Sag C-362/14
Maximillian Schrems
mod
Data Protection Commissioner
(anmodning om præjudiciel afgørelse indgivet af High Court (Irland))
»Præjudiciel forelæggelse – personoplysninger – beskyttelse af fysiske personer i forbindelse med behandling af disse oplysninger – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – direktiv 95/46/EF – artikel 25 og 28 – videregivelse af personoplysninger til tredjelande – beslutning 2000/520/EF – videregivelse af personoplysninger til USA – utilstrækkeligt beskyttelsesniveau – gyldighed – klage fra en fysisk person, hvis oplysninger er blevet videregivet fra Unionen til USA – de nationale tilsynsmyndigheders beføjelser«
Sammendrag – Domstolens dom (Store Afdeling) af 6. oktober 2015
1. Tilnærmelse af lovgivningerne – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – direktiv 95/46 – fortolkning i lyset af de grundlæggende rettigheder
(Den Europæiske Unions charter om grundlæggende rettigheder; Europa-Parlamentets og Rådets direktiv 95/46)
2. Tilnærmelse af lovgivningerne – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – direktiv 95/46 – nationale tilsynsmyndigheder – krav om uafhængighed
(Art. 16, stk. 2, TEUF; Den Europæiske Unions charter om grundlæggende rettigheder, art. 8, stk. 3; Europa-Parlamentets og Rådets direktiv 95/46, 62. betragtning og art. 28, stk. 1)
3. Tilnærmelse af lovgivningerne – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – direktiv 95/46 – nationale tilsynsmyndigheder – beføjelser – kontrol med videregivelsen af personoplysninger til et tredjeland – omfattet
(Den Europæiske Unions charter om grundlæggende rettigheder, art. 8, stk. 3; Europa-Parlamentets og Rådets direktiv 95/46, art. 28)
4. Tilnærmelse af lovgivningerne – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – direktiv 95/46 – videregivelse af personoplysninger til tredjelande – Kommissionens vedtagelse af en afgørelse, hvori det fastslås, at beskyttelsesniveauet i et tredjeland er tilstrækkeligt – afgørelse, der er bindende for alle de medlemsstater, som den er rettet til – efterprøvelse af en sådan afgørelses gyldighed – de nationale tilsynsmyndigheder og de nationale domstoles respektive roller
(Art. 288, stk. 4, TEUF; Den Europæiske Unions charter om grundlæggende rettigheder, art. 8, stk. 3, og art. 47; Europa-Parlamentets og Rådets direktiv 95/46, art. 25, stk. 6, og art. 28, stk. 3 og 4)
5. Tilnærmelse af lovgivningerne – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – direktiv 95/46 – videregivelse af personoplysninger til tredjelande – Kommissionens vedtagelse af en afgørelse, hvori det fastslås, at beskyttelsesniveauet i et tredjeland er tilstrækkeligt – national tilsynsmyndighed, hvortil der er indgivet en anmodning om beskyttelse af rettigheder og frihedsrettigheder i forbindelse med behandlingen af de videregivne oplysninger vedrørende den person, der har indgivet anmodningen – person, der har indgivet en anmodning, og som bestrider, at beskyttelsesniveauet i dette tredjeland er tilstrækkeligt – den nævnte myndigheds forpligtelse til at behandle anmodningen – behandlingens omfang
(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7, 8 og 47; Europa-Parlamentets og Rådets direktiv 95/46, art. 25, stk. 6, og art. 28)
6. Tilnærmelse af lovgivningerne – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – direktiv 95/46 – videregivelse af personoplysninger til tredjelande – Kommissionens vedtagelse af en afgørelse, hvori det fastslås, at beskyttelsesniveauet i et tredjeland er tilstrækkeligt – begrebet et tilstrækkeligt beskyttelsesniveau – bedømmelseskriterier – Kommissionens skønsbeføjelse
(Europa-Parlamentets og Rådets direktiv 95/46, art. 25, stk. 2 og 6)
7. Tilnærmelse af lovgivningerne – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – direktiv 95/46 – videregivelse af personoplysninger til tredjelande – Kommissionens vedtagelse af en afgørelse, hvori det fastslås, at beskyttelsesniveauet i et tredjeland er tilstrækkeligt – beslutning 2000/520, hvori det fastslås, at beskyttelsesniveauet i USA er tilstrækkeligt – ugyldighed
(Den Europæiske Unions charter om grundlæggende rettigheder; Europa-Parlamentets og Rådets direktiv 95/46, art. 25, stk. 6, og art. 28; Kommissionens beslutning 2000/520, art. 1-4)
8. Grundlæggende rettigheder – ret til respekt for privatlivet – beskyttelse af personoplysninger – EU-lovgivning, der indeholder et indgreb i disse grundlæggende rettigheder – betingelser – tilstrækkelige garantier mod risikoen for misbrug – overholdelse af proportionalitetsprincippet
(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7 og 8)
1. Jf. afgørelsens tekst.
(jf. præmis 38)
2. Jf. afgørelsens tekst.
(jf. præmis 40 og 41)
3. De nationale tilsynsmyndigheder råder over en bred vifte af beføjelser, og disse beføjelser, der er opregnet på ikke-udtømmende vis i artikel 28, stk. 3, i direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, udgør lige så mange beføjelser, der er nødvendige til varetagelsen af deres opgaver, således som det er fremhævet i 63. betragtning til direktivet. De nævnte myndigheder er således bl.a. tillagt beføjelser til at iværksætte undersøgelser, såsom beføjelsen til at indsamle alle de oplysninger, der er nødvendige for at varetage deres tilsynsopgaver, beføjelser til at gribe effektivt ind, såsom beføjelsen til midlertidigt eller definitivt at forbyde en behandling af oplysninger, eller beføjelse til at indbringe sager for retsinstanserne.
Hvad angår beføjelsen til at kontrollere videregivelsen af personoplysninger til tredjelande fremgår det ganske vist af artikel 28, stk. 1 og 6, i direktiv 95/46, at de nationale tilsynsmyndigheders beføjelser vedrører den behandling af personoplysninger, der foretages på den medlemsstats område, som disse myndigheder henhører under, således at de ikke råder over nogen beføjelser på grundlag af denne artikel 28 i forhold til den behandling af sådanne oplysninger, der foretages på et tredjelands område. Den transaktion, der består i at overføre personoplysninger fra en medlemsstat til et tredjeland, udgør imidlertid som sådan en behandling af personoplysninger som omhandlet i artikel 2, litra b), i direktiv 95/46 foretaget på en medlemsstats område. Da de nationale tilsynsmyndigheder i overensstemmelse med artikel 8, stk. 3, i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 28 i direktiv 95/46 har til opgave at påse overholdelsen af de EU-retlige regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, er hver af disse følgelig blevet tillagt beføjelse til at undersøge, om en videregivelse af disse oplysninger fra den medlemsstat, som myndigheden henhører under, til et tredjeland overholder de ved direktivet fastsatte krav.
(jf. præmis 43-45 og 47)
4. Kommissionen kan på grundlag af artikel 25, stk. 6, i direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger vedtage en afgørelse, hvori det fastslås, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. Adressaterne for en sådan afgørelse er i overensstemmelse med denne bestemmelses andet afsnit de medlemsstater, som skal træffe de foranstaltninger, der er nødvendige for at efterkomme afgørelsen. I medfør af artikel 288, stk. 4, TEUF er afgørelsen bindende for alle de medlemsstater, som den er rettet til, og den omfatter derfor også samtlige deres organer, for så vidt som den bevirker, at der gives tilladelse til videregivelse af personoplysninger fra medlemsstaterne til det af afgørelsen omfattede tredjeland.
Så længe Domstolen, som er enekompetent til at fastslå ugyldigheden af en EU-retsakt, ikke har fastslået, at Kommissionens afgørelse er ugyldig, er det således korrekt, at medlemsstaterne og deres organer, herunder deres uafhængige tilsynsmyndigheder, ikke kan vedtage foranstaltninger, der er i strid med denne afgørelse, såsom retsakter, ved hvilke det med bindende virkning tilsigtes at konstatere, at det i afgørelsen omhandlede tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau. Der gælder nemlig i princippet en formodning om, at EU-institutionernes retsakter er lovlige, og de afføder derfor retsvirkninger, så længe de ikke er blevet trukket tilbage, annulleret under et annullationssøgsmål eller erklæret ugyldige som følge af en præjudiciel forelæggelse eller en ulovlighedsindsigelse.
Selv om de nationale domstole ganske vist har ret til at efterprøve gyldigheden af en EU-retsakt, er de imidlertid ikke beføjet til selv at erklære en sådan retsakt ugyldig. Så meget desto mere gælder det, at de nationale tilsynsmyndigheder under behandlingen af en anmodning som omhandlet i direktivets artikel 28, stk. 4, vedrørende spørgsmålet, om en sådan afgørelse fra Kommissionen er forenelig med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder, ikke har ret til selv at konstatere, at en sådan afgørelse er ugyldig.
For det tilfælde, at den nævnte myndighed når frem til den konklusion, at de forhold, der er blevet gjort gældende til støtte for en sådan anmodning, savner grundlag, og som følge heraf afviser anmodningen, skal den person, der har indgivet anmodningen, således som det fremgår af artikel 28, stk. 3, andet afsnit, i direktiv 95/46, sammenholdt med artikel 47 i Den Europæiske Unions charter om grundlæggende rettigheder, have adgang til de retslige retsmidler, der gør det muligt for den pågældende at bestride en sådan bebyrdende retsakt ved de nationale domstole. På denne baggrund er disse domstole forpligtet til at udsætte sagen og forelægge Domstolen et præjudicielt spørgsmål vedrørende gyldigheden, såfremt de er af den opfattelse, at et eller flere af de ugyldighedsanbringender, som parterne har påberåbt sig for dem, eller som de nævnte domstole i givet fald har rejst af egen drift, er begrundede.
I det modsatte tilfælde, hvor den nævnte myndighed finder, at de klagepunkter, som er fremsat af den person, der har indgivet en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandlingen af vedkommendes personoplysninger, er begrundede, skal myndigheden i overensstemmelse med artikel 28, stk. 3, første afsnit, tredje led, i direktiv 95/46, sammenholdt med bl.a. artikel 8, stk. 3, i Den Europæiske Unions charter om grundlæggende rettigheder, kunne anlægge sag. I denne henseende påhviler det den nationale lovgiver at fastsætte retsmidler, der gør det muligt for den pågældende nationale tilsynsmyndighed at gøre de klagepunkter, som den finder begrundede, gældende for de nationale domstole, således at disse, såfremt de deler myndighedens tvivl vedrørende gyldigheden af Kommissionens afgørelse, kan foretage en præjudiciel forelæggelse med henblik på en efterprøvelse af denne afgørelses gyldighed.
(jf. præmis 51, 52, 61, 62, 64 og 65)
5. Artikel 25, stk. 6, i direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, sammenholdt med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at en afgørelse vedtaget i henhold til denne bestemmelse, hvorved Kommissionen fastslår, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, ikke er til hinder for, at en medlemsstats tilsynsmyndighed som omhandlet i direktivets artikel 28 behandler en persons anmodning om beskyttelse af vedkommendes rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger, der vedrører den pågældende, og som er blevet videregivet fra en medlemsstat til dette tredjeland, når denne person gør gældende, at den gældende lovgivning og praksis i tredjelandet ikke sikrer et tilstrækkeligt beskyttelsesniveau.
I modsat fald ville de personer, hvis personoplysninger er blevet eller kan blive videregivet til det pågældende tredjeland, blive berøvet deres ved artikel 8, stk. 1 og 3, i Den Europæiske Unions charter om grundlæggende rettigheder sikrede ret til at indgive en anmodning til de nationale tilsynsmyndigheder med henblik på beskyttelse af deres grundlæggende rettigheder.
En anmodning som omhandlet i artikel 28, stk. 4, i direktiv 95/46, hvorved en sådan person gør gældende, at dette lands lovgivning og praksis – uanset det af Kommissionen fastslåede i en afgørelse vedtaget i henhold til direktivets artikel 25, stk. 6 – ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal desuden forstås således, at den i det væsentlige vedrører denne afgørelses forenelighed med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder. Når en person, hvis personoplysninger er blevet eller kan blive videregivet til et tredjeland, der har været genstand for en afgørelse vedtaget af Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46, indgiver en sådan anmodning til en national tilsynsmyndighed, påhviler det under disse omstændigheder denne myndighed at behandle anmodningen med den fornødne omhu.
(jf. præmis 58, 59, 63 og 66 samt domskonkl. 1)
6. Udtrykket »et tilstrækkeligt beskyttelsesniveau«, der er indeholdt i artikel 25, stk. 6, i direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, skal forstås således, at det opstiller et krav om, at dette tredjeland på grundlag af dets nationale lovgivning eller dets internationale forpligtelser faktisk sikrer et beskyttelsesniveau for frihedsrettighederne og de grundlæggende rettigheder, som i det væsentlige svarer til det niveau, der er sikret inden for Unionen i medfør af dette direktiv, sammenholdt med Den Europæiske Unions charter om grundlæggende rettigheder.
På denne baggrund er Kommissionen under vurderingen af et tredjelands beskyttelsesniveau forpligtet til at bedømme såvel indholdet af de regler, der finder anvendelse i dette land, og som følger af landets nationale lovgivning eller internationale forpligtelser, som den praksis, hvorved det tilsigtes at sikre overholdelsen af disse regler, idet den nævnte institution i overensstemmelse med artikel 25, stk. 2, i direktiv 95/46 skal tage hensyn til samtlige de forhold, der vedrører en videregivelse af personoplysninger til et tredjeland. Henset til den omstændighed, at det beskyttelsesniveau, som et tredjeland sikrer, kan ændre sig, påhviler det endvidere Kommissionen efter vedtagelse af en afgørelse i henhold til artikel 25, stk. 6, i direktiv 95/46 at undersøge med regelmæssige mellemrum, om konstateringen vedrørende det tilstrækkelige beskyttelsesniveau, som er sikret i det pågældende tredjeland, stadig er faktisk og retligt begrundet. En sådan undersøgelse skal under alle omstændighed foretages, når oplysninger bevirker, at der opstår tvivl i denne henseende.
Henset til dels den betydelige rolle, som beskyttelsen af personoplysninger spiller i forhold til den grundlæggende ret til respekt for privatlivet, dels det betragtelige antal personer, hvis grundlæggende rettigheder kan blive tilsidesat i tilfælde af videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau, er Kommissionens skønsbeføjelse for så vidt angår vurderingen af, om dette niveau er tilstrækkeligt, begrænset, hvorfor der skal foretages en streng efterprøvelse af de krav, som følger af artikel 25 i direktiv 95/46, sammenholdt med Den Europæiske Unions charter om grundlæggende rettigheder.
(jf. præmis 73, 75, 76 og 78)
7. Kommissionens vedtagelse af en afgørelse i henhold til artikel 25, stk. 6, i direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger – såsom beslutning 2000/520 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium – kræver, at Kommissionen behørigt konstaterer, at det pågældende tredjeland på grundlag af dets nationale lovgivning eller dets internationale forpligtelser faktisk sikrer et beskyttelsesniveau for de grundlæggende rettigheder, som i det væsentlige svarer til det niveau, der er sikret i Unionens retsorden.
Da Kommissionen imidlertid ikke har konstateret dette i beslutning 2000/520, tilsidesætter beslutningens artikel 1 de krav, der er fastsat i artikel 25, stk. 6, i direktiv 95/46, sammenholdt med Den Europæiske Unions charter om grundlæggende rettigheder, og bestemmelsen er følgelig ugyldig. Safe harbor-principperne finder nemlig udelukkende anvendelse på de selvcertificerede amerikanske foretagender, der modtager personoplysninger fra Unionen, uden at der stilles krav om, at de amerikanske offentlige myndigheder i USA undergives overholdelse af de nævnte principper. Endvidere åbner beslutning 2000/520 op for, at der på grundlag af kravene vedrørende statens sikkerhed og almenvellet eller på grundlag af den nationale amerikanske lovgivning foretages indgreb i de grundlæggende rettigheder hos de personer, hvis personoplysninger bliver eller kan blive videregivet fra Unionen til USA, uden at beslutningen indeholder nogen konstateringer om, hvorvidt der i USA foreligger regler af statslig karakter, hvorved det tilsigtes at begrænse de eventuelle indgreb i disse rettigheder, og uden at det af beslutningen fremgår, at der foreligger en effektiv domstolsbeskyttelse mod indgreb af denne art.
Kommissionen har desuden overskredet den kompetence, som den er blevet tillagt i artikel 25, stk. 6, i direktiv 95/46, sammenholdt med Den Europæiske Unions charter om grundlæggende rettigheder, ved at vedtage artikel 3 i beslutning 2000/520, som følgelig er ugyldig. Denne artikel skal nemlig forstås således, at den berøver de nationale tilsynsmyndigheder de beføjelser, som de er tillagt i medfør af artikel 28 i direktiv 95/46, i det tilfælde, hvor en person i forbindelse med en anmodning i henhold til denne bestemmelse anfører nogle forhold, der kan rejse tvivl om, hvorvidt en afgørelse fra Kommissionen, hvorved det på grundlag af direktivets artikel 25, stk. 6, er blevet konstateret, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, er forenelig med beskyttelsen af privatlivet og personers frihedsrettigheder og grundlæggende rettigheder. Den gennemførelsesbeføjelse, som EU-lovgiver har indrømmet Kommissionen i artikel 25, stk. 6, i direktiv 95/46, giver imidlertid ikke denne institution kompetence til at begrænse de nævnte beføjelser hos de nationale tilsynsmyndigheder.
Da artikel 1 og 3 i beslutning 2000/520 ikke kan adskilles fra beslutningens artikel 2 og 4 og fra bilagene til beslutningen, indebærer deres ugyldighed, at beslutningens gyldighed i det hele berøres.
(jf. præmis 82, 87-89, 96-98 og 102-105 samt domskonkl. 2)
8. En EU-lovgivning, som indebærer et indgreb i de ved artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder sikrede grundlæggende rettigheder, skal fastsætte klare og præcise regler, som regulerer rækkevidden og anvendelsen af en foranstaltning og opstiller en række mindstekrav, således at de personer, hvis personoplysninger er berørt, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres oplysninger mod risikoen for misbrug og mod ulovlig adgang til og anvendelse af disse oplysninger. Behovet for at råde over sådanne garantier er så meget desto større, når personoplysningerne undergives automatisk databehandling, og der eksisterer en betydelig risiko for ulovlig adgang til disse oplysninger. Desuden kræver beskyttelsen af den grundlæggende ret til respekt for privatlivet på EU-plan særligt, at undtagelserne fra og begrænsningerne af beskyttelsen af personoplysninger holdes inden for det strengt nødvendige.
En lovgivning, der på generel vis tillader opbevaring af samtlige personoplysninger fra samtlige de personer, hvis oplysninger er blevet videregivet fra Unionen, uden at der bliver foretaget nogen form for differentiering, begrænsning eller undtagelse under hensyn til det forfulgte mål, og uden at der bliver fastsat noget objektivt kriterium, som gør det muligt at afgrænse de offentlige myndigheders adgang til oplysningerne og deres senere anvendelse heraf med henblik på veldefinerede formål, der er strengt begrænsede, og som kan begrunde det indgreb, som såvel adgangen til disse oplysninger som anvendelsen heraf indebærer, er således ikke begrænset til det strengt nødvendige.
Navnlig skal en lovgivning, der gør det muligt for de offentlige myndigheder på generel vis at få adgang til indholdet af elektronisk kommunikation, anses for at udgøre et indgreb i det væsentligste indhold af den grundlæggende ret til respekt for privatlivet, således som denne er sikret ved artikel 7 i Den Europæiske Unions charter om grundlæggende rettigheder.
Tilsvarende opfylder en lovgivning, der ikke fastsætter nogen mulighed for retssubjektet til at gøre brug af retsmidler med henblik på at få adgang til personoplysninger, som vedrører den pågældende, eller til at få sådanne oplysninger berigtiget eller slettet, ikke det væsentligste indhold af den grundlæggende ret til en effektiv domstolsbeskyttelse, således som denne er sikret ved artikel 47 i Den Europæiske Unions charter om grundlæggende rettigheder. Denne artikels stk. 1 opstiller således et krav om, at enhver, hvis rettigheder og friheder som sikret af EU-retten er blevet krænket, skal have adgang til effektive retsmidler for en domstol under overholdelse af de betingelser, der er fastsat i denne artikel. I denne henseende er selve eksistensen af en effektiv domstolsbeskyttelse, som skal sikre overholdelsen af de EU-retlige bestemmelser, uløseligt forbundet med eksistensen af en retsstat.
(jf. præmis 91-95)