriteit noodzakelijk is om de naleving van de gegevensbeschermingsregels te garanderen”.(88)

211. Ik merk voorts op dat de FISC geen effectieve voorziening in rechte biedt aan burgers van de Unie wier persoonsgegevens naar de Verenigde Staten zijn doorgegeven. De bescherming tegen surveillance door overheidsdiensten die section 702 van de Foreign Intelligence Surveillance Act of 1978 biedt is uitsluitend van toepassing op Amerikaanse burgers en buitenlanders die rechtmatig en permanent in de Verenigde Staten verblijven. De Commissie heeft er zelf op gewezen dat het toezicht op de Amerikaanse programma’s voor het verzamelen van inlichtingen zou kunnen worden verbeterd door een versterking van de rol van de FISC en het invoeren van rechtsmiddelen voor particulieren. Deze mechanismen zouden de verwerking van persoonsgegevens van burgers van de Unie die niet relevant zijn voor nationale veiligheidsdoeleinden kunnen verminderen.(89)

212. De Commissie heeft er bovendien zelf op gewezen dat er voor burgers van de Unie geen enkele mogelijkheid bestaat toegang te krijgen tot gegevens of om deze te verbeteren of te wissen of om een administratief of gerechtelijk beroep in te stellen tegen het verzamelen en verder verwerken van hun persoonsgegevens in het kader van Amerikaanse surveillanceprogramma’s.(90)

213. Ten slotte moet worden vermeld dat de Amerikaanse normen inzake de bescherming van de persoonlijke levenssfeer anders kunnen worden toegepast op buitenlanders dan op Amerikaanse burgers.(91)

214. Uit het voorgaande volgt dat beschikking 2000/520 geen duidelijke en precieze regels bevat betreffende de omvang van de inmenging in de door de artikelen 7 en 8 van het Handvest erkende grondrechten. Vastgesteld moet dus worden dat deze beschikking en de manier waarop zij wordt toegepast een zeer ver gaande en bijzonder ernstige inmenging in deze grondrechten impliceren, zonder dat deze inmenging nauwkeurig is omkaderd door bepalingen die kunnen waarborgen dat zij daadwerkelijk is beperkt tot het strikt noodzakelijke.

215. Door het vaststellen en vervolgens handhaven van beschikking 2000/520 heeft de Commissie dus de grenzen overschreden die de eerbiediging van het evenredigheidsbeginsel stelt ten aanzien van de artikelen 7, 8 en 52, lid 1, van het Handvest. Daarbij komt de vaststelling van een ongerechtvaardigde inmenging in het door artikel 47 van het Handvest gewaarborgde recht van de burgers van de Unie op een doeltreffende voorziening in rechte.

216. Deze beschikking moet dus ongeldig worden verklaard aangezien, vanwege de hierboven beschreven schendingen van grondrechten, niet kan worden aangenomen dat de bij deze beschikking ingestelde veiligehavenregeling een passend beschermingsniveau waarborgt voor de persoonsgegevens die in het kader van deze regeling vanuit de Unie naar de Verenigde Staten worden doorgegeven.

217. Ik ben van mening dat de Commissie, geconfronteerd met dergelijke schendingen van grondrechten van Unieburgers, de toepassing van beschikking 2000/520 had moeten opschorten.

218. Deze beschikking is voor onbepaalde tijd vastgesteld. De onderhavige zaak toont evenwel aan dat de gepastheid van het door een derde land geboden beschermingsniveau in de loop van de tijd kan evolueren als gevolg van wijzigingen in de feitelijke en juridische omstandigheden waarop die beschikking is gebaseerd.

219. Ik wijs erop dat beschikking 2000/520 zelf bepalingen bevat die de Commissie de mogelijkheid bieden deze beschikking aan de omstandigheden aan te passen.

220. Zo volgt uit overweging 9 van deze beschikking dat „de door de beginselen en de FAQ’s in het leven geroepen [...] veilige haven [...] eventueel moet worden herzien in het licht van [...] de ontwikkelingen betreffende de bescherming van de persoonlijke levenssfeer in een situatie waarin de technologie de doorgifte en verwerking van persoonsgegevens steeds gemakkelijker maakt, en in het licht van rapporten van de betrokken met de rechtshandhaving belaste instanties over de uitvoering”.

221. Uit artikel 3, lid 4, van deze beschikking volgt dat „[w]anneer uit de overeenkomstig de leden 1, 2 en 3 verzamelde informatie mocht blijken dat een instantie die verantwoordelijk is voor de naleving van de overeenkomstig de FAQ’s ten uitvoer gelegde beginselen in de Verenigde Staten haar taak niet naar behoren vervult, stelt de Commissie het ministerie van Handel van de Verenigde Staten hiervan in kennis en stelt zij zo nodig [...] ontwerpmaatregelen voor om deze beschikking in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken”.

222. Volgens artikel 4, lid 1, van beschikking 2000/520 kan deze beschikking bovendien „te allen tijde worden aangepast in het licht van de bij de uitvoering ervan opgedane ervaringen en/of indien het door de beginselen en de FAQ’s geboden beschermingsniveau door de in de wetgeving van de Verenigde Staten gestelde eisen wordt achterhaald. In ieder geval evalueert de Commissie op basis van de beschikbare informatie de uitvoering van de beschikking drie jaar nadat de lidstaten ervan in kennis zijn gesteld, en deelt zij alle relevante vaststellingen aan het bij artikel 31 van richtlijn 95/46 [...] ingestelde comité mee, inclusief alle gegevens die van invloed kunnen zijn op de overeenkomstig artikel 1 van deze beschikking gedane vaststelling dat het beschermingsniveau passend is in de zin van artikel 25 van richtlijn 95/46 [...]”. Volgens artikel 4, lid 2, van beschikking 2000/520 „[legt] de Commissie [...] zo nodig overeenkomstig de bij artikel 31 van richtlijn 95/46 [...] vastgestelde procedure een ontwerp van de te nemen maatregelen voor”.

223. De Commissie heeft in haar schriftelijke opmerkingen geconstateerd dat „het zeer waarschijnlijk is dat de naleving van de veiligehavenbeginselen is beperkt op een wijze die niet meer beantwoordt aan de strikt afgebakende voorwaarden voor de vrijstelling inzake nationale veiligheid”.(92) Zij merkt in dit verband op dat „[d]e onthullingen in kwestie een mate van ongedifferentieerde [surveillance] op grote schaal blootleggen die niet verenigbaar is met het noodzakelijkheidscriterium dat in die vrijstelling is vervat, noch, meer in het algemeen, met het in artikel 8 van het Handvest erkende recht op de bescherming van persoonsgegevens”.(93) De Commissie heeft voorts zelf vastgesteld dat „[h]et bereik van deze [surveillance]programma’s [...] in combinatie met de ongelijke behandeling van de [...] burgers van de Unie vragen op[roept] met betrekking tot het door de veiligehavenregeling geboden beschermingsniveau”.(94)

224. De Commissie heeft bovendien ter terechtzitting uitdrukkelijk erkend dat beschikking 2000/520 zoals zij thans wordt toegepast niet garandeert dat het recht van de burgers van de Unie op bescherming van hun gegevens wordt gewaarborgd. Deze constatering maakt deze beschikking volgens haar echter niet ongeldig. De Commissie is het weliswaar eens met de stelling dat zij moet handelen wanneer zij wordt geconfronteerd met nieuwe omstandigheden, maar is van mening dat zij, door met de Verenigde Staten te onderhandelen over een herziening van de veiligehavenregeling, passende en evenredige maatregelen heeft genomen.

225. Ik ben het daar niet mee eens. De doorgifte van persoonsgegevens naar de Verenigde Staten zou immers onderwijl moeten kunnen worden opgeschort op initiatief van de nationale toezichthoudende autoriteiten of naar aanleiding van bij hen ingediende klachten.

226. Ik ben verder van mening dat de Commissie, geconfronteerd met dergelijke constateringen, de toepassing van beschikking 2000/520 had moeten opschorten. De door richtlijn 95/46 en artikel 8 van het Handvest nagestreefde doelstelling van bescherming van persoonsgegevens legt immers niet slechts verplichtingen op aan de lidstaten, maar eveneens, zoals blijkt uit artikel 51, lid 1, van het Handvest, aan de instellingen van de Unie.

227. In haar evaluatie van het door een derde land geboden beschermingsniveau moet de Commissie niet alleen de nationale wetgeving en de internationale verbintenissen van dat derde land onderzoeken, maar ook de wijze waarop de bescherming van persoonsgegevens in de praktijk wordt gewaarborgd. Als uit dat onderzoek tekortkomingen blijken, moet de Commissie reageren en haar beschikking in voorkomend geval onverwijld opschorten en/of aanpassen.

228. Zoals wij in het voorgaande hebben gezien, bestaat de verplichting die op de lidstaten rust hoofdzakelijk in het waarborgen van de naleving van de in richtlijn 95/46 neergelegde regels middels het optreden van hun nationale toezichthoudende autoriteiten.

229. De verplichting die op de Commissie rust, bestaat erin om, wanneer is gebleken dat het betrokken derde land het besluit dat zij krachtens artikel 25, lid 6, van die richtlijn heeft vastgesteld niet nakomt, de toepassing van dat besluit op te schorten gedurende de onderhandelingen die zij met dat derde land voert om aan die niet-nakoming een eind te maken.

230. Ik herinner eraan dat een krachtens die bepaling vastgesteld besluit van de Commissie ertoe strekt te constateren dat een derde land een passend beschermingsniveau „waarborgt” voor persoonsgegevens die naar dat derde land worden doorgegeven. De in de tegenwoordige tijd vervoegde term „waarborgt” houdt in dat een dergelijk besluit slechts kan worden gehandhaafd wanneer het betrekking heeft op een derde land dat na het vaststellen van dat besluit bij voortduring een passend beschermingsniveau waarborgt.

231. Volgens overweging 57 van richtlijn 95/46 „[dient] de doorgifte naar een derde land [...] te worden verboden, indien daar geen passend beschermingsniveau wordt geboden”.

232. Artikel 25, lid 4, van die richtlijn bepaalt dat „[w]anneer de Commissie volgens de procedure van artikel 31, lid 2, constateert dat een derde land geen waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt, [...] de lidstaten de nodige maatregelen [nemen] om doorgifte van gegevens van dezelfde aard naar het betrokken land te voorkomen”. Artikel 25, lid 5, van die richtlijn bepaalt bovendien dat „[d]e Commissie [...] op het gepaste ogenblik onderhandelingen [opent] ter verhelping van de situatie die voortvloeit uit de in lid 4 bedoelde constatering”.

233. Uit deze laatste bepaling volgt dat, in het door artikel 25 van richtlijn 95/46 ingestelde systeem, de onderhandelingen met een derde land tot doel hebben het overeenkomstig de procedure van artikel 31, lid 2, van die richtlijn geconstateerde ontbreken van een passend beschermingsniveau te verhelpen. In het geval dat ons bezighoudt, heeft de Commissie niet overeenkomstig die procedure formeel geconstateerd dat de veiligehavenregeling geen passend beschermingsniveau meer waarborgt. Niettemin, dat de Commissie heeft besloten onderhandelingen te beginnen met de Verenigde Staten is natuurlijk omdat zij van tevoren al van mening was dat het door dit land gewaarborgde bescherming niet meer passend was.

234. Hoewel zij dus op de hoogte was van gebreken in de toepassing van beschikking 2000/520 heeft de Commissie die beschikking niet opgeschort of aangepast, met als gevolg dat de schending van de grondrechten van personen wier persoonsgegevens in het kader van de veiligehavenregeling zijn en nog altijd worden doorgegeven wordt gecontinueerd.

235. Het Hof heeft evenwel, weliswaar in een andere context, reeds geoordeeld dat het aan de Commissie staat erop toe te zien dat regelgeving aan nieuwe gegevens wordt aangepast”.(95)

236. Een dergelijk nalaten van de Commissie, dat rechtstreeks inbreuk maakt op de door de artikelen 7, 8 en 47 van het Handvest beschermde grondrechten, vormt mijns inziens een aanvullende grond om beschikking 2000/520 in het kader van de onderhavige prejudiciële verwijzing ongeldig te verklaren.(96)

III – Conclusie

237. Gelet op het voorgaande geef ik het Hof in overweging de prejudiciële vragen van de High Court of Justice als volgt te beantwoorden:

„Artikel 28 van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, moet, gelezen in het licht van de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie, aldus worden uitgelegd dat het bestaan van een door de Europese Commissie krachtens artikel 25, lid 6, van richtlijn 95/46 vastgesteld besluit een nationale toezichthoudende autoriteit niet belet om een klacht te onderzoeken waarin wordt aangevoerd dat een derde land geen passend beschermingsniveau waarborgt voor de persoonsgegevens die worden doorgegeven, en om in voorkomend geval de doorgifte van die gegevens op te schorten.

Beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd, is ongeldig.”


1 – Oorspronkelijke taal: Frans.


2 – Mededeling van de Commissie aan het Parlement en de Raad „Herstel van vertrouwen in de gegevensstromen tussen de EU en de VS” [COM(2013) 846 final].


3 – Blz. 2.


4 – PB L 215, blz. 7, met rectificatie in PB 2001, L 115, blz. 14.


5 – PB L 281, blz. 31. Richtlijn zoals gewijzigd bij verordening (EG) nr. 1882/2003 van het Europees Parlement en de Raad van 29 september 2003 (PB L 284, blz. 1; hierna: „richtlijn 95/46”).


6 – Frequently asked questions; hierna: „FAQ”.


7 – Tweede alinea van bijlage I van beschikking 2000/520.


8 –      Zie bijlage I onder „Kennisgeving”.


9 –      Zie bijlage I onder „Keuze”.


10 –      Zie bijlage I onder „Verdere doorgifte”.


11 –      Zie bijlage I onder „Beveiliging”.


12 –      Zie bijlage I onder „Integriteit van gegevens”.


13 –      Zie bijlage I onder „Toegang”.


14 –      Zie bijlage I onder „Rechtshandhaving”.


15 – Artikel 1, leden 2 en 3, van beschikking 2000/520. Zie ook bijlage II, FAQ 6.


16 – Derde alinea van bijlage I.


17 – Zie eveneens bijlage IV, B.


18 – Zie section 702 van deze wet, zoals gewijzigd bij de Foreign Intelligence Surveillance Act of 2008. Ter uitvoering van deze bepaling beschikt de NSA over een database met de naam „PRISM” (zie Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection van 27 november 2013).


19 – De High Court of Justice refereert in het bijzonder aan de eerbiediging van de menselijke waardigheid en de vrijheid van het individu (preambule), de persoonlijke autonomie (artikel 40, lid 3, punten 1 en 2), de onschendbaarheid van de woning (artikel 40, lid 5) en de bescherming van het gezinsleven (artikel 41).


20 – De High Court of Justice wijst er in dit verband op dat het voornaamste middel dat Schrems bij haar heeft aangevoerd inhield dat, gelet op de recente onthullingen van Snowden en het feit dat op grote schaal persoonsgegevens ter beschikking zijn gesteld aan de inlichtingendiensten van de Verenigde Staten, de Commissioner niet rechtsgeldig kon concluderen dat er in dat land een passend niveau van gegevensbescherming bestond.


21 – C‑293/12 en C‑594/12, EU:C:2014:238, punten 65‑69.


22 – Zie met name arrest Koushkaki (C‑84/12, EU:C:2013:862, punt 34 en aldaar aangehaalde rechtspraak).


23 – Zie arresten Commissie/Oostenrijk (C‑614/10, EU:C:2012:631, punt 36) en Commissie/Hongarije (C‑288/12, EU:C:2014:237, punt 47).


24 – Zie met name arrest Commissie/Hongarije (C‑288/12, EU:C:2014:237, punt 48 en aldaar aangehaalde rechtspraak. Zie in die zin eveneens arrest Digital Rights Ireland e.a. (C‑293/12 en C‑594/12, EU:C:2014:238, punt 68 en aldaar aangehaalde rechtspraak).


25 – Zie met name arrest Commissie/Hongarije (C‑288/12, EU:C:2014:237, punt 51 en aldaar aangehaalde rechtspraak).


26 – Arrest Commissie/Duitsland (C‑518/07, EU:C:2010:125, punt 25).


27 – Ibidem.


28 – Idem (punt 22 en aldaar aangehaalde rechtspraak).


29 – Idem (punt 23). Zie in die zin eveneens arresten Commissie/Oostenrijk (C‑614/10, EU:C:2012:631, punt 52) en Commissie/Hongarije (C‑288/12, EU:C:2014:237, punt 53).


30 – Zie conclusie van advocaat-generaal Léger in de zaak Parlement/Raad en Commissie (C‑317/04, EU:C:2005:710, punten 92‑95). Zie eveneens arrest Parlement/Raad en Commissie (C‑317/04 en C‑318/04, EU:C:2006:346, punt 56).


31 – Zie met name arrest IPI (C‑473/12, EU:C:2013:715, punt 28 en aldaar aangehaalde rechtspraak).


32 – Zie met name arrest Google Spain en Google (C‑131/12, EU:C:2014:317, punt 68 en aldaar aangehaalde rechtspraak).


33 – Zie met name arrest N. S. e.a. (C‑411/10 en C‑493/10, EU:C:2011:865, punt 77 en aldaar aangehaalde rechtspraak).


34 – C‑411/10 en C‑493/10, EU:C:2011:865.


35 – Verordening van de Raad van 18 februari 2003 tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een asielverzoek dat door een onderdaan van een derde land bij een van de lidstaten wordt ingediend (PB L 50, blz. 1).


36 – Punt 99 van dat arrest.


37 – Recueil des traités des Nations unies, deel 189, blz. 150, nr. 2545 (1954).


38 – Zie arrest N. S. e.a. (C‑411/10 en C‑493/10, EU:C:2011:865, punt 80).


39 – Idem (punt 81).


40 – Idem (punt 94).


41 – C‑411/10 en C‑493/10, EU:C:2011:865.


42 – Punt 104 van dit arrest.


43 – C‑101/01, EU:C:2003:596.


44 – Punt 65.


45 – Punt 64.


46 – Volgens Schrems is niet voldaan aan de eerste voorwaarde dat „het zeer waarschijnlijk is dat de beginselen worden geschonden”. Er wordt immers niet aangevoerd dat Facebook USA, als zelfgecertificeerde onderneming waaraan gegevens worden doorgegeven, zelf de veiligehavenbeginselen zou hebben geschonden wegens de ongedifferentieerde toegang op grote schaal van de Amerikaanse autoriteiten tot de gegevens die zij in haar bezit heeft. De veiligehavenbeginselen worden immers uitdrukkelijk beperkt door het Amerikaanse recht, dat bijlage I, vierde alinea, van beschikking 2000/520 omschrijft als wettelijke of bestuursrechtelijke bepalingen en rechtspraak.


47 – Punt 24 van de verwijzingsbeslissing.


48 – Zie met name arresten Strehl (62/76, EU:C:1977:18, punten 10‑17), Roquette Frères (145/79, EU:C:1980:234, punt 6) en Schutzverband der Spirituosen-Industrie (C‑457/05, EU:C:2007:576, punten 32‑39).


49 – Arrest Schwarze (16/65, EU:C:1965:117, blz. 1117).


50 –      Zie arrest Hauer (44/79, EU:C:1979:290, punt 16).


51 – Zie met name arrest CIVAD (C‑533/10, EU:C:2012:347, punten 39‑41 en aldaar aangehaalde rechtspraak).


52 – Zie met name arrest BVGD/Commissie (T‑104/07 en T‑339/08, EU:T:2013:366, punt 291) dat refereert aan het arrest IECC/Commissie (C‑449/98 P, EU:C:2001:275, punt 87).


53 – C‑247/08, EU:C:2009:600.


54 – Punt 49 en aldaar aangehaalde rechtspraak.


55 – Punt 50 en aldaar aangehaalde rechtspraak. Zie in die zin Lenaerts, K., Maselis, I., en Gutman, K., EU Procedural Law, Oxford University Press, 2014, die vermelden dat „in certain cases, the validity of the particular Union measure can be assessed by reference to new factors arising after that measure was adopted, depending on the determination of the Court” (punt 10.16, blz. 471).


56 – Zie blz. 5 van werkdocument WP 12 van de Commissie „Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming”, op 24 juli 1998 vastgesteld door de Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens.


57 – Zie met name arrest Fallimento Traghetti del Mediterraneo (C‑140/09, EU:C:2010:335, punt 22 en aldaar aangehaalde rechtspraak).


58 – Zie de in voetnoot 2 genoemde mededeling van de Commissie en de Mededeling van de Commissie aan het Europees Parlement en de Raad betreffende de werking van de veiligehavenregeling („Safe Harbour”) uit het oogpunt van EU-burgers en in de EU gevestigde ondernemingen [COM(2013) 847 final].


59 – Punt 7, onder c), van de verwijzingsbeslissing.


60 – Punt 7, onder b), van de verwijzingsbeslissing.


61 – Blz. 19 van haar mededeling.


62 – Zie met name arrest Kadi en Al Barakaat International Foundation/Raad en Commissie (C‑402/05 P en C‑415/05 P, EU:C:2008:461, punt 284 en aldaar aangehaalde rechtspraak).


63 – Arrest Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 en C‑139/01, EU:C:2003:294, punt 74).


64 – C‑293/12 en C‑594/12, EU:C:2014:238.


65 – Punt 35.


66 – Punt 36.


67 – Punt 7, onder b), van de verwijzingsbeslissing.


68 – Zie in dit verband arrest Digital Rights Ireland e.a. (C‑293/12 en C‑594/12, EU:C:2014:238, punten 39 en 40).


69 – Arrest Digital Rights Ireland e.a. (C‑293/12 en C‑594/12, EU:C:2014:238, punt 46 en aldaar aangehaalde rechtspraak).


70 – Idem (punt 47 en aldaar aangehaalde rechtspraak).


71 – C‑293/12 en C‑594/12, EU:C:2014:238.


72 – Punt 48.


73 – Arrest Digital Rights Ireland e.a. (C‑293/12 en C‑594/12, EU:C:2014:238, punt 52 en aldaar aangehaalde rechtspraak).


74 – Idem (punt 53).


75 – Idem (punt 54 en aldaar aangehaalde rechtspraak).


76 – Idem (punt 55 en aldaar aangehaalde rechtspraak).


77 – C‑473/12, EU:C:2013:715.


78 – Punt 32.


79 – Zie naar analogie arrest Digital Rights Ireland e.a. (C‑293/12 en C‑594/12, EU:C:2014:238, punt 57 en aldaar aangehaalde rechtspraak).


80 – Idem (punten 58 en 59).


81 – C‑293/12 en C‑594/12, EU:C:2014:238.


82 – Punt 65.


83 –      Ibidem.


84 –      Idem (punt 66).


85 – Zie in dit verband bijlage II, FAQ 11, van beschikking 2000/520, onder „Actie van de FTC” en bijlagen III, V en VII ervan.


86 – Zie arrest Digital Rights Ireland e.a. (C‑293/12 en C‑594/12, EU:C:2014:238, punt 68 en aldaar aangehaalde rechtspraak).


87 – Zie Poullet, Y., „L’autorité de contrôle: ‚vues’ de Bruxelles”, Revue française d’administration publique, nr. 89, januari-maart 1999, blz. 69, met name blz. 71.


88 – Zie blz. 7 van het in voetnoot 56 vermelde werkdocument WP 12 van de Commissie.


89 – Blz. 10 en 11 van de in voetnoot 2 vermelde mededeling van de Commissie.


90 – Punt 7.2, blz. 20, van de in voetnoot 58 vermelde mededeling van de Commissie.


91 – Zie over deze kwestie Kuner, C., „Foreign Nationals and Data Protection Law: A Transatlantic Analysis”, Data Protection Anno 2014: How To Restore Trust?, Intersentia, Cambridge, 2014, blz. 213, met name blz. 216 e.v.


92 – Punt 44.


93 –      Ibidem.


94 – Zie blz. 5 van de in voetnoot 2 vermelde mededeling van de Commissie.


95 – Zie in die zin arrest Agrarproduktion Staebelow (C‑504/04, EU:C:2006:30, punt 40).


96 –      Het Hof heeft in het arrest T. Port (C‑68/95, EU:C:1996:452) weliswaar geoordeeld dat „het Verdrag niet voorziet in de mogelijkheid dat een nationale rechter het Hof bij wege van prejudiciële verwijzing verzoekt het nalaten van een instelling vast te stellen” (punt 53), maar lijkt een dergelijke mogelijkheid gunstiger gezind in het arrest Ten Kate Holding Musselkanaal e.a. (C‑511/03, EU:C:2005:625, punt 29).