FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

Y. Bot

fremsat den 23. september 2015 (1)

Sag C-362/14

Maximillian Schrems

mod

Data Protection Commissioner

(anmodning om præjudiciel afgørelse indgivet af High Court of Ireland (Irland))

»Præjudiciel forelæggelse – personoplysninger – beskyttelse af fysiske personer i forbindelse med behandlingen af disse data – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – direktiv 95/46/EF – artikel 25 – beslutning 2000/520/EF – overførsel af personoplysninger til USA – vurdering af, om beskyttelsesniveauet er tilstrækkeligt eller ej – klage fra en fysisk person, hvis data er blevet overført til et tredjeland – national tilsynsmyndighed – beføjelser«

I –    Indledning

1.        Kommissionen har i sin meddelelse af 27. november 2013 (2) fastslået, at »[o]verførsler af personoplysninger udgør et vigtigt og nødvendigt element i det transatlantiske forhold. De er en uadskillelig del af samhandelen på tværs af Atlanten, herunder i de nye digitale vækstvirksomheder, f.eks. inden for sociale medier og cloud computing. Derfor overføres store datamængder fra EU til USA« (3).

2.        Samhandelen er genstand for Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium (4). Denne beslutning udgør retsgrundlaget for overførsel af personoplysninger fra EU til virksomheder, som er etableret i USA, og som har tilsluttet sig safe harbor-principperne.

3.        Den nævnte beslutning stilles nu over for den udfordring, som det vil være at sikre datastrømmene mellem EU og USA og samtidig garantere det høje beskyttelsesniveau for disse data, der kræves i EU-retten.

4.        En række nye afsløringer har vist, at der findes omfattende amerikanske programmer for indsamling af efterretninger. Disse afsløringer har vakt bekymring om overholdelsen af de EU-retlige regler i forbindelse med overførsel af personoplysninger til virksomheder i USA og om svaghederne i safe harbor-ordningen.

5.        Domstolen anmodes i denne præjudicielle sag om at præcisere, hvordan de nationale tilsynsmyndigheder og Kommissionen skal forholde sig, når de støder på uregelmæssigheder i forbindelse med beslutning 2000/520.

6.        Kapitel IV i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (5) indeholder regler om videregivelse af personoplysninger til tredjelande.

7.        Artikel 25, stk. 1, i dette kapital i direktivet opstiller et princip om, at videregivelse til et tredjeland af personoplysninger, der gøres til genstand for behandling, eller som skal gøres til genstand for behandling efter videregivelsen, kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau for disse oplysninger.

8.        Som EU-lovgiver har påpeget i 57. betragtning til dette direktiv, skal videregivelse af personoplysninger til et tredjeland derimod forbydes, hvis dette land ikke sikrer et tilstrækkeligt beskyttelsesniveau.

9.        Det fremgår af artikel 25, stk. 2, i direktiv 95/46, at »[v]urderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger; til grund for vurderingen lægges navnlig oplysningernes art, den eller de påtænkte behandlingers formål og varighed, oprindelseslandet og det endelige bestemmelsesland, de retsregler – almindelige regler eller sektorregler – der er i kraft i det pågældende tredjeland, samt de regler for god forretningsskik og de sikkerhedsforanstaltninger, der gælder i landet«.

10.      Kommissionen kan i henhold til dette direktivs artikel 25, stk. 6, fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, på grundlag af dets nationale lovgivning eller dets internationale forpligtelser. Når Kommissionen har fastslået dette, må der videregives personoplysninger til det pågældende tredjeland.

11.      Kommissionen vedtog beslutning 2000/520 i medfør af denne bestemmelse. Det fremgår af denne beslutnings artikel 1, stk. 1, at »safe harbor-principperne«, der finder anvendelse i overensstemmelse med de normgivende »hyppige spørgsmål« (6), formodes at sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til virksomheder i USA.

12.      Beslutning 2000/520 tillader som følge heraf, at der overføres personoplysninger fra medlemsstaterne til virksomheder i USA, som har forpligtet sig til at overholde safe harbor-principperne.

13.      Bilag I til beslutning 2000/520 indeholder en række principper, som virksomhederne kan vælge at tilslutte sig, med tilhørende grænser og et særligt tilsynssystem. Mere end 3 200 virksomheder havde i 2013 tilsluttet sig denne ordning, der kan betragtes som en »adfærdskodeks«.

14.      Safe harbor-ordningen bygger på en løsning, hvor private virksomheders selvcertificering og selvevaluering kombineres med indgreb fra det offentliges side.

15.      Safe harbor-principperne er udviklet »i samarbejde med industrien og offentligheden for at fremme handelen mellem USA og EU. De er udelukkende beregnet på at blive anvendt af amerikanske foretagender, der modtager personoplysninger fra EU, og som ønsker at leve op til kravene i safe harbor-ordningen og således drage fordel af den formodning om »tilstrækkelighed«, dette medfører« (7).

16.      Safe harbor-principperne i bilag I til beslutning 2000/520 omfatter bl.a.

–        En oplysningspligt, hvorefter et foretagende »skal oplyse fysiske personer om, hvilke formål der ligger til grund for indsamlingen og anvendelsen af personoplysninger om de pågældende, hvorledes foretagendet kan kontaktes i tilfælde af forespørgsler eller klager, til hvilken type tredjemand oplysningerne videregives, samt hvilke valgmuligheder og midler foretagendet tilbyder disse fysiske personer med henblik på at begrænse anvendelsen og videregivelsen af personoplysninger. Oplysningen skal formidles […], når fysiske personer første gang anmodes om at levere personoplysninger til foretagendet, eller så hurtigt som muligt derefter, dog under alle omstændigheder inden foretagendet anvender de pågældende personoplysninger til et andet formål end det, hvortil de oprindeligt blev indsamlet eller behandlet af det foretagende, der har overført oplysningerne, eller videregiver dem for første gang til tredjemand« (8).

–        En forpligtelse for et foretagende til at give fysiske personer mulighed for at vælge, hvorvidt deres oplysninger skal videregives til tredjemand eller anvendes til et formål, der er uforeneligt med det, hvortil oplysningerne oprindeligt blev indsamlet, eller hvortil de fysiske personer efterfølgende har givet tilladelse. I tilfælde af følsomme oplysninger »skal de pågældende fysiske personer udtrykkeligt give deres godkendelse (opt in), hvis oplysningerne skal videregives til tredjemand eller anvendes til et andet formål end det, hvortil de oprindeligt er blevet indsamlet, eller som de fysiske personer på grundlag af deres valgfrihed efterfølgende har givet tilladelse til« (9).

–        Regler om videre overførsel af oplysninger. Et foretagende må således udelukkende videregive personoplysninger til tredjemand, hvis det overholder principperne om oplysningspligt og valgfrihed (10).

–        Med hensyn til datasikkerhed en forpligtelse for »[e]t foretagende, der opretter, vedligeholder, anvender eller spreder personoplysninger, [til at] træffe passende foranstaltninger for at beskytte disse oplysninger mod tab, misbrug, uautoriseret adgang, videregivelse, ændring eller ødelæggelse« (11).

–        Med hensyn til dataintegritet en forpligtelse for et foretagende til »i det omfang, det er nødvendigt […] [at] træffe passende foranstaltninger for at sikre, at oplysningerne er pålidelige, nøjagtige, fuldstændige og ajourførte« (12).

–        Et krav om, at fysiske personer skal »have adgang til de personoplysninger, som et foretagende er i besiddelse af om dem, og [at] de skal have mulighed vor at ændre eller fjerne ukorrekte oplysninger« (13).

–        En forpligtelse til at indføre »mekanismer til at sikre, at safe harbor-principperne overholdes, at de fysiske personer, som personoplysningerne vedrører, kan gøre indsigelse, hvis principperne ikke overholdes, og at det får konsekvenser for et foretagende, hvis det ikke overholder principperne« (14).

17.      Et amerikansk foretagende, der ønsker at tilslutte sig safe harbor-principperne, skal i sine retningslinjer for beskyttelse af privatlivets fred kundgøre, at det har tilsluttet sig disse principper og reelt overholder dem, og certificere sig selv ved at erklære over for det amerikanske handelsministerium, at det følger de nævnte principper (15).

18.      Der findes forskellige måder, hvorpå foretagender kan overholde safe harbor-principperne. De kan f.eks. »[deltage] i en ordning til beskyttelse af privatlivets fred, der bygger på selvregulering, og som er i overensstemmelse med safe harbor-principperne«, eller »udvikle sine egne retningslinjer til beskyttelse af privatlivets fred på grundlag af selvregulering, såfremt de er i overensstemmelse med safe harbor-principperne«. »Hertil kommer, at et foretagende, der er underlagt lovbestemmelser, administrative forskrifter eller andre regler (eller bestemmelser), der effektivt beskytter privatlivets fred, ligeledes kan drage fordel af safe harbor-ordningen« (16).

19.      Der findes en række mekanismer – baseret på privat voldgift og tilsyn fra offentlige myndigheder – som gør det muligt at kontrollere, om safe harbor-principperne overholdes. Kontrollen kan således sikres af en uafhængig tredjepart som led i et system for alternativ tvistbilæggelse. Virksomheden kan i øvrigt forpligte sig til at samarbejde med EU’s Databeskyttelsespanel. Kompetencen til at behandle eventuelle klager ligger endelig hos Federal Trade Commission (herefter »FTC«) inden for rammerne af de beføjelser, som dette organ tillægges i section 5 i Federal Trade Commission Act, og hos Department of Transportation (transportministeriet) inden for rammerne af de beføjelser, som ministeriet tillægges i afsnit 49, section 41712, i United States Code.

20.      Ifølge fjerde afsnit i bilag I til beslutning 2000/520 kan overholdelsen af safe harbor-principperne bl.a. være begrænset til »et niveau, der er tilstrækkeligt for at opfylde kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og orden«, og af »love, administrative bestemmelser eller retspraksis, der medfører modstridende forpligtelser eller udtrykkelige tilladelser, såfremt foretagender i forbindelse med anvendelsen af sådanne tilladelser kan påvise, at de kun overtræder principperne i det omfang, som er nødvendigt for at tilgodese de altovervejende legitime interesser, som den pågældende tilladelse har til hensigt at fremme« (17).

21.      De kompetente myndigheder i medlemsstaterne har desuden mulighed for at suspendere overførslen af oplysninger, såfremt betingelserne i artikel 3, stk. 1, i beslutning 2000/520 er opfyldt.

22.      Den foreliggende anmodning om præjudiciel afgørelse vedrører rækkevidden af beslutning 2000/520, henset til artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) og henset til artikel 25, stk. 6, og artikel 28 i direktiv 95/46. Denne anmodning er blevet fremsat i forbindelse med en tvist mellem Maximillian Schrems og Data Protection Commissioner (repræsentanten for datatilsynet, herefter »Commissioner«) vedrørende Commissioners manglende behandling af Maximillian Schrems’ klage over, at Facebook Ireland Ltd (herefter »Facebook Ireland«) opbevarer personoplysninger om sine brugere på servere i USA.

23.      Maximillian Schrems er østrigsk statsborger og bor i Østrig. Han har været bruger af det sociale netværk Facebook siden 2008.

24.      Alle brugere af Facebook, der har bopæl i EU, bliver bedt om at underskrive en aftale med Facebook Ireland, som er et datterselskab til det amerikanske moderselskab Facebook Inc. (herefter »Facebook USA«). Visse eller alle data vedrørende Facebook-brugere, der har bopæl i Unionen, overføres til og opbevares på Facebook USA’s servere, der befinder sig i USA.

25.      Maximillian Schrems indgav den 25. juni 2013 en klage til Commissioner, hvori han i det væsentlige gjorde gældende, at amerikansk ret og praksis ikke yder nogen reel beskyttelse af de data, der opbevares i USA, mod statslig overvågning. Dette støttede han på Edward Snowdens afsløringer fra maj 2013 om de amerikanske efterretningstjenesters aktiviteter og navnlig aktiviteterne i National Security Agency (herefter »NSA«).

26.      Det fremgår bl.a. af disse afsløringer, at NSA har iværksat et program ved navn »PRISM«, der har givet NSA fri adgang til massedata, som ligger på servere i USA, og som ejes eller kontrolleres af en række selskaber på internet- og teknologiområdet, heriblandt Facebook USA.

27.      Commissioner mente ikke, at han var forpligtet til at behandle klagen, eftersom den ikke havde hold i loven. Commissioner fandt det ikke bevist, at NSA havde skaffet sig adgang til Maximillian Schrems’ personoplysninger. Commissioner mente desuden, at klagen måtte afvises som følge af beslutning 2000/520, hvori Kommissionen fastslog, at USA sikrer et tilstrækkeligt beskyttelsesniveau for de overførte personoplysninger gennem safe harbor-ordningen. Ethvert spørgsmål om, hvorvidt disse oplysninger beskyttes tilstrækkeligt i USA, bør efter Commissioners opfattelse afgøres i overensstemmelse med denne beslutning, som er til hinder for, at han undersøger det problem, der er rejst i klagen.

28.      Commissioner afviste klagen på grundlag af følgende nationale lovgivning.

29.      Section 10, stk. 1, i Data Protection (Amendment) Act 1988, som ændret ved Data Protection Act 2003 (herefter »Data Protection Act«), bemyndiger Commissioner til at undersøge klager og bestemmer følgende:

»a)      Commissioner kan undersøge eller lade undersøge, om bestemmelserne i nærværende lov er blevet overtrådt, overtrædes eller vil kunne overtrædes i forhold til en person, hvis den pågældende klager til ham over en overtrædelse af en af disse bestemmelser, eller han i øvrigt mener, at der kan foreligge en sådan overtrædelse.

b)      Når der indgives en klage til Commissioner i henhold til litra a) i dette stykke, skal Commissioner

i)      undersøge klagen eller lade den undersøge, medmindre han anser den for at være useriøs eller urimelig, og

ii)      hvis han eller hun ikke inden for en rimelig frist kan finde en mindelig løsning for de parter, som er berørt af det forhold, der klages over, give den person, der har indgivet klagen, skriftlig meddelelse om hans eller hendes beslutning vedrørende klagen og meddele klageren, at vedkommende kan anke et eventuelt afslag til retten i henhold til nærværende lovs section 26 senest 21 dage efter at have modtaget meddelelsen.«

30.      Commissioner fastslog i det foreliggende tilfælde, at Maximillian Schrems’ klage var »useriøs eller urimelig«, eftersom hans klage ikke havde hold i loven, og at han derfor ikke havde udsigt til at få medhold. Commissioner undlod af denne grund at undersøge klagen.

31.      Section 11 i Data Protection Act vedrører videregivelse af personoplysninger til udlandet. Section 11, stk. 2, litra a), heri bestemmer:

»Hvis der i forbindelse med et søgsmål under denne lov opstår spørgsmål om,

i)      hvorvidt der sikres et tilstrækkeligt beskyttelsesniveau som krævet i stk. 1 i denne section i et land eller territorium uden for Det Europæiske Økonomiske Samarbejdsområde [EØS], som der skal videregives personoplysninger til, og

ii)      der foreligger en konklusion i en fællesskabsundersøgelse om videregivelser af den pågældende art,

skal dette spørgsmål afgøres i overensstemmelse med denne konklusion.«

32.      Begrebet konklusion i en fællesskabsundersøgelse (Community finding) defineres således i section 11, stk. 2, litra b), i Data Protection Act:

»Ved »konklusion i en fællesskabsundersøgelse« i dette stykkes litra a) forstås en konklusion, som [Kommissionen] har draget i henhold til artikel 25, stk. 4 eller 6, i [direktiv 95/46] efter proceduren i dette direktivs artikel 31 for at fastslå, om et land eller territorium uden for [EØS] sikrer et tilstrækkeligt beskyttelsesniveau som krævet i stk. 1 i denne section.«

33.      Commissioner bemærkede, at beslutning 2000/520 var en »konklusion i en fællesskabsundersøgelse« som omhandlet i section 11, stk. 2, litra a), i Data Protection Act, og at ethvert spørgsmål angående databeskyttelsens tilstrækkelighed i det tredjeland, som oplysningerne blev overført til, ifølge denne lov skulle afgøres i overensstemmelse med denne konklusion. Eftersom dette var hovedindholdet i Maximillian Schrems’ klage, dvs. at personoplysninger blev overført til et tredjeland, der i praksis ikke sikrede et tilstrækkeligt beskyttelsesniveau, fandt Commissioner, at beslutning 2000/520 som følge af sin art og selve sin eksistens var til hinder for undersøgelsen af dette spørgsmål.

34.      Maximillian Schrems har anlagt sag ved High Court til prøvelse af Commissioners beslutning om at afvise hans klage. High Court har efter at have gennemgået bevismaterialet i hovedsagen fastslået, at elektronisk overvågning og opfangning af personoplysninger tjener til beskyttelse af national sikkerhed og forebyggelse af alvorlig kriminalitet, som er nødvendige og ufravigelige mål i offentlighedens interesse. High Court har herved anført, at overvågning og opfangning af personoplysninger, der overføres fra EU til USA, tjener legitime terrorbekæmpelsesformål.

35.      Ifølge High Court har Edward Snowdens afsløringer imidlertid vist, at NSA og andre tilsvarende myndigheder er gået alt for vidt. Foreign Intelligence Surveillance Court (herefter »FISC«) fører ganske vist tilsyn inden for rammerne af Foreign Intelligence Surveillance Act of 1978 (18), men det sker på hemmeligt og ikke-kontradiktorisk grundlag. Beslutninger om indsigt i personoplysninger vedtages i henhold til amerikansk ret, og EU-borgerne har desuden ikke nogen effektiv høringsret angående spørgsmålet om overvågning og opfangning af deres oplysninger.

36.      Det fremgår klart af de omfattende bilag til de beedigede skriftlige erklæringer, der er indgivet i hovedsagen, at mange af Edward Snowdens afsløringer anses for at være korrekte. High Court har som følge heraf konkluderet, at NSA og andre amerikanske sikkerhedstjenester såsom Federal Bureau of Investigation (FBI) kan skaffe sig adgang til de personoplysninger, der er overført til USA, i forbindelse med udifferentieret masseovervågning og -opfangning.

37.      High Court har fastslået, at den forfatningsmæssige ret til privatlivets fred og til boligens ukrænkelighed efter irsk ret kræver, at ethvert indgreb i denne ret skal finde sted i overensstemmelse med lovens krav og være forholdsmæssigt. Udifferentieret masseadgang til personoplysninger opfylder på ingen måde kravet om forholdsmæssighed og må derfor anses for at være i strid med den irske forfatning (19).

38.      High Court har bemærket, at opfangning af elektronisk kommunikation kun kan anses for at være i overensstemmelse med forfatningen, hvis det påvises, at den pågældende opfangning af kommunikation og overvågningen af visse personer eller persongrupper er objektivt begrundet i hensynet til den nationale sikkerhed og bekæmpelsen af kriminalitet, og at der foreligger passende og verificerbare garantier.

39.      High Court har derfor påpeget, at såfremt den foreliggende sag udelukkende skal behandles i henhold til irsk ret, vil det rejse et vigtigt spørgsmål med hensyn til, om USA »sikrer et tilstrækkeligt beskyttelsesniveau for privatlivet og de grundlæggende rettigheder og friheder« som omhandlet i section 11, stk. 1, i Data Protection Act. I henhold til irsk ret og navnlig de forfatningsmæssige krav kunne Commissioner derfor ikke afvise Maximillian Schrems’ klage og burde have undersøgt dette spørgsmål.

40.      High Court har dog fundet, at den sag, der verserer for den, vedrører EU-rettens gennemførelse som omhandlet i chartrets artikel 51, stk. 1, og at lovligheden af Commissioners beslutning derfor bør efterprøves i henhold til EU-retten.

41.      Det problem, som Commissioner står over for, forklares således af High Court. Commissioner skal ifølge section 11, stk. 2, litra a), i Data Protection Act afgøre spørgsmålet om, hvorvidt beskyttelsen i et tredjeland er tilstrækkeligt, »i overensstemmelse« med en konklusion i en fællesskabsundersøgelse, som Kommissionen har draget i medfør af artikel 25, stk. 6, i direktiv 95/46. Det følger heraf, at Commissioner er nødt til at rette sig efter en sådan konklusion. Når Kommissionen i beslutning 2000/520 har konkluderet, at USA tilvejebringer en tilstrækkelig beskyttelse med hensyn til oplysninger, som behandles af selskaber, der har tilsluttet sig safe harbor-principperne, er det klart, at Commissioner må afvise en klage over, at denne beskyttelse ikke er tilstrækkelig.

42.      High Court har bemærket, at Commissioner har holdt sig strengt til ordlyden af direktiv 95/46 og beslutning 2000/520, og at Maximillian Schrems’ indsigelse faktisk mere er rettet mod betingelserne i selve safe harbor-ordningen end mod den måde, som Commissioner har anvendt denne ordning på. High Court har samtidig understreget, at han ikke direkte har anfægtet gyldigheden af direktiv 95/46 eller af beslutning 2000/520.

43.      Det afgørende spørgsmål er derfor efter High Courts opfattelse, om Commissioner af hensyn til EU-retten og navnlig til den efterfølgende ikrafttrædelse af chartrets artikel 7 og 8 er fuldstændig bundet af den konklusion, som Kommissionen har formuleret i beslutning 2000/520 om, hvorvidt personoplysninger beskyttes tilstrækkeligt i amerikansk ret og praksis.

44.      High Court har endvidere præciseret, at der ikke er fremsat noget klagepunkt om Facebook Irelands og Facebook USA’s handlinger som sådan i den sag, der er indbragt for denne ret. Artikel 3, stk. 1, litra b), i beslutning 2000/520, hvorefter de nationale myndigheder kan bestemme, at en virksomhed skal suspendere overførslen af oplysninger til et tredjeland, finder imidlertid kun anvendelse under omstændigheder, hvor klagen er rettet mod denne virksomheds adfærd, hvilket ikke er tilfældet her.

45.      High Court har således understreget, at den reelle indsigelse ikke er rettet mod Facebook USA’s adfærd som sådan, men snarere mod den omstændighed, at Kommissionen har fastslået, at amerikansk ret og praksis på databeskyttelsesområdet yder en tilstrækkelig beskyttelse, selv om det fremgår klart af Edward Snowdens afsløringer, at de amerikanske myndigheder kan skaffe sig adgang til personoplysninger om befolkningen inden for EU på udifferentieret massegrundlag (20).

46.      High Court har i denne forbindelse svært ved at se, hvordan beslutning 2000/520 i praksis kan opfylde kravene i chartrets artikel 7 og artikel 8 – især henset til de principper, som Domstolen har beskrevet i dommen i sagen Digital Rights Ireland m.fl. (21). Den beskyttelse, der sikres ved chartrets artikel 7 og ved de kerneværdier, der er fælles for medlemsstaternes traditioner, ville blive kompromitteret, hvis det var muligt for de offentlige myndigheder at få adgang til elektronisk kommunikation på et vilkårligt og generelt grundlag uden at komme med en objektiv begrundelse baseret på hensyn til den nationale sikkerhed eller forebyggelsen af kriminalitet, som er specifikke for de omhandlede personer, og uden at der foreligger passende og verificerbare garantier. Da Maximillian Schrems synes at mene, at beslutning 2000/520 i teorien kan være uforenelig med chartrets artikel 7 og 8, vil Domstolen måske fastslå, at direktiv 95/46 og navnlig dets artikel 25, stk. 6, samt beslutning 2000/520 kan fortolkes således, at det er muligt for de nationale myndigheder at udføre deres egne undersøgelser med henblik på at afgøre, om det er i overensstemmelse med de krav, der følger af chartrets artikel 7 og 8, at overføre personoplysninger til et tredjeland og opbevare dem dér.

47.      High Court har på denne baggrund besluttet at udsætte sagen og at forelægge Domstolen følgende præjudicielle spørgsmål:

»Er [Commissioner] […] ved vurderingen af en klage, der er blevet indgivet til den pågældende, over, at personoplysninger overføres til et tredjeland (i dette tilfælde USA), hvis lovgivning og praksis [angiveligt] ikke indeholder tilstrækkelig beskyttelse for datasubjektet, fuldstændig bundet af konklusionen i en fællesskabsundersøgelse, hvori der konkluderes det modsatte, og som er indeholdt i beslutning 2000/520, henset til chartrets artikel 7, […] 8 og […] 47, og dette trods bestemmelserne i artikel 25, stk. 6, i direktiv 95/46?

Eller alternativt kan og/eller skal den person, der varetager hvervet, foretage en egen undersøgelse af forholdet i lyset af den mellemliggende udvikling i de faktiske omstændigheder, der har fundet sted, siden Kommissionens beslutning blev offentliggjort?«

II – Min vurdering

48.      Domstolen anmodes i forbindelse med de to spørgsmål, som High Court har stillet, om at præcisere, hvilke beføjelser de nationale tilsynsmyndigheder har, når de skal behandle en klage over, at personoplysninger overføres til en virksomhed i et tredjeland, og det til støtte for klagen gøres gældende, at dette tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau for de overførte oplysninger, selv om Kommissionen i en beslutning vedtaget på grundlag af artikel 25, stk. 6, i direktiv 95/46 har fastslået, at te tredjeland sikrer et tilstrækkeligt beskyttelsesniveau.

49.      Det skal påpeges, at der er to aspekter af den klage, som Maximillian Schrems indgav til Commissioner. Klagen er rettet mod Facebook Irelands overførsel af personoplysninger til Facebook USA. Maximillian Schrems har krævet, at denne overførsel bringes til ophør, fordi USA efter hans opfattelse ikke sikrer et tilstrækkeligt beskyttelsesniveau for de personoplysninger, der overføres som led i safe harbor-ordningen. Han har nærmere bestemt kritiseret dette tredjeland for at have iværksat PRISM-programmet, som giver NSA fri adgang til massedata, der ligger på servere i USA. Klagen vedrører specifikt Facebook Irelands overførsel af personoplysninger til Facebook USA og fokuserer mere generelt på det beskyttelsesniveau, der sikres for sådanne oplysninger inden for rammerne af safe harbor-ordningen.

50.      Commissioner mente ikke, at der var grundlag for at undersøge klagen, når Kommissionen har vedtaget en beslutning, hvori det konstateres, at USA sikrer et tilstrækkeligt beskyttelsesniveau, inden for rammerne af safe harbor-ordningen.

51.      Der bør derfor foretages en samlet vurdering af de to spørgsmål, hvormed det nærmere bestemt ønskes oplyst, om artikel 28 i direktiv 95/46, henset til chartrets artikel 7 og 8 skal fortolkes således, at den omstændighed, at Kommissionen har vedtaget en beslutning på grundlag af dette direktivs artikel 25, stk. 6, er til hinder for, at en national tilsynsmyndighed undersøger en klage, hvor det hævdes, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau for så vidt angår de overførte personoplysninger, og i givet fald suspendere den omtvistede overførsel heraf.

52.      Chartrets artikel 7 sikrer retten til respekt for privatliv, og retten til beskyttelse af personoplysninger er udtrykkeligt fastsat i dets artikel 8. Det præciseres i denne artikels stk. 2 og 3, at disse oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag, at enhver har ret til adgang til indsamlede oplysninger, der vedrører ham/hende, og til berigtigelse heraf, og at overholdelsen af disse regler er underlagt en uafhængig myndigheds kontrol.

A –    De nationale tilsynsmyndigheders beføjelser, når Kommissionen har vedtaget en beslutning om beskyttelsesniveauets tilstrækkelighed

53.      Omdrejningspunktet for den klage, der er omhandlet i hovedsagen, er – som Maximillian Schrems har anført i sit indlæg – at Facebook Ireland overfører personoplysninger til Facebook USA, og at NSA og andre amerikanske sikkerhedsmyndigheder har fået vidtgående adgang til de oplysninger, der opbevares af Facebook USA, i henhold til de beføjelser, som de tillægges i den amerikanske lovgivning.

54.      Når den nationale tilsynsmyndighed skal behandle en klage over en konklusion om, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau for de overførte oplysninger, kan den ifølge Maximillian Schrems forlange, at den virksomhed, der er angivet i denne klage, suspenderer overførslen af oplysninger, såfremt der synes at være belæg for de påstande, der er indeholdt i denne klage.

55.      Maximillian Schrems hævder, at Commissioner både skal iværksætte en undersøgelse og – hvis klagen tages til følge – udnytte sine beføjelser til at suspendere overførslen af oplysninger mellem Facebook Ireland og Facebook USA, eftersom Commissioner er forpligtet til at beskytte hans grundlæggende rettigheder.

56.      Commissioner afviste imidlertid klagen på grundlag af bestemmelserne i Data Protection Act, hvori Commissioners beføjelser er fastsat. Årsagen hertil var, at Commissioner mente, at han var bundet af Kommissionens beslutning 2000/520.

57.      Kernen i den foreliggende sag er derfor spørgsmålet om, hvorvidt Kommissionens vurdering af beskyttelsens tilstrækkelighed, som er indeholdt i beslutning 2000/520, er fuldstændig bindende for den nationale databeskyttelsesmyndighed og forhindrer denne i at undersøge påstande, der fremføres for at rejse tvivl om denne konklusion. De præjudicielle spørgsmål vedrører således rækkevidden af de nationale databeskyttelsesmyndighedernes undersøgelsesbeføjelser, når Kommissionen har vedtaget en tilstrækkelighedsbeslutning.

58.      Det er ifølge Kommissionen vigtigt at tage hensyn til forholdet mellem Kommissionens og de nationale databeskyttelsesmyndigheders beføjelser. Databeskyttelsesmyndighedernes beføjelser er centreret om den gældende lovgivnings anvendelse i enkeltsager, hvorimod den overordnede fornyede gennemgang af anvendelsen af beslutning 2000/520, herunder eventuelle afgørelser om at suspendere eller ophæve denne beslutning, henhører under Kommissionens kompetence.

59.      Kommissionen har gjort gældende, at Maximillian Schrems ikke har fremsat specifikke argumenter for, at han umiddelbart risikerer at lide alvorlig skade på grund af dataoverførslen mellem Facebook Ireland og Facebook USA. De betænkeligheder, som Maximillian Schrems har givet udtryk for vedrørende de amerikanske sikkerhedsmyndigheders overvågningsprogrammer, er tværtimod af teoretisk og generel karakter og svarer derfor til dem, der har fået Kommissionen til at indlede en fornyet gennemgang af beslutning 2000/520.

60.      Kommissionen mener, at de nationale tilsynsmyndigheder vil gribe ind i de kompetencer, som Kommissionen har til at genforhandle betingelserne i denne beslutning med USA eller om nødvendigt suspendere denne beslutning, hvis disse myndigheder træffer foranstaltninger på grund af klager, der kun bygger på strukturelle og teoretiske betænkeligheder.

61.      Jeg deler ikke Kommissionens opfattelse. Selv om Kommissionen har vedtaget en beslutning på grundlag af artikel 25, stk. 6, i direktiv 95/46, betyder det efter min opfattelse ikke, at de nationale tilsynsmyndigheder mister deres beføjelser eller får færre beføjelser i medfør af dette direktivs artikel 28. Hvis der indbringes individuelle klager for de nationale tilsynsmyndigheder, mener jeg ikke, at det – som Kommissionen har gjort gældende – er til hinder for, at de som led i deres undersøgelsesbeføjelser og deres uafhængighed danner sig deres egen mening om det generelle beskyttelsesniveau, der sikres i et tredjeland, og drager konsekvenserne heraf, når de træffer afgørelse i den enkelte sag.

62.      Det følger af Domstolens faste praksis, at der ved fortolkningen af EU-retlige bestemmelser ikke blot skal tages hensyn til deres ordlyd, men også til den sammenhæng, hvori de indgår, og til de mål, der forfølges med den ordning, som de udgør en del af (22).

63.      Det fremgår af 62. betragtning til direktiv 95/46, at »oprettelsen af en uafhængig tilsynsmyndighed i hver medlemsstat har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger«.

64.      Ifølge dette direktivs artikel 28, stk. 1, første afsnit, drager »[h]ver medlemsstat […] omsorg for, at der udpeges en eller flere offentlige myndigheder, der har til opgave på deres område at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af dette direktiv«. Direktivets artikel 28, stk. 1, andet afsnit, bestemmer, at »[d]isse myndigheder udøver […] de funktioner, der tillægges dem [i fuld uafhængighed]«.

65.      I artikel 28, stk. 3, i direktiv 95/46 opregnes de beføjelser, som hver tilsynsmyndighed har, dvs. beføjelser til at iværksætte undersøgelser, gribe effektivt ind ved f.eks. at forbyde en behandling midlertidigt eller definitivt eller indbringe overtrædelser af de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, for retsinstanser eller gøre retsinstanserne opmærksom på disse overtrædelser.

66.      Det fremgår i øvrigt af artikel 28, stk. 4, første afsnit, i direktiv 95/46, at »[e]nhver […] til tilsynsmyndigheden [kan] indgive en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger«. Dette direktivs artikel 28, stk. 4, andet afsnit, præciserer, at »[e]nhver […] til tilsynsmyndigheden især [kan] indgive en anmodning om at få kontrolleret en behandlings lovlighed, når de nationale bestemmelser, der er truffet i henhold til artikel 13 i [det nævnte] direktiv, finder anvendelse«. Det skal præciseres, at medlemsstaterne i henhold til artikel 13 kan træffe lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af visse forpligtelser og rettigheder, der er omhandlet i direktiv 95/46, hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til bl.a. statens sikkerhed, forsvaret, den offentlige sikkerhed samt forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager.

67.      Domstolen har således allerede påpeget, at kravet om en uafhængig tilsynsmyndigheds kontrol med overholdelsen af Unionens regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger også fremgår af den primære EU-ret, særligt af chartrets artikel 8, stk. 3, og af artikel 16, stk. 2, TEUF (23). Den har ligeledes bemærket, at »[o]prettelsen af uafhængige tilsynsmyndigheder i medlemsstaterne […] således [er] af afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger« (24).

68.      Domstolen har også fastslået, at »artikel 28, stk. 1, andet afsnit, i direktiv 95/46 skal fortolkes således, at de tilsynsmyndigheder, der er kompetente med hensyn til behandling af personoplysninger, skal være uafhængige, således at de har mulighed for at udøve deres funktioner uden at være underlagt ydre påvirkning. Denne uafhængighed udelukker bl.a. ethvert påbud og enhver anden ydre påvirkning – uanset formen og hvad enten denne er direkte eller indirekte – der kan påvirke deres afgørelser, og som således kan skabe tvivl om udførelsen af de nævnte myndigheders opgave, der består i at skabe en ligevægt mellem beskyttelsen af retten til privatlivets fred og den frie udveksling af personoplysninger« (25).

69.      Domstolen har ligeledes præciseret, at »[t]ilsynsmyndighedernes uafhængighed har til formål at sikre et effektivt og pålideligt tilsyn med overholdelsen af reglerne om beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger« (26). De nationale tilsynsmyndigheders uafhængighed er etableret »med henblik på at styrke beskyttelsen af personer og organer, der måtte blive berørt af [disse myndigheders] afgørelser« (27).

70.      Som det bl.a. fremgår af tiende betragtning til direktiv 95/46 og artikel 1 heri, har dette direktiv til formål at sikre »et højt beskyttelsesniveau for frihedsrettigheder og grundlæggende rettigheder i [Unionen] med hensyn til behandlingen af personoplysninger« (28). Domstolen har bemærket, at »[t]ilsynsmyndighederne, der er omhandlet i artikel 28 i direktiv 95/46, […] således [er] de grundlæggende rettigheder og frihedsrettighedernes vogter« (29).

71.      I betragtning af den vigtige rolle, som de nationale tilsynsmyndigheder spiller for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger, skal de bevare alle deres beføjelser til at gribe ind, uanset om Kommissionen har vedtaget en beslutning på grundlag af artikel 25, stk. 6, i direktiv 95/46.

72.      Der er i den forbindelse intet, der tyder på, at ordninger for overførsel af personoplysninger til tredjelande skulle være udelukket fra det materielle anvendelsesområde for chartrets artikel 8, stk. 3, som på det højeste niveau i EU’s regelhierarki understreger vigtigheden af, at en uafhængig myndighed fører kontrol med overholdelsen af reglerne om beskyttelse af personoplysninger.

73.      Hvis de nationale tilsynsmyndigheder var fuldstændig bundet af Kommissionens beslutninger, ville det selvfølgelig begrænse deres generelle uafhængighed. De nationale tilsynsmyndigheder skal som vogtere af de grundlæggende rettigheder kunne undersøge de klager, der indbringes for dem, i fuld uafhængighed med det overordnede mål at beskytte enkeltpersoner i forbindelse med behandling af personoplysninger.

74.      Som den belgiske regering og Europa-Parlamentet ganske rigtigt påpegede under retsmødet, er der desuden ingen hierarkisk forbindelse mellem kapitel IV i direktiv 95/46, der vedrører videregivelse af personoplysninger til tredjelande, og kapitel VI i dette direktiv, der bl.a. beskriver de nationale tilsynsmyndigheders rolle. Det kan ikke udledes af kapitel VI, at bestemmelserne vedrørende nationale tilsynsmyndigheder på nogen måde er underordnet de særlige bestemmelser om videregivelse i kapitel IV i direktiv 95/46.

75.      Det fremgår tværtimod udtrykkeligt af dette direktivs artikel 25, stk. 1, der er indeholdt i kapitel IV heri, at det kun er tilladt at videregive personoplysninger til et tredjeland, som sikrer et tilstrækkeligt beskyttelsesniveau, hvis de nationale bestemmelser, der vedtages til gennemførelse af direktivets øvrige bestemmelser, overholdes.

76.      Det skal herved påpeges, at ifølge denne bestemmelse skal medlemsstaterne i deres nationale lovgivning fastsætte bestemmelser om, at videregivelse til et tredjeland af personoplysninger, der gøres til genstand for behandling, eller som skal gøres til genstand for behandling efter videregivelsen, kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og forudsat at de nationale bestemmelser, der vedtages til gennemførelse af de øvrige bestemmelser i direktiv 95/46, overholdes.

77.      De nationale tilsynsmyndigheder har i henhold til dette direktivs artikel 28, stk. 1, til opgave at påse overholdelsen af de bestemmelser, medlemsstaterne vedtager til gennemførelse af dette direktiv, på disse medlemsstaters område.

78.      Hvis man sammenholder disse to bestemmelser med hinanden, peger det i retning af, at reglen i artikel 25, stk. 1, i direktiv 95/46, hvorefter videregivelse af personoplysninger kun må finde sted, hvis det modtagende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau for disse oplysninger, hører til de regler, som de nationale tilsynsmyndigheder skal påse overholdelsen af.

79.      De nationale tilsynsmyndigheders beføjelser til at undersøge de klager, der indbringes for dem i henhold til artikel 28 i direktiv 95/46, i fuld uafhængighed skal i overensstemmelse med chartrets artikel 8, stk. 3, fortolkes bredt. Disse beføjelser kan derfor ikke begrænses af de beføjelser til at fastslå, at beskyttelsesniveauet i et tredjeland er tilstrækkeligt, som EU-lovgiver har tillagt Kommissionen i dette direktivs artikel 25, stk. 6.

80.      Henset til deres vigtige rolle i forbindelse med beskyttelsen af personoplysninger skal de nationale tilsynsmyndigheder kunne iværksætte en undersøgelse, når der indgives en klage til dem, som er støttet på forhold, der kan rejse tvivl om det beskyttelsesniveau, der sikres i et tredjeland, også når Kommissionen i en beslutning vedtaget på grundlag af artikel 25, stk. 6, i direktiv 95/46 har konkluderet, at det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau.

81.      Hvis en national tilsynsmyndighed efter at have afsluttet sine undersøgelser finder, at den omtvistede overførsel af oplysninger er til fare for den beskyttelse, som unionsborgere bør sikres ved behandlingen af deres oplysninger, har den beføjelse til at suspendere den omhandlede overførsel af oplysninger uden at skulle tage hensyn til den overordnede vurdering, som Kommissionen har anlagt i sin beslutning.

82.      Det er således ubestridt, at vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, ifølge artikel 25, stk. 2, i direktiv 95/46 skal ske på grundlag af en række både faktuelle og retlige omstændigheder. Hvis en af disse omstændigheder ændres, og der kan være tvivl om, hvorvidt beskyttelsesniveauet i et tredjeland er tilstrækkeligt, skal den nationale tilsynsmyndighed, som der indbringes en klage for, kunne drage konsekvenserne heraf i forhold til den omtvistede overførsel.

83.      Som Irland har påpeget, er Commissioner ligesom andre statslige myndigheder bundet af beslutning 2000/520. Det fremgår således af artikel 288, stk. 4, TEUF, at en afgørelse, der træffes af en af Unionens institutioner, er bindende i alle enkeltheder. Beslutning 2000/520 er derfor bindende for de medlemsstater, som den er rettet til.

84.      Det bestemmes i denne forbindelse i artikel 5 i beslutning 2000/520, at »[m]edlemsstaterne træffer de nødvendige foranstaltninger for at efterkomme denne beslutning senest 90 dage efter, at den er meddelt«. Det bekræftes desuden i denne beslutnings artikel 6, at »[den] er rettet til medlemsstaterne«.

85.      Jeg mener imidlertid ikke, at den omstændighed, at beslutning 2000/520 har bindende virkning, henset til de nævnte bestemmelser i direktiv 95/46 og i chartret, forhindrer Commissioner i at foretage enhver undersøgelse af klager, hvor det gøres gældende, at der ikke gives de nødvendige garantier for beskyttelsen, som kræves i EU-retten, når der overføres personoplysninger til USA inden for rammerne af denne beslutning. En sådan bindende virkning kan med andre ord ikke medføre, at enhver klage af denne art uden videre afvises, dvs. umiddelbart og uden at det undersøges, om den er berettiget.

86.      Det fremgår desuden af opbygningen af artikel 25 i direktiv 95/46, at konklusionen om, hvorvidt et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, enten kan drages af medlemsstaterne eller af Kommissionen. Der er altså tale om delt kompetence.

87.      Det fremgår af dette direktivs artikel 25, stk. 6, at når Kommissionen har fastslået, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, i overensstemmelse med direktivets artikel 25, stk. 2, skal medlemsstaterne træffe de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.

88.      Eftersom en sådan afgørelse gør det muligt at overføre personoplysninger til et tredjeland, hvor Kommissionen anser beskyttelsesniveauet for at være tilstrækkeligt, skal medlemsstaterne i princippet tillade de virksomheder, der er etableret på deres område, at overføre disse oplysninger.

89.      Artikel 25 i direktiv 95/46 giver imidlertid ikke Kommissionen eneret til at konkludere, om beskyttelsen af de overførte personoplysninger er tilstrækkelig eller ej. Denne artikels opbygning vidner om, at medlemsstaterne også har en rolle at spille i den forbindelse. En beslutning fra Kommissionen spiller en vigtig rolle for den indbyrdes tilnærmelse af de betingelser for overførsel af oplysninger, der gælder i medlemsstaterne. Denne tilnærmelse vil dog kun være gældende, så længe denne konklusion ikke anfægtes.

90.      Argumentet om den nødvendige tilnærmelse af betingelserne for overførsel af personoplysninger til et tredjeland er efter min opfattelse ikke holdbart i en situation som den, der er omhandlet i hovedsagen, hvor Kommissionen både er klar over, at dens konklusion er genstand for kritik, og hvor det er den selv, der har fremført denne kritik, og som fører forhandlinger for at rette op på problemet.

91.      Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt eller ej, kan også danne afsæt for et samarbejde mellem medlemsstaterne og Kommissionen. Artikel 25, stk. 3, i direktiv 95/46 foreskriver, at »[m]edlemsstaterne og Kommissionen […] gensidigt [underretter] hinanden, hvis de mener, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2«. Som Parlamentet har anført, viser det klart, at medlemsstaterne og Kommissionen spiller samme rolle med hensyn til at identificere tilfælde, hvor et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau.

92.      Formålet med en tilstrækkelighedsbeslutning er at tillade overførsel af personoplysninger til det pågældende tredjeland. Det er ikke ensbetydende med, at unionsborgerne ikke længere kan indbringe klager for tilsynsmyndighederne med henblik på at beskytte deres personoplysninger. Det skal herved påpeges, at det ikke fremgår af artikel 28, stk. 4, første afsnit, i direktiv 95/46, hvorefter »[e]nhver […] til tilsynsmyndigheden [kan] indgive en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger«, at dette princip ikke gælder, når Kommissionen har vedtaget en beslutning i medfør af dette direktivs artikel 25, stk. 6.

93.      Når Kommissionen har vedtaget en beslutning i medfør af de gennemførelsesbeføjelser, som den tillægges i den sidstnævnte bestemmelse, bliver det ganske vist muligt at overføre personoplysninger til et tredjeland, men en sådan beslutning bevirker til gengæld ikke, at medlemsstaterne og navnlig de nationale tilsynsmyndigheder mister alle eller visse beføjelser, såfremt de konfronteres med påstande om krænkelse af grundlæggende rettigheder.

94.      En national tilsynsmyndighed skal have mulighed for at udøve de beføjelser, der er fastsat i artikel 28, stk. 3, i direktiv 95/46, herunder beføjelsen til midlertidigt eller definitivt at forbyde en behandling af personoplysninger. Selv om de beføjelser, der er opregnet i denne bestemmelse, ikke udtrykkeligt omfatter beføjelser vedrørende videregivelse af oplysninger fra en medlemsstat til et tredjeland, må en sådan videregivelse efter min opfattelse anses for at udgøre en behandling af personoplysninger (30). Som det fremgår af denne bestemmelses ordlyd, er der desuden ikke tale om en udtømmende opregning. I betragtning af den vigtige rolle, som de nationale tilsynsmyndigheder spiller i det system, der er indført ved direktiv 95/46, skal de under alle omstændigheder have beføjelse til at suspendere overførslen af oplysninger, hvis der sker en krænkelse eller foreligger en risiko for krænkelse af de grundlæggende rettigheder.

95.      Hvis de nationale tilsynsmyndigheder mister deres undersøgelsesbeføjelser under omstændigheder som dem, der er omhandlet i hovedsagen, vil det desuden være uforeneligt både med uafhængighedsprincippet og med formålet med direktiv 95/46, som er beskrevet i dette direktivs artikel 1, stk. 1.

96.      Som Domstolen har bemærket, »fremgår [det] af tredje, ottende og tiende betragtning til direktiv 95/46, at EU-lovgiver har villet lette den frie udveksling af personoplysninger ved at tilnærme medlemsstaternes lovgivninger indbyrdes, samtidig med at det enkelte menneskes grundlæggende rettigheder, navnlig retten til beskyttelse af privatlivet, bevares, og ved at sikre et højt beskyttelsesniveau i Unionen. Dette direktivs artikel 1 fastsætter således, at medlemsstaterne skal sikre beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger« (31).

97.      Bestemmelserne i direktiv 95/46 skal derfor fortolkes i overensstemmelse med sit formål, som er at sikre et højt niveau for beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger inden for EU.

98.      Dette vigtige formål og den rolle, som medlemsstaterne skal spille for at opfylde det, indebærer, at medlemsstaterne og dermed de nationale tilsynsmyndigheder ikke kan være fuldstændig bundet af en tilstrækkelighedsbeslutning, som Kommissionen har vedtaget, når der foreligger særlige omstændigheder, som rejser alvorlig tvivl om, hvorvidt de grundlæggende rettigheder, der sikres ved chartret, overholdes i forbindelse med overførsel af personoplysninger til et tredjeland.

99.      Domstolen har allerede udtalt, at »bestemmelserne i direktiv 95/46, for så vidt som de omhandler behandling af personoplysninger, der kan krænke de grundlæggende frihedsrettigheder og navnlig privatlivets fred, nødvendigvis skal fortolkes under hensyntagen til de grundlæggende rettigheder, som ifølge fast retspraksis er en integrerende del af de almindelige retsgrundsætninger, som Domstolen skal beskytte, og som nu er opført i chartret« (32).

100. Jeg vil desuden henvise til den retspraksis, hvorefter »det […] påhviler medlemsstaterne ikke blot at fortolke deres nationale ret på en måde, der er forenelig med EU-retten, men også at sikre, at de ikke lægger en fortolkning af den afledte ret til grund, som kommer i konflikt med grundlæggende rettigheder, der beskyttes ved Unionens retsorden, eller med andre generelle EU-retlige principper« (33).

101. I dommen i sagen N.S. m.fl. fastslog Domstolen således (34), at »en anvendelse af forordning [(EF)] nr. 343/2003 [ (35)] baseret på en uafkræftelig formodning for, at asylansøgerens grundlæggende rettigheder overholdes i den medlemsstat, der normalt har kompetencen til at træffe afgørelse med hensyn til dennes ansøgning […], er uforenelig med medlemsstaternes pligt til at fortolke og anvende forordning nr. 343/2003 i overensstemmelse med de grundlæggende rettigheder« (36).

102. Domstolen har herved bemærket, at det i betragtning af, at medlemsstaterne anses for sikre oprindelseslande i relation til hinanden i alle retlige og praktiske spørgsmål i forbindelse med asyl, må formodes, at behandlingen af asylansøgere i hver enkelt medlemsstat er i overensstemmelse med kravene i chartret, i konventionen om flygtninges retsstilling, der blev undertegnet i Genève den 28. juli 1951 (37), og i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, der blev undertegnet i Rom den 4. november 1950 (38). Domstolen har imidlertid fastslået, at »[d]et […] ikke [kan] udelukkes, at dette system i praksis støder på betydelige funktionelle vanskeligheder i en bestemt medlemsstat, således at der foreligger en alvorlig risiko for, at asylansøgere i tilfælde af overførsel til denne medlemsstat bliver behandlet på en måde, som er uforenelig med deres grundlæggende rettigheder« (39).

103. Domstolen har som følge heraf fastslået, at det »påhviler […] medlemsstaterne, og herunder de nationale retter […] ikke at overføre en asylansøger til »den ansvarlige medlemsstat« som omhandlet i forordning nr. 343/2003, når de ikke kan være uvidende om, at de systemmæssige mangler ved asylproceduren og modtagelsesforholdene for asylansøgere i denne medlemsstat giver alvorlig grund til at antage, at ansøgeren vil blive udsat for en reel risiko for at blive undergivet umenneskelig eller nedværdigende behandling som omhandlet i chartrets artikel 4« (40).

104. Dommen i sagen N.S. m.fl. (41) kan efter min opfattelse også finde anvendelse på en situation som den, der er omhandlet i hovedsagen. En fortolkning af den afledte EU-ret, der hviler på en uafkræftelig formodning om, at de grundlæggende rettigheder overholdes – af en medlemsstat, af Kommissionen eller af et tredjeland – bør således anses for at være uforenelig med medlemsstaternes pligt til at fortolke og anvende den afledte EU-ret i overensstemmelse med de grundlæggende rettigheder. Artikel 25, stk. 6, i direktiv 95/46 opstiller derfor ikke en sådan uafkræftelig formodning om overholdelsen af de grundlæggende rettigheder i forbindelse med Kommissionens vurdering af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt. Den formodning, der ligger til grund for denne bestemmelse, dvs. formodningen om, at overførslen af oplysninger til et tredjeland overholder de grundlæggende rettigheder, må tværtimod anses for at være afkræftelig (42). Denne bestemmelse bør som følge heraf ikke fortolkes således, at det rejser tvivl om de garantier, som bl.a. er indeholdt i artikel 28, stk. 3, i direktiv 95/46 og i chartrets artikel 8, stk. 3, og som har til formål at værne om og overholde retten til beskyttelse af personoplysninger.

105. Det må derfor udledes af nævnte dom i sagen N.S. m.fl., at medlemsstaterne skal kunne træffe de nødvendige foranstaltninger med henblik på at beskytte de grundlæggende rettigheder, der er beskyttet ved chartrets artikel 7 og 8, når der forekommer systemmæssige mangler i det tredjeland, som personoplysningerne videregives til.

106. Som den italienske regering har anført i sit indlæg, må den omstændighed, at Kommissionen har vedtaget en tilstrækkelighedsbeslutning, i øvrigt ikke medføre en ringere beskyttelse af unionsborgerne i forbindelse med behandlingen af deres oplysninger, når disse overføres til et tredjeland, sammenlignet med det beskyttelsesniveau, som disse personer sikres, hvis deres oplysninger behandles inden for EU. De nationale tilsynsmyndigheder skal som følge heraf have mulighed for at gribe ind og udøve deres beføjelser i forbindelse med overførsel af oplysninger til tredjelande, der er omfattet af en tilstrækkelighedsbeslutning. Unionsborgerne ville i modsat fald være dårligere beskyttet, end de er, når deres oplysninger behandles inden for EU.

107. Når Kommissionen har vedtaget en beslutning i medfør af artikel 25, stk. 6, i direktiv 95/46, bevirker det således kun, at det generelle forbud mod videregivelse af personoplysninger til tredjelande, som sikrer det samme beskyttelsesniveau, som direktivet gør, bortfalder. Hensigten er med andre ord ikke at indføre en særlig ordning, som udgør en undtagelse og beskytter unionsborgerne dårligere end den almindelige ordning, der er fastsat i det nævnte direktiv for behandling af oplysninger inden for EU.

108. Domstolen har i præmis 63 i Lindqvist-dommen (43) bemærket, at der »[v]ed kapitel IV i direktiv 95/46, hvori artikel 25 er indeholdt, er […] indført en særlig ordning«. Efter min opfattelse betyder det dog ikke, at en sådan ordning skal resultere i en dårligere beskyttelse. For at opfylde det formål om beskyttelse af oplysninger, der er fastsat i artikel 1, stk. 1, i direktiv 95/46, pålægges medlemsstaterne og Kommissionen en række forpligtelser ved artikel 25 heri (44), og artikel 25 opstiller princippet om, at videregivelse af personoplysninger til et tredjeland skal forbydes, hvis dette tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau (45).

109. Hvad nærmere angår safe harbor-ordningen har Kommissionen bestemt, at de nationale tilsynsmyndigheder kun må gribe ind og suspendere overførslen af oplysninger inden for de rammer, der er udstukket i artikel 3, stk. 1, litra b), i beslutning 2000/520.

110. Det fremgår af ottende betragtning til denne beslutning, at »[a]f hensyn til princippet om gennemsigtighed og for at beskytte de kompetente myndigheders muligheder for i medlemsstaterne at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger bør det i beslutningen specificeres, under hvilke særlige omstændigheder det er muligt at suspendere specifikke dataoverførsler, uanset om det pågældende databeskyttelsesniveau anses for tilstrækkeligt«.

111. I den foreliggende sag er det især anvendelsen af denne beslutnings artikel 3, stk. 1, litra b), der er uenighed om. De nationale tilsynsmyndigheder kan i henhold til denne bestemmelse beslutte at suspendere overførslen af oplysninger, »når der er stor sandsynlighed for, at principperne overtrædes, når der er tilstrækkelig grund til at antage, at det pågældende organ ikke træffer eller ikke agter at træffe passende og betimelige foranstaltninger for at løse den pågældende sag, når der ved fortsat overførsel af personoplysninger er stor risiko for på betydelig vis at skade de registrerede, og når de kompetente myndigheder i medlemsstaterne forholdene taget i betragtning på passende vis har bestræbt sig på at underrette det pågældende foretagende og give det mulighed for at svare«.

112. Denne bestemmelse indeholder en række betingelser, som parterne har fortolket forskelligt i løbet af den foreliggende sag (46). Det følger af disse fortolkninger, som jeg ikke vil komme nærmere ind på her, at betingelserne medfører en streng regulering af de nationale tilsynsmyndigheders beføjelse til at suspendere overførslen af oplysninger.

113. Artikel 3, stk. 1, litra b), i beslutning 2000/520 skal imidlertid i modsætning til, hvad Kommissionen har gjort gældende, fortolkes i overensstemmelse med det formål om at beskytte personoplysninger, der forfølges med direktiv 95/46, og i lyset af chartrets artikel 8. Når denne bestemmelse skal fortolkes i overensstemmelse med de grundlæggende rettigheder, må det antages, at den skal fortolkes bredt.

114. Jeg mener som følge heraf ikke, at de betingelser, der er fastsat i artikel 3, stk. 1, litra b), i beslutning 2000/520, er til hinder for, at en national tilsynsmyndighed udøver de beføjelser, som den er tillagt i henhold til artikel 28, stk. 3, i direktiv 95/46, i fuld uafhængighed.

115. Som den belgiske og østrigske regering i det væsentlige anførte under retsmødet, er den løsning, der præsenteres i artikel 3, stk. 1, litra b), i beslutning 2000/520, formuleret så snævert, at det er vanskeligt at gøre brug af den. Den er underlagt kumulative kriterier og sætter overliggeren for højt. I lyset af chartrets artikel 8, stk. 3, kan de nationale tilsynsmyndigheders handlefrihed i forhold til de rettigheder, der følger af artikel 28, stk. 3, i direktiv 95/46 imidlertid ikke begrænses i en sådan grad, at de ikke længere kan udnytte disse rettigheder.

116. Hertil har Parlamentet med rette anført, at det er EU-lovgiver, der har bestemt, hvilke beføjelser de nationale tilsynsmyndigheder skal have. Den gennemførelsesbeføjelse, som EU-lovgiver tildeler Kommissionen i artikel 25, stk. 6, i direktiv 95/46, berører ikke de beføjelser, som EU-lovgiver tillægger de nationale tilsynsmyndigheder i dette direktivs artikel 28, stk. 3. Kommissionen har med andre ord ikke kompetence til at indskrænke de nationale tilsynsmyndigheders beføjelser.

117. For at sikre en tilstrækkelig beskyttelse af fysiske personers grundlæggende rettigheder i forbindelse med behandling af personoplysninger skal de nationale tilsynsmyndigheder derfor bemyndiges til at iværksætte undersøgelser, når det påstås, at disse rettigheder krænkes. Hvis disse myndigheder efter at have afsluttet en sådan undersøgelse finder, at der i et tredjeland, som er omfattet af en tilstrækkelighedsbeslutning, er klare indicier for, at unionsborgernes ret til beskyttelse af deres personoplysninger krænkes, skal de kunne suspendere overførslen af oplysninger til modtageren i dette tredjeland.

118. De nationale tilsynsmyndigheder skal med andre ord kunne foretage deres undersøgelser og eventuelt suspendere overførslen af oplysninger uden hensyntagen til de restriktive betingelser, der er fastsat i artikel 3, stk. 1, litra b), i beslutning 2000/520.

119. Eftersom de nationale tilsynsmyndigheder i henhold til artikel 28, stk. 3, i direktiv 95/46 har beføjelse til at indbringe overtrædelser af de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, for retsinstanser eller gøre retsinstanserne opmærksom på disse overtrædelser, bør de i øvrigt, når de får kendskab til omstændigheder, som viser, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau, kunne forelægge sagen for en national ret, der i givet fald selv kan beslutte at foretage en præjudiciel forelæggelse for Domstolen for at få efterprøvet, om Kommissionens tilstrækkelighedsbeslutning er gyldig.

120. Det følger af det ovenfor anførte, at artikel 28 i direktiv 95/46, henset til chartrets artikel 7 og 8, skal fortolkes således, at den omstændighed, at Kommissionen har vedtaget en beslutning på grundlag af dette direktivs artikel 25, stk. 6, ikke er til hinder for, at en national tilsynsmyndighed undersøger en klage, hvori det hævdes, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau for så vidt angår de overførte personoplysninger, og i givet fald suspenderer den omtvistede overførsel af disse oplysninger.

121. High Court of Justice understreger ganske vist i forelæggelsesafgørelsen, at Maximillian Schrems ikke formelt har anfægtet gyldigheden af direktiv 95/46 eller beslutning 2000/520 i hovedsagen, men det fremgår også af denne afgørelse, at han først og fremmest er utilfreds med konklusionen om, at USA sikrer et tilstrækkeligt beskyttelsesniveau for de overførte personoplysninger inden for rammerne af safe harbor-ordningen.

122. Det fremgår også af Commissioners indlæg, at Maximillian Schrems’ klage direkte har til formål at anfægte beslutning 2000/520. Han har indgivet denne klage med henblik på at anfægte safe harbor-ordningens indhold og funktion som sådan, fordi masseovervågningen af de personoplysninger, der overføres til USA, viser, at der ikke ydes nogen egentlig beskyttelse af disse oplysninger i den lovgivning og praksis, der er gældende i dette tredjeland.

123. Den forelæggende ret har desuden selv bemærket, at den beskyttelse, der sikres ved chartrets artikel 7 og ved de kerneværdier, der er fælles for medlemsstaternes forfatningsmæssige traditioner, ville blive kompromitteret, hvis det var muligt for de offentlige myndigheder at få adgang til elektronisk kommunikation på et vilkårligt og generelt grundlag uden at komme med en objektiv begrundelse baseret på hensyn til den nationale sikkerhed eller forebyggelsen af kriminalitet, som er specifikke for de omhandlede personer, og uden at der foreligger passende og verificerbare garantier (47). Den forelæggende ret har således indirekte rejst tvivl om gyldigheden af beslutning 2000/520.

124. Det er derfor nødvendigt at tage stilling til denne beslutnings gyldighed i forbindelse med vurderingen af, om USA sikrer et tilstrækkeligt beskyttelsesniveau for de overførte personoplysninger inden for rammerne af safe harbor-ordningen.

125. Det skal herved påpeges, at Domstolen i forbindelse med det middel til samarbejde mellem Domstolen og de nationale retter, der er indført ved artikel 267 TEUF, under visse særlige omstændigheder vil skulle undersøge gyldigheden af bestemmelser i den afledte ret, selv om den udelukkende er blevet forelagt et præjudicielt spørgsmål om EU-rettens fortolkning.

126. Domstolen har således flere gange af egen drift erklæret, at en retsakt, som den kun var blevet anmodet om at fortolke, var ugyldig (48). Den har ligeledes bemærket, at »når spørgsmål, der er stillet af en national domstol, viser sig snarere at vedrøre gyldigheden end fortolkningen af [EU-retsakter], er Domstolen berettiget til uden videre at udtale sig om disse spørgsmål, uden at den er bundet til en rent tidsmæssig formalisme, som ville stride mod meningen med den ordning, der er indført ved artikel [267 TEUF]« (49). Domstolen har i øvrigt allerede fastslået, at den tvivl, som den forelæggende ret har ytret om, hvorvidt en afledt retsakt er forenelig med bestemmelserne til beskyttelse af grundrettighederne, må forstås således, at den vedrører denne retsakts gyldighed set ud fra EU-retten (50).

127. Det fremgår som bekendt også af Domstolens praksis, at retsakter, der udstedes af Unionens institutioner, organer, kontorer og agenturer, formodes at være lovlige, hvilket indebærer, at de afføder retsvirkninger, så længe de ikke er blevet trukket tilbage, annulleret under et annullationssøgsmål eller erklæret ugyldige som følge af en præjudiciel forelæggelse eller en ulovlighedsindsigelse. Domstolen er enekompetent til at fastslå ugyldigheden af en EU-retsakt, og denne kompetence har til formål at garantere retssikkerheden ved at sikre, at EU-retten anvendes ensartet. Når Kommissionen ikke har afgivet nogen erklæring om ugyldighed, ændring eller ophævelse, er beslutningen fortsat bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat (51).

128. Jeg mener derfor, at Domstolen bør tage stilling til gyldigheden af beslutning 2000/520 for at give den forelæggende ret et fyldestgørende svar og fjerne den usikkerhed om denne beslutnings gyldighed, der er kommet til udtryk i den foreliggende sag.

129. Det skal dog også præciseres, at undersøgelsen af, om beslutning 2000/520 er gyldig, skal begrænses til de klagepunkter, der blevet drøftet i forbindelse med den foreliggende sag. Da alle aspekter af safe harbor-ordningens funktion ikke er blevet drøftet i denne forbindelse, mener jeg ikke, at det er muligt at foretage en udtømmende gennemgang af manglerne ved denne ordning.

130. Spørgsmålet om, hvorvidt de amerikanske efterretningstjenesters vidtgående og vilkårlige adgang til de overførte oplysninger kan påvirke lovligheden af beslutning 2000/520, er til gengæld blevet drøftet under retsforhandlingerne for Domstolen. Beslutningens gyldighed kan derfor vurderes ud fra denne synsvinkel.

B –    Gyldigheden af beslutning 2000/520

1.      De forhold, der skal tages hensyn til ved vurderingen af gyldigheden af beslutning 2000/520

131. Det fremgår af retspraksis, at »under et annullationssøgsmål skal lovligheden af en retsakt bedømmes efter de faktiske og retlige omstændigheder på det tidspunkt, da retsakten blev udstedt, og Kommissionens vurdering kan kun tilsidesættes, hvis den er åbenbart fejlagtig, henset til de oplysninger, som Kommissionen rådede over, da den udstedte denne retsakt« (52).

132. I dommen i sagen Gaz de France – Berliner Investissement (53) henviste Domstolen til princippet om, at »bedømmelsen af gyldigheden af en retsakt, som det tilkommer Domstolen at foretage, normalt skal være baseret på forholdene på tidspunktet for retsaktens udstedelse« (54). Den synes dog at have erkendt, at »en retsakts gyldighed i visse tilfælde kan bedømmes ud fra nye omstændigheder, som er indtruffet efter retsaktens vedtagelse« (55).

133. Denne mulighed, som Domstolen har skitseret, er efter min opfattelse særlig relevant i den foreliggende sag.

134. De beslutninger, som Kommissionen vedtager på grundlag af artikel 25, stk. 6, i direktiv 95/46, er således af særlig karakter. De har til formål at vurdere, om beskyttelsesniveauet for personoplysninger i et tredjeland er tilstrækkeligt eller ej. Denne vurdering vil uvægerligt ændre sig i takt med udviklingen i de faktiske og retlige forhold i tredjelandet.

135. Da tilstrækkelighedsbeslutningen er en særlig form for beslutning, holder reglen om, at vurderingen af dens gyldighed kun kan baseres på forholdene på det tidspunkt, hvor den blev vedtaget, ikke stik i det foreliggende tilfælde. En sådan regel vil ellers medføre, at Domstolen, hvis den skal tage stilling til en tilstrækkelighedsbeslutnings gyldighed flere år efter dens vedtagelse, ikke kan tage hensyn til begivenheder, der er indtruffet efterfølgende, selv om en sådan præjudiciel sag om gyldighed ikke er tidsbegrænset og netop kan være opstået på grund af senere omstændigheder, der afslører manglerne ved den pågældende retsakt.

136. I det foreliggende tilfælde har beslutning 2000/520 været gældende i ca. 15 år, hvilket viser, at Kommissionen indirekte har bekræftet sin vurdering fra 2000. Når Domstolen skal tage stilling til gyldigheden af en vurdering, som Kommissionen stadig fastholder, i forbindelse med en præjudiciel forelæggelse, er det derfor ikke blot muligt, men også hensigtsmæssigt, at den gennemgår denne vurdering på baggrund af de nye omstændigheder, der er indtruffet efter tilstrækkelighedsbeslutningens vedtagelse.

137. Da tilstrækkelighedsbeslutningen er af særlig karakter, skal Kommissionen med jævne mellemrum tage den op til fornyet overvejelse. Hvis Kommissionen ikke ændrer sin beslutning i forlængelse af de nye begivenheder, der har fundet sted i mellemtiden, må det antages, at den indirekte bekræfter den vurdering, som den oprindeligt lagde til grund. Den bekræfter altså sin konklusion om, at det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau for de overførte personoplysninger. Det tilkommer Domstolen at undersøge, om denne konklusion fortsat er gældende til trods for de omstændigheder, der er indtruffet efterfølgende.

138. Jeg mener derfor, at der for at sikre en effektiv domstolsprøvelse af en sådan beslutning skal tages hensyn til de aktuelle faktiske og retlige forhold ved vurderingen af dens gyldighed.

2.      Begrebet tilstrækkeligt beskyttelsesniveau

139. Artikel 25 i direktiv 95/46 hviler helt og holdent på princippet om, at der kun må overføres personoplysninger til et tredjeland, hvis dette tredjeland sikrer et tilstrækkeligt beskyttelsesniveau for disse oplysninger. Formålet med denne artikel er således at sikre kontinuiteten i den beskyttelse, der ydes i henhold til dette direktiv, i forbindelse med overførsel af personoplysninger til et tredjeland. Det skal herved påpeges, at dette direktiv sikrer et højt beskyttelsesniveau for unionsborgerne i forbindelse med behandlingen af deres personoplysninger.

140. Da beskyttelsen af personoplysninger har stor betydning for den grundlæggende ret til respekt for privatlivet, skal der også sikres et tilsvarende højt beskyttelsesniveau i forbindelse med overførsel af personoplysninger til et tredjeland.

141. Efter min opfattelse kan Kommissionen derfor kun konkludere, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, på grundlag af artikel 25, stk. 6, i direktiv 95/46, hvis den efter en helhedsvurdering af gældende ret og praksis i det pågældende tredjeland kan fastslå, at dette tredjeland sikrer et beskyttelsesniveau, som i alt væsentligt svarer til det, der sikres ved dette direktiv, selv om de nærmere vilkår for denne beskyttelse kan adskille sig fra dem, der normalt gælder inden for EU.

142. Selv om det engelske udtryk »adequate« rent sprogligt kan forstås som et beskyttelsesniveau, der blot er acceptabelt eller tilstrækkeligt, og dermed kan have en anden semantisk betydning end det franske udtryk »adéquat«, skal det understreges, at det eneste kriterium, der er afgørende for fortolkningen af dette udtryk, er målet om at opnå et højt beskyttelsesniveau for grundlæggende rettigheder som krævet i direktiv 95/46.

143. Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, skal omfatte to grundelementer, nemlig indholdet af gældende regler og midlerne til sikring af, at de overholdes (56).

144. Efter min opfattelse bør safe harbor-ordningen, som i vidt omfang bygger på selvcertificering og selvevaluering foretaget af de virksomheder, der har valgt at deltage i denne ordning, ledsages af passende garantier og en tilstrækkelig kontrolmekanisme for at sikre et beskyttelsesniveau, der i alt væsentligt svarer til beskyttelsesniveauet i EU. Beskyttelsen bør således ikke være ringere for overførsel af personoplysninger til tredjelande end for behandling af disse oplysninger inden for EU.

145. Hertil vil jeg straks bemærke, at den generelle opfattelse i EU er, at der i ethvert system, som skal sikre overholdelsen af reglerne om beskyttelse af personoplysninger, er brug for et eksternt kontrolinstrument i form af en uafhængig myndighed.

146. For at sikre den effektive virkning af artikel 25, stk. 1-3, i direktiv 95/46 skal der i øvrigt tages hensyn til, at beskyttelsesniveauet i et tredjeland ikke altid forbliver tilstrækkeligt, men kan ændres med tiden som følge af en række faktorer. Medlemsstaterne og Kommissionen skal derfor hele tiden være opmærksomme på ændringer i omstændighederne, der kan gøre det nødvendigt at revurdere, om beskyttelsen i et tredjeland er tilstrækkelig. Vurderingen af, om denne beskyttelse er tilstrækkelig, kan ikke finde sted på et bestemt tidspunkt, hvorefter den fastholdes på ubestemt tid, selv om der forekommer ændringer i omstændighederne, som viser, at beskyttelsesniveauet i realiteten ikke længere er tilstrækkeligt.

147. Tredjelandets forpligtelse til at sikre et tilstrækkeligt beskyttelsesniveau er således en vedvarende forpligtelse. Hvis vurderingen finder sted på et bestemt tidspunkt, vil tilstrækkelighedsbeslutningen være betinget af, at der ikke indtræffer omstændigheder senere, som kan rejse tvivl om Kommissionens oprindelige vurdering.

148. Det må ikke glemmes, at formålet med artikel 25 i direktiv 95/46 er at undgå, at der overføres personoplysninger til et tredjeland, som ikke sikrer et tilstrækkeligt beskyttelsesniveau, i strid med den grundlæggende ret til beskyttelse af personoplysninger, der sikres ved chartrets artikel 8.

149. Det skal understreges, at den beføjelse, som EU-lovgiver i artikel 25, stk. 6, i direktiv 95/46 har givet Kommissionen til at fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, er udtrykkeligt betinget af, at dette tredjeland sikrer et sådant niveau i overensstemmelse med denne artikels stk. 2. Hvis der indtræffer nye omstændigheder, som kan rejse tvivl om Kommissionens oprindelige vurdering, bør den ændre sin beslutning i overensstemmelse hermed.

3.      Min vurdering

150. Ifølge artikel 25, stk. 6, i direktiv 95/46 kan »Kommissionen […] efter proceduren i artikel 31, stk. 2, fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, på grundlag af dets nationale lovgivning eller dets internationale forpligtelser med henblik på at beskytte privatlivet og personers grundlæggende rettigheder og frihedsrettigheder, herunder de forpligtelser, der er indgået efter de i stk. 5 nævnte forhandlinger«. Sammenholdt med dette direktivs artikel 25, stk. 2, følger det af artikel 25, stk. 6, heri, at Kommissionen skal foretage en helhedsvurdering af de retsregler, der gælder i et tredjeland, og deres anvendelse for at kunne fastslå, at dette tredjeland sikrer et tilstrækkeligt beskyttelsesniveau.

151. Kommissionen har som nævnt opretholdt beslutning 2000/520, selv om der er indtruffet nye faktiske og retlige omstændigheder, hvilket må opfattes som en bekræftelse af dens oprindelige vurdering.

152. I en præjudiciel sag tilkommer det ikke Domstolen at tage stilling til de faktiske omstændigheder i den tvist, der er årsag til, at den nationale ret har forelagt sagen (57).

153. Jeg vil derfor tage udgangspunkt i de faktiske omstændigheder, som den forelæggende ret har beskrevet i sin anmodning om præjudiciel afgørelse. Kommissionen har i øvrigt selv i det store og hele anerkendt disse faktiske omstændigheder (58).

154. De forhold, der fremføres over for Domstolen for at anfægte Kommissionens vurdering om, at safe harbor-ordningen sikrer et tilstrækkeligt beskyttelsesniveau for de personoplysninger, der overføres fra EU til USA, kan beskrives således.

155. Den forelæggende ret har baseret sig på to faktiske konstateringer i sin anmodning om præjudiciel afgørelse. For det første vil NSA og andre amerikanske sikkerhedsmyndigheder kunne få adgang til de personoplysninger, som virksomheder som Facebook Ireland overfører til deres moderselskab i USA, i forbindelse med vilkårlig masseovervågning og -opfangning. I kølvandet på Edward Snowdens afsløringer er det den eneste rimelige konklusion, der på nuværende tidspunkt kan drages af de tilgængelige beviser (59). For det andet har unionsborgere ikke nogen effektiv høringsret med hensyn til NSA’s og andre amerikanske sikkerhedsmyndigheders overvågning og opfangning af deres oplysninger (60).

156. De faktiske omstændigheder, som High Court har lagt til grund, understøttes af Kommissionens egne konklusioner.

157. Kommissionen har i ovennævnte meddelelse om, hvordan safe harbor-ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU, lagt til grund, at oplysninger om omfanget og rækkevidden af de amerikanske overvågningsprogrammer i 20013 har givet anledning til bekymring over kontinuiteten i beskyttelsen af personoplysninger, der lovligt overføres til USA under safe harbor-ordningen. Den har påpeget, at det ser ud til, at alle virksomheder, der er involveret i PRISM-programmet, og som giver de amerikanske myndigheder adgang til oplysninger, der lagres og behandles i USA, er safe harbor-certificerede. Det har ifølge Kommissionen gjort safe harbor-ordningen til en af de kanaler, hvorigennem de amerikanske efterretningsmyndigheder får adgang til at indsamle personoplysninger, der oprindeligt blev behandlet i EU (61).

158. Det følger heraf, at det efter amerikansk ret og praksis er tilladt at foretage storstilet indsamling af unionsborgernes personoplysninger, som overføres inden for rammerne af safe harbor-ordningen, uden at disse borgere sikres en effektiv retsbeskyttelse.

159. Disse faktiske konstateringer viser efter min opfattelse, at beslutning 2000/520 ikke indeholder tilstrækkelige garantier. Denne beslutning er på grund af de manglende garantier gennemført på en sådan måde, at det ikke opfylder de krav, der stilles i chartret og i direktiv 95/46.

160. Formålet med en beslutning, som Kommissionen vedtager på grundlag af artikel 25, stk. 6, i direktiv 95/46, er imidlertid at fastslå, at et tredjeland »sikrer« et tilstrækkeligt beskyttelsesniveau. Det antydes med brugen af nutidsformen »sikrer«, at en sådan beslutning for at kunne opretholdes skal vedrøre et tredjeland, der fortsætter med at sikre et tilstrækkeligt beskyttelsesniveau, efter at denne beslutning er vedtaget.

161. De omhandlede afsløringer om aktiviteterne i NSA, som anvender de oplysninger, der overføres inden for rammerne af safe harbor-ordningen, har afdækket svaghederne i retsgrundlaget, dvs. beslutning 2000/520.

162. De mangler, der er blevet fremhævet i den foreliggende sag, forekommer navnlig i fjerde afsnit i bilag I til denne beslutning.

163. Det fremgår som nævnt af denne bestemmelse, at »[o]verholdelsen af [safe harbor-principperne] kan være begrænset a) til et niveau, der er tilstrækkeligt for at opfylde kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og orden, b) af love, administrative bestemmelser eller retspraksis, der medfører modstridende forpligtelser eller udtrykkelige tilladelser, såfremt foretagender i forbindelse med anvendelsen af sådanne tilladelser kan påvise, at de kun overtræder principperne i det omfang, som er nødvendigt for at tilgodese de altovervejende legitime interesser, som den pågældende tilladelse har til hensigt at fremme«.

164. Det største problem hænger sammen med den måde, hvorpå de amerikanske myndigheder har anvendt de undtagelser, der er fastsat i denne bestemmelse. Da disse undtagelser er formuleret for bredt, har amerikanske myndigheder ikke begrænset deres anvendelse af dem til, hvad der er strengt nødvendigt.

165. Ud over at undtagelserne er formuleret for bredt, råder unionsborgerne heller ikke over passende retsmidler, hvormed de kan anfægte behandlingen af deres personoplysninger til andre formål end dem, som de oprindeligt blev indsamlet til, før de blev overført til USA.

166. De undtagelser fra anvendelsen af safe harbor-principperne, der er fastsat i beslutning 2000/520, bl.a. for at opfylde kravene med hensyn til den nationale sikkerhed, burde have været ledsaget af en uafhængig kontrolmekanisme, som gjorde det muligt at undgå de fastslåede krænkelser af retten til privatlivets fred.

167. Afsløringerne om de amerikanske efterretningstjenesters praksis med hensyn til vidtrækkende overvågning af de oplysninger, der overføres inden for rammerne af safe harbor-ordningen, har således belyst visse mangler i forbindelse med beslutning 2000/520.

168. De faktiske omstændigheder, der gøres gældende i den foreliggende sag, indebærer ikke, at Facebook har tilsidesat safe harbor-principperne. Når en certificeret virksomhed som Facebook USA giver de amerikanske myndigheder adgang til de oplysninger, som den har modtaget fra en medlemsstat, kan det indvendes, at den gør det for at overholde amerikansk lovgivning. Da en sådan situation udtrykkeligt er tilladt i henhold til beslutning 2000/520, fordi de undtagelser, der er indeholdt heri, er formuleret bredt, er det i virkeligheden spørgsmålet om, hvorvidt disse undtagelser er forenelige med den primære EU-ret, der rejses i den foreliggende sag.

169. Det fremgår i denne henseende af Domstolens faste praksis, at overholdelsen af menneskerettighederne er en betingelse for, at EU’s retsakter er lovlige, og at foranstaltninger, som er uforenelige med overholdelsen af disse, ikke er tilladte i EU (62).

170. Det fremgår desuden af Domstolens praksis, at videregivelse af indsamlede personoplysninger til offentlige eller private tredjeparter udgør et indgreb i retten til beskyttelse af privatlivet, »uanset hvordan de videregivne oplysninger efterfølgende anvendes« (63). I dommen i sagen Digital Rights Ireland m.fl. (64) bekræftede Domstolen desuden, at den omstændighed, at de kompetente nationale myndigheder gives adgang til sådanne data, udgør et yderligere indgreb i denne grundlæggende ret (65). Enhver behandling af personoplysninger er desuden omfattet af chartrets artikel 8 og indebærer et indgreb i retten til beskyttelse af disse oplysninger (66). De amerikanske efterretningstjenesters adgang til de overførte oplysninger indebærer derfor også et indgreb i den grundlæggende ret til beskyttelse af personoplysninger, der sikres ved chartrets artikel 8, eftersom en sådan adgang udgør en behandling af disse oplysninger.

171. Som Domstolen også fastslog i den nævnte dom, er det indgreb, der er konstateret, meget vidtrækkende og må anses for at være af særligt alvorlig karakter i betragtning af det store antal brugere, der er berørt, og den store mængde oplysninger, der overføres. Hertil kommer, at de amerikanske myndigheders adgang til de personoplysninger, der overføres til virksomheder i USA, foregår i hemmelighed, og at der derfor er tale om et ekstremt alvorligt indgreb.

172. De unionsborgere, der bruger Facebook, oplyses heller ikke om, at deres personoplysninger gøres almindeligt tilgængelige for de amerikanske sikkerhedsmyndigheder.

173. Det er også værd at pointere, at den forelæggende ret har fastslået, at unionsborgerne ikke har nogen effektiv høringsret i USA med hensyn til overvågningen og opfangningen af deres oplysninger. FISC fører tilsyn, men det sker på hemmeligt og ikke-kontradiktorisk grundlag (67). Dette må efter min opfattelse betragtes som et indgreb i unionsborgernes adgang til effektive retsmidler, der er beskyttet ved chartrets artikel 47.

174. Det er derfor klart, at de undtagelser fra safe harbor-principperne, der er fastsat i fjerde afsnit i bilag I til beslutning 2000/520, udgør et indgreb i de grundlæggende rettigheder, der er beskyttet ved chartrets artikel 7, 8 og 47.

175. Det skal nu undersøges, om dette indgreb er begrundet eller ej.

176. I henhold til chartrets artikel 52, stk. 1, skal enhver begrænsning i udøvelsen af de rettigheder og friheder, der er forankret i dette charter, være fastlagt i lovgivningen og respektere det væsentligste indhold af disse rettigheder og friheder, og der kan under iagttagelse af proportionalitetsprincippet kun indføres begrænsninger af nævnte rettigheder og friheder, såfremt disse er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.

177. Henset til de nævnte betingelser for begrænsninger i udøvelsen af de rettigheder og friheder, der er beskyttet ved chartret, tvivler jeg meget på, at de begrænsninger, der er omhandlet i den foreliggende sag, kan anses for at respektere det væsentligste indhold af chartrets artikel 7 og 8. Det lader således til, at de amerikanske efterretningstjenesters adgang til de overførte oplysninger omfatter indholdet af den elektroniske kommunikation, hvilket indebærer en krænkelse af det væsentligste indhold af den grundlæggende ret til respekt for privatlivet og de øvrige rettigheder, der er fastslået i chartrets 7. Når den brede formulering af de begrænsninger, der er fastsat i fjerde afsnit i bilag I til beslutning 2000/520, potentielt gør det muligt at undlade at anvende samtlige safe harbor-principper, kan det desuden tænkes, at disse begrænsninger indebærer en krænkelse af det væsentligste indhold af den grundlæggende ret til beskyttelse af personoplysninger (68).

178. Hvad angår spørgsmålet om, hvorvidt det konstaterede indgreb svarer til et mål af almen interesse, skal der indledningsvis mindes om, at overholdelsen af safe harbor-principperne ifølge fjerde afsnit, litra b), i bilag I til beslutning 2000/520 kan være begrænset af »love, administrative bestemmelser eller retspraksis, der medfører modstridende forpligtelser eller udtrykkelige tilladelser, såfremt foretagender i forbindelse med anvendelsen af sådanne tilladelser kan påvise, at de kun overtræder principperne i det omfang, som er nødvendigt for at tilgodese de altovervejende legitime interesser, som den pågældende tilladelse har til hensigt at fremme«.

179. Det må fastslås, at de »legitime interesser«, der er nævnt i denne bestemmelse, ikke præciseres nærmere. Der hersker derfor usikkerhed om det potentielt meget omfattende anvendelsesområde for denne undtagelse fra de deltagende virksomheders forpligtelse til at anvende safe harbor-principperne.

180. Dette bekræftes af en gennemgang af forklaringerne i afsnit B i bilag IV til beslutning 2000/520, som har overskriften »Udtrykkelige lovbestemte tilladelser«, og ikke mindst af bemærkningen om, at »[d]e amerikanske foretagender […] uanset deres deltagelse i safe harbor-ordningen helt klart [skal] overholde loven, når der i den amerikanske lovgivning forekommer modstridende forpligtelser«. Med hensyn til de udtrykkelige tilladelser fremgår det i øvrigt, at »[m]ens safe harbor-principperne har til formål at kæde det amerikanske og det europæiske system for beskyttelse af privatlivets fred sammen, skal vi […] tage hensyn til vores folkevalgte lovgiveres prærogativer«.

181. Det følger efter min opfattelse heraf, at denne undtagelse strider mod chartrets artikel 7, artikel 8 og artikel 52, stk. 1, for så vidt som den ikke forfølger et mål af almen interesse, der er fastlagt tilstrækkelig præcist.

182. De umiddelbare og generelle bestemmelser i fjerde afsnit, litra b), i bilag I samt i afsnit B i bilag IV til selve beslutning 2000/520, hvorefter disse principper på sikkerhedsområdet kan fraviges i henhold til de amerikanske retsregler, er i hvert fald ikke forenelige med betingelsen om, at undtagelser fra reglerne om beskyttelse af personoplysninger skal begrænses til det strengt nødvendige. Det fremgår ganske vist, at fravigelsen skal være nødvendig, men det overlades til den pågældende virksomhed at påvise, at denne betingelse er opfyldt, og jeg kan heller ikke se, hvordan en sådan virksomhed skulle kunne unddrage sig en forpligtelse til at fravige safe harbor-principperne, som følger af de retsregler, den er forpligtet til at overholde.

183. Det er derfor min opfattelse, at beslutning 2000/520 må kendes ugyldig, for så vidt som en undtagelse, der på en så generel og upræcis måde gør det muligt at fravige safe harbor-principperne, i sig selv er til hinder for at antage, at denne ordning sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til USA.

184. Med hensyn til den første kategori af begrænsninger, der er nævnt i fjerde afsnit, litra a), i bilag I til beslutning 2000/520, og som skal gøre det muligt at opfylde kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og ret i USA, mener jeg kun, at det første mål er tilstrækkelig præcist til at kunne betragtes som et mål af almen interesse, der er anerkendt af Unionen, jf. chartrets artikel 52, stk. 1.

185. Jeg vil nu undersøge, om det konstaterede indgreb er forholdsmæssigt.

186. Der skal i denne henseende henvises til, at »proportionalitetsprincippet ifølge Domstolens faste praksis indebærer et krav om, at EU-institutionernes retsakter skal være egnede til at gennemføre de lovlige mål, som forfølges med den omhandlede lovgivning, og ikke gå videre, end hvad der er nødvendigt og passende for gennemførelsen af disse mål« (69).

187. Hvad angår domstolskontrollen med overholdelsen af disse betingelser, når der »er tale om indgreb i grundlæggende rettigheder, vil rækkevidden af EU-lovgivers skønsbeføjelse kunne være begrænset under hensyn til en række faktorer, herunder navnlig det omhandlede område, karakteren af den omhandlede rettighed, som er sikret ved chartret, karakteren og alvoren af indgrebet samt formålet hermed« (70).

188. Domstolen kan efter min opfattelse foretage en fuldstændig efterprøvelse af de beslutninger, som Kommissionen vedtager på grundlag af artikel 25, stk. 6, i direktiv 95/46, hvad angår forholdsmæssigheden af Kommissionens vurdering af, om et tredjelands beskyttelse har et tilstrækkeligt niveau under hensyn til »dets nationale lovgivning eller dets internationale forpligtelser«.

189. Det skal herved påpeges, at Domstolen i dom Digital Rights Ireland m.fl. (71) har fastslået, at »EU-lovgivers skønsbeføjelse, henset til dels den betydelige rolle, som beskyttelsen af personoplysninger spiller i forhold til den grundlæggende ret til respekt for privatlivet, dels rækkevidden og alvoren af det indgreb i denne ret, som [det omhandlede direktiv] indebærer, begrænset, hvorfor der skal foretages en streng efterprøvelse« (72).

190. Et sådant indgreb skal være egnet til at gennemføre det mål, der forfølges med den pågældende EU-retsakt, og nødvendigt for at nå dette mål.

191. Domstolen har herved bemærket, at »[h]vad angår retten til respekt for privatlivet kræver hensynet til beskyttelsen af denne grundlæggende ret ifølge Domstolens faste praksis […], at undtagelserne fra og begrænsningerne af beskyttelsen af personoplysninger skal holdes inden for det strengt nødvendige« (73).

192. Domstolen tager i forbindelse med sin efterprøvelse også hensyn til, at »beskyttelsen af personoplysninger i medfør af den udtrykkelige pligt, som er fastsat i chartrets artikel 8, stk. 1, har en særlig betydning for retten til respekt for privatlivet, som er fastslået i chartrets artikel 7« (74).

193. Domstolen har i denne henseende med henvisning til Den Europæiske Menneskerettighedsdomstols praksis fastslået, at »[d]en pågældende EU-lovgivning skal […] fastsætte klare og præcise regler, som regulerer rækkevidden og anvendelsen af den omhandlede foranstaltning og opstiller en række mindstekrav, således at de personer, hvis data er blevet lagret, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres personlige oplysninger mod risikoen for misbrug og mod ulovlig adgang til og anvendelse af disse oplysninger« (75). Domstolen har bemærket, at »[b]ehovet for at råde over sådanne garantier er så meget desto større, når personoplysningerne […] undergives automatisk databehandling, og der eksisterer en betydelig risiko for ulovlig adgang til disse data« (76).

194. Der er efter min opfattelse analogi mellem fjerde afsnit, litra a), i bilag I til beslutning 2000/520 og artikel 13, stk. 1, i direktiv 95/46. Det fremgår af den første bestemmelse, at overholdelsen af safe harbor-principperne kan være begrænset til »et niveau, der er tilstrækkeligt for at opfylde kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og orden«. Ifølge den anden bestemmelse kan medlemsstaterne træffe lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i dette direktivs artikel 6, stk. 1, artikel 10, artikel 11, stk. 1, samt artikel 12 og 21, hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til bl.a. statens sikkerhed, forsvaret, den offentlige sikkerhed samt forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager.

195. Som Domstolen bemærkede i IPI-dommen (77), fremgår det af ordlyden af artikel 13, stk. 1, i direktiv 95/46, at medlemsstaterne kun kan træffe de foranstaltninger, der er omhandlet i denne bestemmelse, når de er nødvendige. Den »nødvendige« karakter af foranstaltningerne udgør således en betingelse for den mulighed, som medlemsstaterne gives i den nævnte bestemmelse (78). For så vidt angår behandlingen af personoplysninger i EU skal de begrænsninger, der er fastsat i dette direktivs artikel 13, forstås således, at de skal holdes inden for det strengt nødvendige med henblik på at nå det mål, der forfølges. Det samme må efter min opfattelse gælde for de begrænsninger af safe harbor-principperne, der er fastsat i fjerde afsnit i bilag I til beslutning 2000/520.

196. Det må imidlertid konstateres, at kriteriet om nødvendighed ikke er nævnt i alle sprogversioner af fjerde afsnit, litra a), i bilag I til beslutning 2000/520. Det gælder bl.a. for den franske sprogversion, hvori det hedder, at »[l]’adhésion aux principes peut être limitée par […] les exigences relatives à la sécurité nationale, l’intérêt public et le respect des lois aux États-Unis«, hvorimod det f.eks. fremgår af den spanske, tyske og engelske sprogversion, at de indførte begrænsninger skal være nødvendige for at nå de nævnte mål.

197. De faktiske omstændigheder, som den forelæggende ret har fremført, og som Kommissionen har beskrevet i de ovenfor nævnte meddelelser, viser under alle omstændigheder klart, at denne begrænsning i praksis ikke holdes inden for det strengt nødvendige med henblik på at nå de tilsigtede mål.

198. Det skal herved påpeges, at de amerikanske efterretningstjenesters adgang til de overførte personoplysninger generelt omfatter alle personer og alle elektroniske kommunikationsmidler samt alle overførte oplysninger, herunder indholdet af den pågældende kommunikation, uden nogen form for differentiering, begrænsning eller undtagelse under hensyn til det mål af almen interesse, der forfølges (79).

199. De amerikanske efterretningstjenesternes adgang til de overførte oplysninger omfatter således generelt alle personer, der gør brug af elektroniske kommunikationstjenester, uanset om de berørte personer udgør en trussel mod den nationale sikkerhed (80).

200. En så massiv og vilkårlig overvågning er i sagens natur uforholdsmæssig og udgør et uberettiget indgreb i de rettigheder, der sikres ved chartrets artikel 7 og 8.

201. Som Parlamentet med rette har anført i sit indlæg, har EU-lovgiver og medlemsstaterne ikke mulighed for at vedtage lovbestemmelser, der foreskriver massiv og vilkårlig overvågning i strid med chartret, hvilket i særdeleshed må betyde, at tredjelande under ingen omstændigheder kan anses for at sikre et tilstrækkeligt beskyttelsesniveau for unionsborgernes personoplysninger, når deres lovgivning faktisk tillader massiv og vilkårlig overvågning og opfangning af denne type oplysninger.

202. Det skal desuden understreges, at safe harbor-ordningen, som den er fastlagt ved beslutning 2000/520, ikke omfatter garantier, som gør det muligt at forhindre massiv og vidtrækkende adgang til de overførte oplysninger.

203. Hertil vil jeg gerne bemærke, at Domstolen i dom Digital Rights Ireland m.fl. (81) har fremhævet, at det er vigtigt at fastsætte »klare og præcise regler, der regulerer rækkevidden af indgrebet i de grundlæggende rettigheder, som er fastslået i chartrets artikel 7 og 8« (82). Et sådant indgreb skal ifølge Domstolen være »præcist afgrænset af bestemmelser, der gør det muligt at sikre, at det faktisk er begrænset til det strengt nødvendige« (83). Domstolen har i samme dom også peget på behovet for at fastsætte »tilstrækkelige garantier, således som foreskrevet i chartrets artikel 8, der gør det muligt at sikre en effektiv beskyttelse af [personoplysninger] mod risikoen for misbrug og mod enhver ulovlig adgang til og anvendelse af disse oplysninger« (84).

204. Det må imidlertid konstateres, at de private voldgiftsmekanismer og FTC, der kun behandler handelstvister, ikke kan benyttes til at anfægte de amerikanske efterretningstjenesters adgang til personoplysninger, der overføres fra EU.

205. FTC’s kompetence omfatter illoyal eller vildledende adfærd eller praksis på handelsområdet og dækker således ikke indsamling og anvendelse af personoplysninger til ikke-kommercielle formål (85). FTC’s snævre kompetenceområde begrænser fysiske personers ret til beskyttelse af deres personoplysninger. FTC er ikke, som det er tilfældet for de nationale tilsynsmyndigheder inden for EU, oprettet for at beskytte den enkeltes ret til et privatliv, men for at skabe loyale og pålidelige handelsvilkår for forbrugerne, hvilket faktisk begrænser dens evne til at gribe ind på området for beskyttelse af personoplysninger. FTC spiller derfor ikke den samme rolle som de nationale tilsynsmyndigheder, der er omhandlet i artikel 28 i direktiv 95/46.

206. De unionsborgere, hvis oplysninger er blevet videregivet, kan rette henvendelse til særlige amerikanske voldgiftsorganer såsom TRUSTe og BBBOnline, hvor de kan få nærmere oplysninger om, hvorvidt den virksomhed, der er i besiddelse af personoplysninger om dem, overtræder betingelserne for selvcertificeringsordningen. Den private voldgift, der tilbydes af organer som TRUSTe, kan ikke benyttes til behandling af krænkelser af retten til beskyttelse af personoplysninger, som begås af organer eller myndigheder, som ikke er selvcertificerede virksomheder. Disse voldgiftsorganer har ikke kompetence til at afgøre, om de amerikanske sikkerhedstjenesters aktiviteter er lovlige.

207. Hverken FTC eller de private voldgiftsorganer har således kompetence til at kontrollere eventuelle overtrædelser af principperne om beskyttelse af personoplysninger, som begås af offentlige aktører såsom de amerikanske sikkerhedsmyndigheder. En sådan kompetence er imidlertid afgørende for at sikre retten til effektiv beskyttelse af disse oplysninger fuldt ud. Kommissionen kunne derfor ikke med vedtagelsen og opretholdelsen af beslutning 2000/520 fastslå, at der for alle personoplysninger, der overføres til USA, sikres en tilstrækkelig beskyttelse af den ret, der tillægges ved chartrets artikel 8, stk. 3, dvs. at en uafhængig myndighed udøver effektiv kontrol med, om hensynet til disse oplysningers beskyttelse og sikkerhed respekteres.

208. Det må som følge heraf konstateres, at der i den safe harbor-ordning, der er fastlagt ved beslutning 2000/520, mangler en uafhængig myndighed, som kan kontrollere, at anvendelsen af undtagelser fra safe harbor-principperne begrænses til det strengt nødvendige. Som jeg tidligere har nævnt, følger det imidlertid af EU-retten, at en sådan kontrol, der gennemføres af en uafhængig myndighed, er et væsentligt led i beskyttelsen af personer i forbindelse med behandling af personoplysninger (86).

209. Det er i den forbindelse vigtigt at se på, hvilken rolle de nationale tilsynsmyndigheder spiller for kontrollen med de begrænsninger, der er fastsat i artikel 13 i direktiv 95/46, inden for rammerne af det system til beskyttelse af personoplysninger, der gælder i EU. Det fremgår af dette direktivs artikel 28, stk. 4, andet afsnit, at »[e]nhver […] til tilsynsmyndigheden især [kan] indgive en anmodning om at få kontrolleret en behandlings lovlighed, når de nationale bestemmelser, der er truffet i henhold til artikel 13 i dette direktiv, finder anvendelse«. Jeg mener tilsvarende, at der ud over de begrænsninger af safe harbor-princippernes anvendelse, der er nævnt i fjerde afsnit i bilag I til beslutning 2000/520, burde have været fastsat en kontrolmekanisme, som blev varetaget af en uafhængig myndighed med særligt ansvar for beskyttelse af personoplysninger.

210. De uafhængige tilsynsmyndigheders intervention har således central betydning for det europæiske system til beskyttelse af personoplysninger. Det ville derfor have været naturligt at oprette en sådan myndighed med det samme som en nødvendig betingelse for, at det kan fastslås, om beskyttelsesniveauet i tredjelande er tilstrækkeligt. Dette vil være en betingelse for, at datastrømmen fra medlemsstaternes område til tredjelandes område ikke forbydes i overensstemmelse med artikel 25 i direktiv 95/46 (87). Som det påpeges i diskussionsoplægget fra den arbejdsgruppe, der er nedsat ved dette direktivs artikel 29, er der i Europa bred enighed om, at »et system med »ekstern kontrol« i form af en uafhængig myndighed er et nødvendigt element i hele håndhævelsessystemet inden for databeskyttelse« (88).

211. FISC tilbyder desuden ikke nogen effektiv domstolsprøvelse for de unionsborgere, hvis personoplysninger overføres til USA. Bestemmelserne om beskyttelse mod regeringsorganers overvågning i section 702 i Foreign Intelligence Surveillance Act of 1978 finder således kun anvendelse på amerikanske statsborgere og på udenlandske statsborgere, der opholder sig lovligt og varigt i USA. Som Kommissionen selv har anført, vil tilsynet med de amerikanske programmer for indsamling af efterretninger kunne forbedres, ved at FISC tildeles en stærkere rolle, og ved at der indføres retsmidler, som fysiske personer kan gøre brug af. Disse mekanismer vil kunne begrænse den behandling af unionsborgeres oplysninger, som ikke er relevant for den nationale sikkerhed (89).

212. Kommissionen har i øvrigt selv oplyst, at unionsborgere ikke har mulighed for at opnå indsigt i, berigtigelse af eller sletning af oplysninger eller administrativ eller retslig prøvelse med hensyn til den indsamling og viderebehandling af deres personoplysninger, der finder sted som led i de amerikanske overvågningsprogrammer (90).

213. Det skal endelig nævnes, at de amerikanske regler om beskyttelse af privatlivets fred kan anvendes forskelligt for amerikanske og udenlandske statsborgere (91).

214. Det følger af det ovenstående, at beslutning 2000/520 ikke fastsætter klare og præcise regler, der regulerer rækkevidden af indgrebet i de grundlæggende rettigheder, som er fastslået i chartrets artikel 7 og 8. Det må derfor fastslås, at denne beslutning og dens anvendelse indebærer et meget vidtrækkende og alvorligt indgreb i disse grundlæggende rettigheder, uden at dette indgreb er præcist afgrænset af bestemmelser, der gør det muligt at sikre, at det faktisk er begrænset til det strengt nødvendige.

215. Kommissionen har derfor med vedtagelsen og opretholdelsen af beslutning 2000/520 overskredet de grænser, der følger af overholdelsen af proportionalitetsprincippet, henset til chartrets artikel 7 og 8 samt artikel 52, stk. 1. Det må endvidere konkluderes, at der foreligger et ubegrundet indgreb i unionsborgernes adgang til effektive retsmidler, som er beskyttet ved chartrets artikel 47.

216. Denne beslutning bør som følge heraf kendes ugyldig, for så vidt som den safe harbor-ordning, der indføres heri, på grund af de ovenfor beskrevne krænkelser af de grundlæggende rettigheder ikke kan anses for at sikre et tilstrækkeligt beskyttelsesniveau for de personoplysninger, der overføres fra EU til USA inden for rammerne af denne ordning.

217. I lyset af de fastslåede krænkelser af unionsborgernes grundlæggende rettigheder mener jeg, at Kommissionen burde have suspenderet anvendelsen af beslutning 2000/520.

218. Denne beslutning gælder på ubestemt tid. Den foreliggende sag viser imidlertid, at selv om et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, kan dette ændres i takt med, at de såvel faktiske som retlige omstændigheder, der lå til grund for denne beslutning, ændrer sig.

219. Beslutning 2000/520 indeholder selv bestemmelser om, at Kommissionen kan ændre beslutningen efter omstændighederne.

220. Det fremgår således af niende betragtning til denne beslutning, at »[s]afe harbor-ordningen, der bygger på principperne og FAQ, […] i givet fald [bør] tages op til fornyet overvejelse i lyset af erfaringerne, udviklingen inden for beskyttelse af privatlivets fred i en verden, hvor teknologien hele tiden gør det nemmere at overføre og behandle personoplysninger, og rapporterne om de involverede kompetente myndigheders gennemførelse af ordningen«.

221. Det bestemmes ligeledes i denne beslutnings artikel 3, stk. 4, at »[h]vis det fremgår af de oplysninger, der skal udveksles i henhold til stk. 1, 2 og 3, at et organ, der er ansvarlig for håndhævelse af principperne, der gennemføres i overensstemmelse med FAQ i USA, ikke opfylder sin rolle effektivt, skal Kommissionen underrette det amerikanske handelsministerium og, hvis det er nødvendigt, forelægge et udkast til foranstaltninger […] med henblik på at ophæve eller suspendere nærværende beslutning eller begrænse dens anvendelsesområde«.

222. Det fremgår desuden af artikel 4, stk. 1, i beslutning 2000/520, at den »til enhver tid [kan] blive ændret på grundlag af erfaringerne i forbindelse med dens gennemførelse, og/eller hvis der i den amerikanske lovgivning stilles krav om samme beskyttelsesniveau som det, der opnås ved hjælp af principperne og FAQ. Kommissionen skal under alle omstændigheder evaluere gennemførelsen af denne beslutning på grundlag af alle tilgængelige oplysninger tre år efter, at den pågældende medlemsstat har fået meddelelse derom, og rapportere om ethvert relevant forhold til det ved artikel 31 i direktiv 95/46[…] nedsatte udvalg, herunder om ethvert forhold, der kan påvirke den i artikel 1 i nærværende beslutning anførte vurdering, hvor bestemmelserne vurderes som værende i stand til at tilvejebringe en tilstrækkelig beskyttelse i henhold til artikel 25 i direktiv 95/46/EF«. Ifølge artikel 4, stk. 2, i beslutning 2000/520 skal »Kommissionen […] hvis det er nødvendigt, fremlægge forslag til foranstaltninger i henhold til proceduren i artikel 31 i direktiv 95/46/EF«.

223. Kommissionen har i sit indlæg konstateret, at »det er meget sandsynligt, at overholdelsen af safe harbor-principperne er blevet begrænset på en sådan måde, at de snævert definerede betingelser for den fritagelse, der er fastsat af hensyn til den nationale sikkerhed, ikke længere er opfyldt« (92). Den har herved anført, at »[d]e pågældende afsløringer viser en udifferentieret, storstilet overvågning, som hverken er forenelig med det kriterium om nødvendighed, der er fastsat i denne fritagelse, eller mere generelt med retten til beskyttelse af personoplysninger, som er fastslået i chartrets artikel 8« (93). Kommissionen har i øvrigt selv konstateret, at »[r]ækkevidden af [overvågningsprogrammerne] […] i kombination med, at [unionsborgerne] er ringere stillet, [rejser] tvivl om, hvor højt beskyttelsesniveau safe harbor-ordningen egentlig skaber« (94).

224. Under retsmødet medgav Kommissionen desuden klart, at beslutning 2000/520, som den anvendes i dag, ikke yder nogen garanti for, at unionsborgernes ret til beskyttelse af deres oplysninger sikres. Kommissionen mener dog ikke, at dette kan resultere i, at beslutningen mister sin gyldighed. Kommissionen er ganske vist enig i, at den skal reagere, når der indtræffer nye omstændigheder, men mener, at den har truffet passende og forholdsmæssige foranstaltninger ved at indlede forhandlinger med USA om en reform af safe harbor-ordningen.

225. Det er ikke min opfattelse. De nationale tilsynsmyndigheder skal i mellemtiden kunne suspendere overførslen af personoplysninger til USA på eget initiativ, eller når der indgives klager til dem.

226. I lyset af disse forhold mener jeg i øvrigt, at Kommissionen burde have suspenderet anvendelsen af beslutning 2000/520. Det formål om at beskytte personoplysninger, der forfølges med direktiv 95/46 og med chartrets artikel 8, indebærer forpligtelser ikke bare for medlemsstaterne, men også for EU-institutionerne, hvilket fremgår af chartrets artikel 51, stk. 1.

227. Kommissionen skal ved vurderingen af det beskyttelsesniveau, der tilvejebringes i et tredjeland, både undersøge dette tredjelands nationale lovgivning og internationale forpligtelser og undersøge, hvordan beskyttelsen af personoplysninger sikres i praksis. Hvis undersøgelsen af praksis afslører uregelmæssigheder, skal Kommissionen reagere og i givet fald straks suspendere og/eller ændre sin beslutning.

228. Som jeg tidligere har nævnt, er formålet med den forpligtelse, der påhviler medlemsstaterne, først og fremmest at sikre, at de nationale tilsynsmyndigheder sørger for, at reglerne i direktiv 95/46 overholdes.

229. Kommissionens forpligtelse går ud på at suspendere anvendelsen af en beslutning, som den har vedtaget på grundlag af dette direktivs artikel 25, stk. 6, når det har vist sig, at det pågældende tredjeland har gjort sig skyldig i overtrædelser, og mens den fører forhandlinger med dette tredjeland med henblik på at bringe disse overtrædelser til ophør.

230. Formålet med en beslutning, som Kommissionen vedtager på grundlag af denne bestemmelse, er som bekendt at fastslå, at et tredjeland »sikrer« et tilstrækkeligt beskyttelsesniveau for de personoplysninger, der overføres til dette tredjeland. Det antydes med brugen af nutidsformen »sikrer«, at en sådan beslutning for at kunne opretholdes skal vedrøre et tredjeland, der fortsætter med at sikre et sådant tilstrækkeligt beskyttelsesniveau, efter at denne beslutning er vedtaget.

231. Det fremgår af 57. betragtning til direktiv 95/46, at »hvis et tredjeland […] ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal videregivelse af personoplysninger til det pågældende land forbydes«.

232. Det fremgår videre af dette direktivs artikel 25, stk. 4, at »[k]onstaterer Kommissionen efter proceduren i artikel 31, stk. 2, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, træffer medlemsstaterne de foranstaltninger, der er nødvendige for at hindre enhver videregivelse af oplysninger af samme art til det pågældende tredjeland«. Artikel 25, stk. 5, i nævnte direktiv bestemmer i øvrigt, at »Kommissionen […] på det rette tidspunkt [indleder] forhandlinger med henblik på at afhjælpe den situation, der opstår som følge af en konstatering efter stk. 4«.

233. Det følger af den sidstnævnte bestemmelse, at formålet med de forhandlinger, der indledes med et tredjeland, inden for rammerne af den ordning, der er indført ved dette artikel 25 i direktiv 95/46, er at afhjælpe et utilstrækkeligt beskyttelsesniveau, der er fastslået efter proceduren i dette direktivs artikel 31, stk. 2. I den foreliggende sag har Kommissionen ikke formelt fastslået, at safe harbor-ordningen ikke længere sikrer et tilstrækkeligt beskyttelsesniveau, efter denne procedure. Kommissionen har ikke desto mindre besluttet at indlede forhandlinger med USA og må derfor allerede have afgjort, at det beskyttelsesniveau, der sikres i dette land, ikke længere er tilstrækkeligt.

234. Kommissionen undlod at suspendere eller ændre beslutning 2000/520, selv om den havde kendskab til uregelmæssigheder i forbindelse med dens anvendelse, hvilket har resulteret i fortsat krænkelse af de grundlæggende rettigheder for de personer, hvis personoplysninger er blevet og fortsat bliver overført inden for rammerne af safe harbor-ordningen.

235. Domstolen har dog allerede – men i anden sammenhæng – fastslået, at det påhviler Kommissionen at foretage en ændring af bestemmelserne i lyset af de nye oplysninger (95).

236. Kommissionens manglende indsats, som griber direkte ind i de grundlæggende rettigheder, der er beskyttet ved chartrets artikel 7, 8 og 47, udgør efter min opfattelse endnu en grund til at kende beslutning 2000/520 ugyldig i forbindelse med den foreliggende præjudicielle forelæggelse (96).

III – Forslag til afgørelse

237. Jeg foreslår på grundlag af det ovenfor anførte, at Domstolen besvarer de præjudicielle spørgsmål, som High Court har forelagt, således:

»Artikel 28 i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal, henset til artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at den omstændighed, at Europa-Kommissionen har vedtaget en beslutning på grundlag af artikel 25, stk. 6, i direktiv 95/46, ikke er til hinder for, at en national tilsynsmyndighed undersøger en klage, hvori det hævdes, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau for så vidt angår de overførte personoplysninger, og i givet fald suspenderer den omtvistede overførsel heraf.

Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium er ugyldig.«

1 –      Originalsprog: fransk.

2 –      Kommissionens meddelelse til Europa-Parlamentet og Rådet med titlen »Genopbygning af tilliden til datastrømmene mellem EU og USA« (COM(2013) 846 final).

3 –      S. 2.

4 –      EFT L 215, s. 7, og berigtigelse i EFT 2001 L 115, s. 14.

5 – EFT L 281, s. 31. Direktiv som ændret ved Europa-Parlamentets og Rådets direktiv af 29.9.2003 (EUT L 284, s. 1, herefter »direktiv 95/46«).

6 – Frequently asked questions, herefter »FAQ«.

7 –      Bilag I til beslutning 2000/520, andet afsnit, i beslutning 2000/520.

8 – Jf. »Oplysningspligt« i bilag I.

9 –      Jf. »Valgfrihed« i bilag I.

10 –      Jf. »Videre overførsel« i bilag I.

11 –      Jf. »Sikkerhed« i bilag I.

12 –      Jf. »Data-integritet« i bilag I.

13 –      Jf. »Indsigt« i bilag I.

14 –      Jf. »Håndhævelse« i bilag I.

15 –      Artikel 1, stk. 2 og 3, i beslutning 2000/520. Jf. også bilag II, FAQ nr. 6.

16 –      Bilag I, tredje afsnit.

17 –      Jf. også bilag IV, afsnit B.

18 –      Jf. denne lovs section 702, som ændret ved Foreign Intelligence Surveillance Act of 2008. NSA har i medfør af section 702 oprettet en database ved navn »PRISM« (jf. Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection af 27.11.2013).

19 –      High Court henviser bl.a. til respekten for menneskers værdighed og individets frihed (præamblen), den personlige autonomi (artikel 40, stk. 3, nr. 1 og 2), boligens ukrænkelighed (artikel 40, stk. 5) og beskyttelse af familielivet (artikel 41).

20 –      High Court har herved bemærket, at Maximillian Schrems’ principale anbringende i hovedsagen går ud på, at Commissioner i lyset af de seneste afsløringer fra Edward Snowden og den omstændighed, at store mængder personoplysninger er blevet gjort tilgængelige for de amerikanske efterretningstjenester, ikke med rette kunne konkludere, at der foreligger et tilstrækkeligt beskyttelsesniveau for disse oplysninger i dette tredjeland.

21 –      C-293/12 og C-594/12, EU:C:2014:238, præmis 65-69.

22 – Jf. bl.a. dom Koushkaki (C-84/12, EU:C:2013:862, præmis 34 og den deri nævnte retspraksis).

23 – Jf. domme Kommissionen mod Østrig (C-614/10, EU:C:2012:631, præmis 36) og Kommissionen mod Ungarn (C-288/12, EU:C:2014:237, præmis 47).

24 – Jf. bl.a. dom Kommissionen mod Ungarn (C-288/12, EU:C:2014:237, præmis 48 og den deri nævnte retspraksis). Jf. ligeledes i denne retning dom Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238, præmis 68 og den deri nævnte retspraksis).

25 – Jf. bl.a. dom Kommissionen mod Ungarn (C-288/12, EU:C:2014:237, præmis 51 og den deri nævnte retspraksis).

26 – Dom Kommissionen mod Tyskland (C-518/07, EU:C:2010:125, præmis 25).

27 – Ibidem.

28 – Ibidem, præmis 22 og den deri nævnte retspraksis.

29 – Ibidem, præmis 23. Jf. ligeledes i denne retning domme Kommissionen mod Østrig (C-614/10, EU:C:2012:631, præmis 52) og Kommissionen mod Ungarn (C-288/12, EU:C:2014:237, præmis 53).

30 – Jf. generaladvokat Légers forslag til afgørelse Parlamentet mod Rådet og Kommissionen (C-317/04, EU:C:2005:710, punkt 92-95). Jf. også dom Parlamentet mod Rådet og Kommissionen (C-317/04 og C-318/04, EU:C:2006:346, præmis 56).

31 – Jf. bl.a. dom IPI (C-473/12, EU:C:2013:715, præmis 28 og den deri nævnte retspraksis).

32 – Jf. bl.a. dom Google Spain og Google (C-131/12, EU:C:2014:317, præmis 68 og den deri nævnte retspraksis).

33 – Jf. bl.a. dom N.S. m.fl. (C-411/10 og C-493/10, EU:C:2011:865, præmis 77 og den deri nævnte retspraksis).

34 –      C-411/10 og C-493/10, EU:C:2011:865.

35 –      Rådets forordning af 18.2.2003 om fastsættelse af kriterier og procedurer til afgørelse af, hvilken medlemsstat der er ansvarlig for behandlingen af en asylansøgning, der er indgivet af en tredjelandsstatsborger i en af medlemsstaterne (EUT L 50, s. 1).

36 –      Præmis 99 i denne dom.

37 –      United Nations Treaty Series, bind 189, s. 150, nr. 2545 (1954).

38 –      Jf. dom N.S. m.fl. (C-411/10 og C-493/10, EU:C:2011:865, præmis 80).

39 –      Ibidem, præmis 81.

40 –      Ibidem, præmis 94.

41 –      C-411/10 og C-493/10, EU:C:2011:865.

42 –      Den nævnte doms præmis 104.

43 –      C-101/01, EU:C:2003:596.

44 –      Præmis 65.

45 –      Præmis 64.

46 –      Maximillian Schrems mener ikke, at den første betingelse, hvorefter »der er stor sandsynlighed for, at principperne overtrædes«, er opfyldt. Det påstås imidlertid ikke, at Facebook USA – et selvcertificeret foretagende, som der overføres oplysninger til – selv har tilsidesat safe harbor-principperne ved at give de amerikanske myndigheder udifferentieret masseadgang til de oplysninger, som det er i besiddelse af. Safe harbor-principperne er således udtrykkeligt begrænset af amerikansk ret, som ifølge fjerde afsnit i bilag I til beslutning 2000/520 omfatter love, administrative bestemmelser og retspraksis.

47 –      Punkt 24 i forelæggelsesafgørelsen.

48 – Jf. bl.a. domme Strehl (62/76, EU:C:1977:18, præmis 10-17), Roquette Frères (145/79, EU:C:1980:234, præmis 6) og Schutzverband der Spirituosen-Industrie (C-457/05, EU:C:2007:576, præmis 32-39).

49 – Dom Schwarze (16/65, EU:C:1965:117, s. 1094).

50 – Jf. dom Hauer (44/79, EU:C:1979:290, præmis 16).

51 – Jf. bl.a. dom CIVAD (C-533/10, EU:C:2012:347, præmis 39-41 og den deri nævnte retspraksis).

52 – Jf. bl.a. dom BVGD mod Kommissionen (T-104/07 og T-339/08, EU:T:2013:366, præmis 291), hvori der henvises til dom IECC mod Kommissionen (C-449/98 P, EU:C:2001:275, præmis 87).

53 – C-247/08, EU:C:2009:600.

54 –      Præmis 49 og den deri nævnte retspraksis.

55 –      Præmis 50 og den deri nævnte retspraksis. Jf. i denne retning K. Lenaerts, I. Maselis og K. Gutman, EU Procedural Law, Oxford University Press, 2014, hvorefter »in certain cases, the validity of the particular Union measure can be assessed by reference to new factors arising after that measure was adopted, depending on the determination of the Court« (punkt 10.16, s. 471).

56 –      Jf. s. 5 i Kommissionens arbejdsdokument WP 12 med titlen »Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU’s databeskyttelsesdirektiv« vedtaget af arbejdsgruppen vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger den 24.7.1998.

57 – Jf. bl.a. dom Fallimento Traghetti del Mediterraneo (C-140/09, EU:C:2010:335, præmis 22 og den deri nævnte retspraksis).

58 – Jf. Kommissionens meddelelse, nævnt ovenfor i fodnote 2, og Kommissionens meddelelse til Europa-Parlamentet og Rådet om, hvordan safe harbor-ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU (COM(2013) 847 final).

59 – Punkt 7, litra c), i forelæggelsesafgørelsen.

60 – Punkt 7, litra b), i forelæggelsesafgørelsen.

61 – S. 19 i meddelelsen.

62 – Jf. bl.a. dom Kadi og Al Barakaat International Foundation mod Rådet og Kommissionen (C-402/05 P og C-415/05 P, EU:C:2008:461, præmis 284 og den deri nævnte retspraksis).

63 – Dom Österreichischer Rundfunk m.fl. (C-465/00, C-138/01 og C-139/01, EU:C:2003:294, præmis 74 og 75).

64 – C-293/12 og C-594/12, EU:C:2014:238.

65 – Præmis 35.

66 – Præmis 36.

67 – Punkt 7, litra b), i forelæggelsesafgørelsen.

68 – Jf. herved dom Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238, præmis 39 og 40).

69 – Dom Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238, præmis 46 og den deri nævnte retspraksis).

70 –      Ibidem, præmis 47 og den deri nævnte retspraksis).

71 –      C-293/12 og C-594/12, EU:C:2014:238.

72 –      Præmis 48.

73 –      Dom Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238, præmis 52 og den deri nævnte retspraksis).

74 –      Ibidem, præmis 53.

75 –      Ibidem, præmis 54 og den deri nævnte retspraksis.

76 –      Ibidem, præmis 55 og den deri nævnte retspraksis.

77 –      C-473/12, EU:C:2013:715.

78 –      Præmis 32.

79 –      Jf. analogt dom Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238, præmis 57 og den deri nævnte retspraksis).

80 –      Ibidem, præmis 58 og 59.

81 –      C-293/12 og C-594/12, EU:C:2014:238.

82 –      Præmis 65.

83 –      Idem.

84 –      Ibidem, præmis 66.

85 –      Jf. herved »Søgsmål ved Federal Trade Commission (FTC)« under FAQ nr. 11 i bilag II til beslutning 2000/520 samt bilag III, V og VII hertil.

86 –      Jf. dom Digital Rights Ireland m.fl. (C-293/12 og C-594/12, EU:C:2014:238, præmis 68 og den deri nævnte retspraksis).

87 –      Jf. Y. Poullet, »L’autorité de contrôle: »vues« de Bruxelles«, Revue française d’administration publique, nr. 89, januar-marts 1999, s. 69, på s. 71.

88 –      Jf. s. 7 i Kommissionens arbejdsdokument WP 12, nævnt ovenfor i fodnote 58.

89 – S. 10 og 11 i Kommissionens meddelelse, nævnt ovenfor i fodnote 2.

90 – Jf. punkt 7.2., s. 20, i Kommissionens meddelelse, nævnt ovenfor i fodnote 59.

91 –      Jf. herom C. Kuner, »Foreign Nationals and Data Protection Law: A Transatlantic Analysis«, Data Protection Anno 2014: How To Restore Trust? Intersentia, Cambridge, 2014, s. 213, på s. 216 ff.

92 –      Punkt 44.

93 – Idem.

94 – Jf. s. 5 i Kommissionens meddelelse, nævnt ovenfor i fodnote 2.

95 –      Jf. i denne retning dom Agrarproduktion Staebelow (C-504/04, EU:C:2006:30, præmis 40).

96 – I dom T. Port (C-68/95, EU:C:1996:452) fastslog Domstolen ganske vist, at »traktaten ikke giver hjemmel for en forelæggelse, hvorved en national ret anmoder Domstolen om at fastslå en institutions passivitet ved en præjudiciel afgørelse« (præmis 53), men den forholdt sig mere positivt til denne mulighed i dom Ten Kate Holding Musselkanaal m.fl. (C-511/03, EU:C:2005:625, præmis 29).