Language of document : ECLI:EU:C:2006:346

ARREST VAN HET HOF (Grote kamer)

30 mei 2006 (*)

„Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Luchtvervoer – Besluit 2004/496/EG – Overeenkomst tussen Europese Gemeenschap en Verenigde Staten van Amerika – Passenger Name Record van vliegtuigpassagiers dat aan het Bureau of Customs and Border Protection van de Verenigde Staten wordt doorgegeven – Richtlijn 95/46/EG – Artikel 25 – Derde landen – Beschikking 2004/535/EG – Passend beschermingsniveau”

In de gevoegde zaken C-317/04 en C-318/04,

betreffende beroepen tot nietigverklaring krachtens artikel 230 EG, ingesteld op 27 juli 2004,

Europees Parlement, vertegenwoordigd door R. Passos, N. Lorenz, H. Duintjer Tebbens en A. Caiola als gemachtigden, domicilie gekozen hebbende te Luxemburg,

verzoeker,

ondersteund door:

Europees toezichthouder voor gegevensbescherming (ETGB), vertegenwoordigd door H. Hijmans en V. Perez Asinari als gemachtigden,

interveniënt,

tegen

Raad van de Europese Unie, vertegenwoordigd door M. C. Giorgi Fort en M. Bishop als gemachtigden,

verweerder in zaak C-317/04,

ondersteund door:

Commissie van de Europese Gemeenschappen, vertegenwoordigd door P. J. Kuijper, A. van Solinge en C. Docksey als gemachtigden, domicilie gekozen hebbende te Luxemburg,

Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland, vertegenwoordigd door M. Bethell, C. White en T. Harris als gemachtigden, bijgestaan door T. Ward, barrister, domicilie gekozen hebbende te Luxemburg,

interveniënten,

en tegen

Commissie van de Europese Gemeenschappen, vertegenwoordigd door P. J. Kuijper, A. van Solinge, C. Docksey en F. Benyon als gemachtigden, domicilie gekozen hebbende te Luxemburg,

verweerster in zaak C-318/04,

ondersteund door:

Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland, vertegenwoordigd door M. Bethell, C. White en T. Harris als gemachtigden, bijgestaan door T. Ward, barrister, domicilie gekozen hebbende te Luxemburg,

interveniënt,

wijst

HET HOF VAN JUSTITIE (Grote kamer),

samengesteld als volgt: V. Skouris, president, P. Jann, C. W. A. Timmermans, A. Rosas en J. Malenovský, kamerpresidenten, N. Colneric (rapporteur), S. von Bahr, J. N. Cunha Rodrigues, R. Silva de Lapuerta, G. Arestis, A. Borg Barthet, M. Ilešič en J. Klučka, rechters,

advocaat-generaal: P. Léger,

griffier: M. Ferreira, hoofdadministrateur,

gezien de stukken en na de terechtzitting op 18 oktober 2005,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 22 november 2005,

het navolgende

Arrest

1        In zaak C-317/04 verzoekt het Europees Parlement om nietigverklaring van besluit 2004/496/EG van de Raad van 17 mei 2004 betreffende de sluiting van een overeenkomst tussen de Europese Gemeenschap en de Verenigde Staten van Amerika inzake de verwerking en overdracht van PNR-gegevens door luchtvaartmaatschappijen aan het Bureau of Customs and Border Protection van het ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika (PB L 183, blz. 83, en rectificatie PB 2005, L 255, blz. 168).

2        In zaak C-318/04 verzoekt het Parlement om nietigverklaring van beschikking 2004/535/EG van de Commissie van 14 mei 2004 betreffende de passende bescherming van persoonsgegevens in het Passenger Name Record van vliegtuigpassagiers die aan het Bureau of Customs and Border Protection van de Verenigde Staten worden doorgegeven (PB L 235, blz. 11; hierna: „beschikking”).

 Toepasselijke bepalingen

3        Artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, ondertekend te Rome op 4 november 1950 (hierna: „EVRM”), luidt:

„1      Eenieder heeft recht op respect voor zijn privé-leven, zijn familie‑ en gezinsleven, zijn woning en zijn correspondentie.

2      Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.”

4        Artikel 95, lid 1, tweede zin, EG luidt:

„De Raad stelt volgens de procedure van artikel 251 en na raadpleging van het Economisch en Sociaal Comité de maatregelen vast inzake de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten die de instelling en de werking van de interne markt betreffen.”

5        Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31), zoals gewijzigd bij verordening (EG) nr. 1882/2003 van het Europees Parlement en de Raad van 29 september 2003 tot aanpassing aan besluit 1999/468/EG van de Raad van de bepalingen betreffende de comités die de Commissie bijstaan in de uitoefening van haar uitvoeringsbevoegdheden die zijn vastgelegd in besluiten waarop de procedure van artikel 251 van het Verdrag van toepassing is (PB L 284, blz. 1) (hierna: „richtlijn”), is vastgesteld op grond van artikel 100 A EG-Verdrag (thans, na wijziging, artikel 95 EG).

6        Naar luid van overweging 11 van de richtlijn verduidelijken en versterken „de in deze richtlijn vervatte beginselen met betrekking tot de bescherming van de rechten en de vrijheden van personen, inzonderheid van de persoonlijke levenssfeer, de beginselen van het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen ter zake van de geautomatiseerde verwerking van persoonsgegevens”.

7        Overweging 13 van de richtlijn luidt:

„[De] in de titels V en VI van het Verdrag betreffende de Europese Unie bedoelde activiteiten met betrekking tot openbare veiligheid, defensie, staatsveiligheid en de activiteiten van de staat op strafrechtelijk gebied [vallen] niet onder de toepassingssfeer van het gemeenschapsrecht […], onverminderd de verplichtingen die de lidstaten hebben uit hoofde van de artikelen 56, lid 2, 57 en 100 A van het Verdrag [...]”

8        Overweging 57 van de richtlijn luidt:

„[...] doorgifte van persoonsgegevens naar een derde land dient te worden verboden, indien daar geen passend beschermingsniveau wordt geboden”.

9        Artikel 2 van de richtlijn bepaalt:

„In de zin van deze richtlijn wordt verstaan onder:

a)      ‚persoonsgegevens’, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna ‚betrokkene’ te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit;

b)      ‚verwerking van persoonsgegevens’, hierna ‚verwerking’ te noemen, elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

[…]”

10      Artikel 3 van de richtlijn bepaalt:

„Werkingssfeer

1.      De bepalingen van deze richtlijn zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

2.      De bepalingen van deze richtlijn zijn niet van toepassing op de verwerking van persoonsgegevens:

–        die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat (waaronder de economie van de staat, wanneer deze verwerkingen in verband staan met vraagstukken van staatsveiligheid), en de activiteiten van de staat op strafrechtelijk gebied;

[…]”

11      Artikel 6, lid 1, van de richtlijn luidt:

„De lidstaten bepalen dat de persoonsgegevens:

[…]

b)      voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet worden verwerkt op een wijze die onverenigbaar is met die doeleinden. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de lidstaten passende garanties bieden;

c)      toereikend, ter zake dienend en niet bovenmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt;

[…]

e)      in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. […]”

12      Artikel 7 van de richtlijn luidt:

„De lidstaten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien:

[…]

c)      de verwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is, of

[…]

e)      de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die aan de voor de verwerking verantwoordelijke of de derde aan wie de gegevens worden verstrekt, drager is opgedragen, of

f)      de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van artikel 1, lid 1, van deze richtlijn, niet prevaleren.”

13      Artikel 8, lid 5, eerste alinea, van de richtlijn luidt:

„Verwerkingen van gegevens inzake overtredingen, strafrechtelijke veroordelingen of veiligheidsmaatregelen mogen alleen worden verricht onder toezicht van de overheid of indien de nationale wetgeving voorziet in passende specifieke waarborgen, behoudens afwijkingen die een lidstaat kan toestaan uit hoofde van nationale bepalingen welke passende en specifieke waarborgen bieden. Een volledig register van strafrechtelijke veroordelingen mag alleen worden bijgehouden onder toezicht van de overheid.”

14      Artikel 12 van de richtlijn luidt:

„De lidstaten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen:

a)      vrijelijk en zonder beperking, met redelijke tussenpozen en zonder bovenmatige vertraging of kosten:

–      uitsluitsel omtrent het al dan niet bestaan van verwerkingen van hem betreffende gegevens, alsmede ten minste informatie over de doeleinden van deze verwerkingen, de categorieën gegevens waarop deze verwerkingen betrekking hebben en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt;

–      verstrekking, in begrijpelijke vorm, van de gegevens die zijn verwerkt, alsmede de beschikbare informatie over de oorsprong van de gegevens;

–      mededeling van de logica die ten grondslag ligt aan de automatische verwerking van hem betreffende gegevens, in elk geval als het gaat om de geautomatiseerde besluiten als bedoeld in artikel 15, lid 1;

b)      naar gelang van het geval, de rectificatie, de uitwissing of de afscherming van de gegevens waarvan de verwerking niet overeenstemt met de bepalingen van deze richtlijn, met name op grond van het onvolledige of onjuiste karakter van de gegevens;

c)      kennisgeving aan derden aan wie de gegevens zijn verstrekt, van elke rectificatie, uitwissing of afscherming, uitgevoerd overeenkomstig punt b, tenzij zulks onmogelijk blijkt of onevenredig veel moeite kost.”

15      Artikel 13, lid 1, van de richtlijn luidt:

„De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in artikel 6, lid 1, artikel 10, artikel 11, lid 1, artikel 12 en artikel 21 bedoelde rechten en plichten indien dit noodzakelijk is ter vrijwaring van

a)      de veiligheid van de staat;

b)      de landsverdediging;

c)      de openbare veiligheid;

d)      het voorkomen, het onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen;

e)      een belangrijk economisch en financieel belang van een lidstaat of van de Europese Unie, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden;

f)      een taak op het gebied van controle, inspectie of regelgeving, verbonden, ook al is dit incidenteel, met de uitoefening van het openbaar gezag in de onder c, d en e, bedoelde gevallen;

g)      de bescherming van de betrokkene of van de rechten en vrijheden van anderen.”

16      Artikel 22 van de richtlijn luidt:

„Beroep

Onverminderd de administratieve voorziening die met name bij de in artikel 28 bedoelde toezichthoudende autoriteit kan worden getroffen voordat de zaak aanhangig wordt gemaakt voor de rechter, bepalen de lidstaten dat eenieder zich tot de rechter kan wenden wanneer de rechten die hem worden gegarandeerd door het op de betrokken verwerking toepasselijke nationale recht geschonden worden.”

17      De artikelen 25 en 26 van de richtlijn vormen hoofdstuk IV, betreffende de doorgifte van persoonsgegevens naar derde landen.

18      Artikel 25 van de richtlijn, met als opschrift „Beginselen”, luidt:

„1.      De lidstaten bepalen dat persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte te worden verwerkt, slechts naar een derde land mogen worden doorgegeven indien, onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn, dat land een passend beschermingsniveau waarborgt.

2.      Het passend karakter van het door een derde land geboden beschermingsniveau wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd.

3.      De lidstaten en de Commissie brengen elkaar op de hoogte van de gevallen waarin, naar hun oordeel, een derde land geen waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt.

4.      Wanneer de Commissie volgens de procedure van artikel 31, lid 2, constateert dat een derde land geen waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt, nemen de lidstaten de nodige maatregelen om doorgifte van gegevens van dezelfde aard naar het betrokken land te voorkomen.

5.      De Commissie opent op het gepaste ogenblik onderhandelingen ter verhelping van de situatie die voortvloeit uit de in lid 4 bedoelde constatering.

6.      De Commissie kan volgens de procedure van artikel 31, lid 2, constateren dat een derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, die het met name na de in lid 5 bedoelde onderhandelingen is aangegaan, waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen.

De lidstaten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen.”

19      Artikel 26, lid 1, van de richtlijn, met als opschrift „Afwijkingen”, luidt:

„In afwijking van artikel 25 en behoudens andersluidende bepalingen van hun nationale recht betreffende specifieke gevallen, bepalen de lidstaten dat een doorgifte of categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, mag plaatsvinden mits:

a)      de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven, of

b)      de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen, of

c)      de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een derde gesloten of te sluiten overeenkomst, of

d)      de doorgifte noodzakelijk of wettelijk verplicht is vanwege een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte, of

e)      de doorgifte noodzakelijk is ter vrijwaring van het vitale belang van de betrokkene, of

f)      de doorgifte geschiedt vanuit een openbaar register dat krachtens wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voorzover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging.”

20      Op grond van de richtlijn, met name artikel 25, lid 6, heeft de Commissie van de Europese Gemeenschappen haar beschikking vastgesteld.

21      Overweging 11 van deze beschikking luidt:

„Voor de verwerking door het CBP [United States Bureau of Customs and Border Protection (Bureau voor douane en grensbescherming van de Verenigde Staten)] van de doorgegeven persoonsgegevens uit het PNR [‚Passenger Name Records’ (passagiersdossier)] van vliegtuigpassagiers gelden de voorwaarden die zijn vastgesteld in de verbintenissen van het Bureau of Customs and Border Protection (CBP) van het Department of Homeland Security van 11 mei 2004 (hierna ‚de verbintenissen’ genoemd) en in de interne wetgeving van de Verenigde Staten waarnaar in die verbintenissen wordt verwezen.”

22      Volgens overweging 15 van de beschikking zullen PNR-gegevens uitsluitend worden gebruikt ter voorkoming en bestrijding van terrorisme en aanverwante misdrijven, andere zware misdrijven, waaronder georganiseerde misdaad, die van grensoverschrijdende aard zijn, alsook het ontvluchten van een aanhoudingsbevel of arrestatie wegens die misdrijven.

23      De artikelen 1 tot en met 4 van de beschikking luiden:

„Artikel 1

Voor de toepassing van artikel 25, lid 2, van richtlijn 95/46/EG wordt het Bureau of Customs and Border Protection van de Verenigde Staten, hierna ‚CBP’ genoemd, geacht een passend beschermingsniveau te bieden voor PNR-gegevens die vanuit de Gemeenschap met betrekking tot vluchten van en naar de Verenigde Staten overeenkomstig de verbintenissen in de bijlage worden doorgegeven.

Artikel 2

Deze beschikking betreft het passende karakter van de bescherming die door het CBP wordt geboden om aan de vereisten van artikel 25, lid 1, van richtlijn 95/46/EG te voldoen en laat andere voorwaarden of beperkingen tot uitvoering van andere bepalingen van die richtlijn die op de verwerking van persoonsgegevens in de lidstaten betrekking hebben, onverlet.

Artikel 3

1.      Onverminderd hun bevoegdheden om stappen te ondernemen ter naleving van nationale bepalingen die zijn vastgesteld ingevolge andere bepalingen dan artikel 25 van richtlijn 95/46/EG, kunnen de bevoegde autoriteiten in de lidstaten gebruikmaken van hun bestaande bevoegdheden om de overdracht van gegevens aan het CBP op te schorten, teneinde personen bij de verwerking van hun persoonsgegevens te beschermen in de volgende gevallen:

a)      wanneer een bevoegde VS-autoriteit heeft vastgesteld dat het CBP in strijd met de toepasselijke normen voor gegevensbescherming handelt, of

b)      wanneer het zeer waarschijnlijk is dat niet aan de in de bijlage vastgestelde normen voor gegevensbescherming wordt voldaan, er gegronde redenen zijn om aan te nemen dat het CBP niet tijdig passende maatregelen neemt of zal nemen om het desbetreffende probleem op te lossen, de voortzetting van de doorgifte een dreigend gevaar voor ernstige schade voor de betrokkene inhoudt en de bevoegde autoriteiten in de lidstaat naar de omstandigheden in redelijkheid inspanningen hebben geleverd om het CBP in kennis te stellen en de gelegenheid te geven te reageren.

2.      De opschorting eindigt zodra is gewaarborgd dat de beschermingsnormen worden nageleefd en de bevoegde autoriteiten van de betrokken lidstaten hiervan in kennis zijn gesteld.

Artikel 4

1.      De lidstaten stellen de Commissie onverwijld in kennis wanneer op grond van artikel 3 maatregelen worden genomen.

2.      De lidstaten en de Commissie stellen elkaar in kennis van iedere wijziging in de normen voor gegevensbescherming en van de gevallen waarin de instanties die verantwoordelijk zijn voor de naleving door het CBP van de in de bijlage vastgestelde beschermingsnormen verzuimen deze naleving te garanderen.

3.      Wanneer uit de overeenkomstig artikel 3 en de leden 1 en 2 van dit artikel verzamelde informatie mocht blijken dat niet langer aan de vereiste grondbeginselen voor een passend beschermingsniveau voor natuurlijke personen wordt voldaan, of dat een instantie die verantwoordelijk is voor de naleving door het CBP van de in de bijlage vastgestelde beschermingsnormen haar taak niet naar behoren vervult, wordt het CBP hiervan in kennis gesteld en wordt, indien nodig, de in artikel 31, lid 2, van richtlijn 95/46/EG bedoelde procedure toegepast om deze beschikking in te trekken of op te schorten.”

24      De bij de beschikking gevoegde „Verbintenissen van het Bureau of Customs and Border Protection (CBP) van het Department of Homeland Security” bepalen:

„Ter ondersteuning van het voornemen van de Europese Commissie […] om de haar bij artikel 25, lid 6, van richtlijn 95/46/EG […] verleende bevoegdheden uit te oefenen en een besluit vast te stellen waarbij wordt erkend dat het [CBP] van het Department of Homeland Security een passende bescherming biedt voor de doorgifte door luchtvaartmaatschappijen van PNR-gegevens […] die binnen het toepassingsgebied van de richtlijn kunnen vallen, gaat het CBP de volgende verbintenissen aan [...]”

25      Deze verbintenissen bestaan uit 48 punten, die zijn ingedeeld onder de volgende opschriften: „Wettelijke bevoegdheid om PNR-gegevens te verkrijgen”; „Gebruik van PNR-gegevens door het CBP”; „Vereiste gegevens”; „Behandeling van ‚gevoelige’ gegevens”; „Wijze van toegang tot PNR-gegevens”; „Opslag van PNR-gegevens”; „Beveiliging van het computersysteem van het CBP”; „Behandeling en bescherming van PNR-gegevens door het CBP”; „Doorgifte van PNR-gegevens aan andere overheidsinstanties”; „Kennisgeving aan de betrokkenen, toegang van de betrokkenen tot PNR-gegevens en de hun geboden verhaalsmogelijkheden”; „Nalevingskwesties”; „Wederkerigheid”; „Herziening en beëindiging van de verbintenissen” en „Geen nieuw particulier recht of precedent”.

26      Tot die verbintenissen behoren onder meer:

„1.      Bij wet [titel 49, United States Code, sectie 44909(c)(3)] en de (voorlopige) regelgeving tot uitvoering ervan (titel 19, Code of Federal Regulations, sectie 122.49b), zijn alle luchtvaartmaatschappijen die passagiersvluchten in het buitenlandse luchtvervoer naar of uit de Verenigde Staten verrichten, verplicht het CBP (voorheen: US Customs Service) elektronische toegang tot PNR-gegevens te verschaffen, voorzover deze zijn verzameld en in hun geautomatiseerde boekings‑ en vertrekcontrolesystemen (‚boekingssystemen’) zijn opgeslagen.

[…]

3.      PNR-gegevens worden door het CBP uitsluitend gebruikt ter preventie en bestrijding van: 1. terrorisme en aanverwante vormen van criminaliteit; 2. andere zware misdrijven, waaronder georganiseerde misdaad, die van transnationale aard zijn, en 3. ontvluchten van aanhoudingsbevelen of arrestatie voor de bovengenoemde misdrijven. Door daarvoor PNR-gegevens te gebruiken, kan het CBP zijn middelen concentreren op aangelegenheden met hoog risico, zodat het bonafide reizen gemakkelijker en veiliger wordt.

4.      De door het CBP vereiste gegevenselementen […] worden in aanhangsel A opgesomd. […]

[…]

27.      Wat administratieve of gerechtelijke procedures als gevolg van een krachtens de FOIA [Freedom of Information Act] ingediend verzoek om PNR-informatie van luchtvaartmaatschappijen betreft, zal het CBP ervan uitgaan dat dergelijke bestanden niet onder de openbaarmakingsvoorschriften van de FOIA vallen.

[…]

29.      Het CBP zal, naar eigen goeddunken, andere met terrorismebestrijding of wetshandhaving belaste overheidsinstanties, waaronder ook buitenlandse overheidsinstanties, alleen PNR-gegevens verstrekken, en zulks per geval, om misdrijven zoals bedoeld in punt 3 te voorkomen en te bestrijden. (De autoriteiten waarmee het CBP bereid is dergelijke gegevens uit te wisselen, worden hierna de ‚aangewezen autoriteiten’ genoemd.)

30.      Het CBP zal behoedzaam te werk gaan voordat het besluit PNR-gegevens voor de genoemde doeleinden door te geven. Het zal eerst nagaan of de aangevoerde reden om de PNR-gegevens naar een andere aangewezen instantie door te geven, strookt met de aangegeven doelstelling (zie punt 29). In voorkomend geval zal het CBP nagaan of die aangewezen autoriteit verantwoordelijk is voor preventie, onderzoek of vervolging van schendingen, dan wel voor handhaving of uitvoering van wet- of regelgeving met betrekking tot die doelstelling, voorzover het CBP vermoedt dat er sprake is van schending of potentiële schending van de wet. De voor- en nadelen van de openbaarmaking zullen met inachtneming van alle gegeven omstandigheden tegen elkaar moeten worden afgewogen.

[…]

35.      Geen enkele bepaling in deze verbintenissen belet het gebruik of de openbaarmaking van PNR-gegevens bij strafrechtelijke procedures of in andere wettelijk voorgeschreven gevallen. Het CBP zal de Europese Commissie informeren over de goedkeuring van VS-wetgeving waardoor de verklaringen in deze verbintenissen substantieel worden beïnvloed.

[…]

46.      Deze verbintenissen gelden voor een periode van drie jaar en zes maanden (3,5 jaar), gerekend vanaf de datum waarop tussen de Verenigde Staten en de Europese Gemeenschap een overeenkomst in werking treedt waarbij de verwerking van PNR-gegevens door luchtvaartmaatschappijen met het oog op de doorgifte ervan naar het CBP overeenkomstig de desbetreffende richtlijn wordt toegestaan. […]

47.      Deze verbintenissen leiden niet tot het ontstaan of de overdracht van rechten of voordelen ten gunste van privaat- of publiekrechtelijke personen.

[…]”

27      Aanhangsel A bij de verbintenissen bevat de PNR-gegevenselementen die het CBP van luchtvaartmaatschappijen verlangt. Daartoe behoren met name de „PNR-bestandslocatiecode”, de boekingsdatum, de naam, het adres, alle informatie over de betalingswijzen, telefoonnummers van contactpersonen, de reisagent, de „reisstatus” van de passagier („travel status of passenger”), het e-mailadres, algemene opmerkingen, het zitplaatsnummer, „no-show”-antecedenten en alle verzamelde „APIS-informatie”.

28      De Raad heeft besluit 2004/496 vastgesteld op grond van met name artikel 95 EG, in samenhang met artikel 300, lid 2, eerste alinea, eerste zin, EG.

29      De drie overwegingen van dit besluit luiden:

„(1)      Op 23 februari 2004 heeft de Raad de Commissie gemachtigd namens de Gemeenschap met de Verenigde Staten van Amerika onderhandelingen te voeren over een overeenkomst inzake de verwerking en overdracht van PNR-gegevens door luchtvaartmaatschappijen aan het Bureau of Customs and Border Protection van het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika.

(2)      Het Europees Parlement heeft geen advies uitgebracht binnen de termijn die de Raad op grond van artikel 300, lid 3, eerste alinea, van het Verdrag had vastgesteld in het licht van de dringende noodzaak een eind te maken aan de onzekerheid waarin luchtvaartmaatschappijen en passagiers verkeerden, en teneinde de financiële belangen van de betrokkenen te beschermen.

(3)      De overeenkomst dient te worden goedgekeurd.”

30      Artikel 1 van besluit 2004/496 luidt:

„De overeenkomst tussen de Europese Gemeenschap en de Verenigde Staten van Amerika inzake de verwerking en overdracht van PNR-gegevens door luchtvaartmaatschappijen aan het Bureau of Customs and Border Protection van het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika wordt namens de Gemeenschap goedgekeurd.

De tekst van de overeenkomst is aan dit besluit gehecht.”

31      Deze overeenkomst (hierna: „overeenkomst”) luidt:

„De Europese Gemeenschap en de Verenigde Staten van Amerika,

Erkennende het belang van eerbiediging van de fundamentele rechten en vrijheden, met name het recht op privacy, en het belang van eerbiediging van deze waarden bij de voorkoming en bestrijding van terrorisme en daarmee samenhangende misdrijven en andere ernstige misdrijven van grensoverschrijdende aard, met inbegrip van de georganiseerde criminaliteit;

Gelet op de wet- en regelgeving van de Verenigde Staten die bepaalt dat elke luchtvaartmaatschappij die internationale passagiersvluchten van of naar de Verenigde Staten uitvoert, het [CBP] van het ministerie van Binnenlandse Veiligheid (Department of Homeland Security, hierna ‚DHS’ genoemd) elektronisch toegang dient te geven tot de in het geautomatiseerd boekings- en vertrekcontrolesysteem van de luchtvaartmaatschappij verzamelde en opgeslagen persoonsgegevens van passagiers (Passenger Name Record, hierna ‚PNR-gegevens’ genoemd);

Gelet op richtlijn 95/46/EG […], en met name op artikel 7, onder c;

Gelet op de verbintenissen van het CBP, aangegaan op 11 mei 2004, die zullen worden bekendgemaakt in het Federal Register (hierna ‚verbintenissen’genoemd),

Gelet op beschikking 2004/535/EG van de Commissie van 14 mei 2004, vastgesteld uit hoofde van artikel 25, lid 6, van richtlijn 95/46/EG, waarbij het CBP geacht wordt, overeenkomstig de aan [de beschikking] gehechte verbintenissen […], een passend beschermingsniveau te bieden voor vanuit de Europese Gemeenschap (hierna ‚Gemeenschap’ genoemd) overgedragen PNR-gegevens betreffende vluchten van of naar de Verenigde Staten;

Opmerkende dat luchtvaartmaatschappijen met boekings- en vertrekcontrolesystemen die zich op het grondgebied van de lidstaten van de Gemeenschap bevinden, voor overdracht van PNR-gegevens aan het CBP moeten zorgen zodra dat technisch haalbaar is, maar dat de autoriteiten van de Verenigde Staten tot dan rechtstreeks toegang tot die gegevens dienen te krijgen, overeenkomstig het bepaalde in deze overeenkomst;

[…]

Zijn als volgt overeengekomen:

1.       Het CBP krijgt elektronisch toegang tot de PNR-gegevens in de boekings- en vertrekcontrolesystemen van de luchtvaartmaatschappijen (hierna ‚boekingssystemen’ genoemd) die zich op het grondgebied van de lidstaten van de Europese Gemeenschap bevinden, zulks strikt overeenkomstig [de beschikking] en zolang [de beschikking] van kracht is, echter slechts totdat er een afdoende systeem tot stand is gebracht dat de doorgifte van dergelijke gegevens door de luchtvaartmaatschappijen mogelijk maakt.

[De Engelse versie luidt: ‚CBP may electronically access the PNR data from air carriers reservation/departure control systems („reservation systems”) located within the territory of the Member State of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers.’]

2.       Luchtvaartmaatschappijen die internationale passagiersvluchten van of naar de Verenigde Staten uitvoeren, verwerken de in hun geautomatiseerde boekingssystemen opgeslagen PNR-gegevens volgens de vereisten van het CBP krachtens de wetgeving van de Verenigde Staten, zulks strikt overeenkomstig [de beschikking] en zolang [de beschikking] van kracht is.

3.       Het CBP neemt kennis van [de beschikking] en verklaart dat het de daaraan gehechte verbintenissen uitvoert.

4.       Het CBP verwerkt de ontvangen PNR-gegevens en behandelt de personen wier gegevens worden verwerkt overeenkomstig de toepasselijke wetgeving en grondwettelijke vereisten van de Verenigde Staten, zonder onwettige discriminatie, en met name zonder aanzien van nationaliteit of land van verblijf.

[…]

7.      Deze overeenkomst treedt in werking bij de ondertekening ervan. Elke partij mag deze overeenkomst te allen tijde opzeggen door daarvan langs diplomatieke weg kennisgeving te doen. De opzegging wordt van kracht negentig (90) dagen na de datum van de kennisgeving van opzegging aan de andere partij. Deze overeenkomst kan te allen tijde met schriftelijke wederzijdse instemming worden gewijzigd.

8.       Deze overeenkomst heeft niet ten doel van de wetgeving van de partijen af te wijken of deze wetgeving te wijzigen; zij schept of verleent geen rechten of voordelen voor enige andere particuliere of openbare persoon of entiteit.”

32      Volgens de informatie van de Raad betreffende de datum van inwerkingtreding (PB 2004, C 158, blz. 1) is de overeenkomst, die op 28 mei 2004 te Washington is ondertekend door een vertegenwoordiger van het toenmalige voorzitterschap van de Raad en de minister van Binnenlandse Veiligheid van de Verenigde Staten van Amerika, overeenkomstig punt 7 van de overeenkomst in werking getreden op de dag van ondertekening.

 Voorgeschiedenis van de geschillen

33      Na de terroristische aanslagen van 11 september 2001 hebben de Verenigde Staten in november van dat jaar een wettelijke regeling vastgesteld volgens welke luchtvaartmaatschappijen die verbindingen naar of vanuit de Verenigde Staten verzorgen of die over hun grondgebied vliegen, de douane van de Verenigde Staten elektronische toegang moeten verlenen tot de gegevens in hun geautomatiseerde boekings- en vertrekcontrolesystemen, genaamd „Passenger Name Records” (hierna: „PNR-gegevens”). Hoewel de Commissie de betrokken veiligheidsbelangen als legitiem erkende, deelde zij de autoriteiten van de Verenigde Staten in juni 2002 mee, dat die bepalingen in strijd konden zijn met de wetgeving van de Gemeenschap en van de lidstaten inzake gegevensbescherming en met sommige bepalingen van verordening (EEG) nr. 2299/89 van de Raad van 24 juli 1989 betreffende gedragsregels voor geautomatiseerde boekingssystemen (PB L 220, blz. 1), zoals gewijzigd bij verordening (EG) nr. 323/1999 van de Raad van 8 februari 1999 (PB L 40, blz. 1). De autoriteiten van de Verenigde Staten stelden daarop de inwerkingtreding van de nieuwe bepalingen uit, maar uiteindelijk weigerden zij af te zien van het opleggen van sancties aan luchtvaartmaatschappijen die zich na 5 maart 2003 niet hielden aan de wettelijke regeling betreffende de elektronische toegang tot de PNR-gegevens. Sindsdien hebben verschillende grote luchtvaartmaatschappijen uit de Europese Unie die autoriteiten toegang tot hun PNR-gegevens verleend.

34      De Commissie heeft met de autoriteiten van de Verenigde Staten onderhandelingen gevoerd die hebben geleid tot een document met verbintenissen („undertakings”) van het CBP, opdat de Commissie een gelijkwaardigheidsbeschikking op grond van artikel 25, lid 6, van de richtlijn kon vaststellen.

35      Op 13 juni 2003 bracht de groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, die is ingesteld bij artikel 29 van de richtlijn, een advies uit waarin zij met betrekking tot de voorgenomen verwerking haar twijfel uitte over het door die verbintenissen gewaarborgde niveau van gegevensbescherming. In een advies van 29 januari 2004 heeft zij die twijfel nog eens geuit.

36      Op 1 maart 2004 deelde de Commissie het Parlement het ontwerp van gelijkwaardigheidsbeschikking overeenkomstig artikel 25, lid 6, van de richtlijn mee, alsmede de ontwerpverbintenissen van het CBP.

37      Op 17 maart 2004 zond de Commissie het Parlement met het oog op de raadpleging krachtens artikel 300, lid 3, eerste alinea, EG een voorstel voor een besluit van de Raad betreffende de sluiting van een overeenkomst met de Verenigde Staten. Bij brief van 25 maart 2004 verzocht de Raad het Parlement onder verwijzing naar de spoedprocedure om uiterlijk op 22 april 2004 advies uit te brengen over dat voorstel. In die brief beklemtoonde de Raad dat „de strijd tegen het terrorisme, die de voorgestelde maatregelen rechtvaardigt, een wezenlijke prioriteit van de Europese Unie vormt, [dat] de luchtvaartmaatschappijen en de passagiers momenteel in onzekerheid verkeren, waaraan spoedig een einde moet worden gemaakt, [en dat] het bovendien noodzakelijk is de financiële belangen van de betrokkenen te beschermen”.

38      Op 31 maart 2004 keurde het Parlement overeenkomstig artikel 8 van besluit 1999/468/EG van de Raad van 28 juni 1999 tot vaststelling van de voorwaarden voor de uitoefening van de aan de Commissie verleende uitvoeringsbevoegdheden (PB L 184, blz. 23) een resolutie goed waarin het met betrekking tot het aan hem voorgelegde voorstel een aantal juridische reserves formuleerde. In die resolutie overwoog het met name dat het ontwerp van de gelijkwaardigheidsbeschikking de grenzen van de bij artikel 25 van de richtlijn aan de Commissie verleende bevoegdheden te buiten ging. Het verzocht om sluiting van een passende internationale overeenkomst die de fundamentele rechten op een aantal in de resolutie genoemde punten zou eerbiedigen, en verzocht de Commissie om hem een nieuwe ontwerpbeschikking voor te leggen. Verder behield het Parlement zich het recht voor om zich tot het Hof te wenden teneinde de wettigheid van de beoogde internationale overeenkomst te toetsen, inzonderheid op haar verenigbaarheid met de bescherming van de persoonlijke levenssfeer.

39      Op 21 april 2004 aanvaardde het Parlement op verzoek van zijn voorzitter een aanbeveling van de commissie Juridische Zaken en Interne Markt om overeenkomstig artikel 300, lid 6, EG te verzoeken om een advies van het Hof over de verenigbaarheid van het beoogde akkoord met de bepalingen van het Verdrag. Die procedure is dezelfde dag nog ingeleid.

40      Dezelfde dag besloot het Parlement ook om het verslag over het voorstel voor een besluit van de Raad terug te verwijzen naar de bevoegde commissie, waarmee het in dit stadium het verzoek van de Raad van 25 maart om een spoedbehandeling van dit voorstel impliciet afwees.

41      Op 28 april daaraanvolgend zond de Raad op grond van artikel 300, lid 3, eerste alinea, EG een brief aan het Parlement waarin hij verzocht om vóór 5 mei 2004 advies uit te brengen over het voorstel voor een besluit betreffende de sluiting van de overeenkomst. Ter rechtvaardiging van de spoedeisendheid van dit verzoek herhaalde hij de in zijn brief van 25 maart 2004 genoemde redenen.

42      Daar nog steeds niet alle taalversies van het voorstel voor een besluit van de Raad beschikbaar waren, verwierp het Parlement op 4 mei 2004 het verzoek van de Raad van 28 april om dit voorstel met spoed te behandelen.

43      Op 14 mei daaraanvolgend stelde de Commissie de beschikking vast, waartegen wordt opgekomen in zaak C-318/04. Op 17 mei 2004 stelde de Raad besluit 2004/496 vast, waartegen wordt opgekomen in zaak C-317/04.

44      Bij brief van 4 juni 2004 deelde het toenmalige voorzitterschap van de Raad het Parlement mee dat besluit 2004/496 rekening hield met de strijd tegen het terrorisme – een prioriteit van de Unie –, maar ook met de noodzaak om het hoofd te bieden aan de rechtsonzekerheid waarin de luchtvaartmaatschappijen verkeerden, en met hun financiële belangen.

45      Bij brief van 9 juli 2004 deelde het Parlement het Hof mee dat het zijn, onder nummer 1/04 ingeschreven, verzoek om een advies introk.

46      In zaak C-317/04 zijn de Commissie en het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland bij beschikkingen van de president van het Hof van 18 november 2004 en 18 januari 2005 toegelaten tot interventie ter ondersteuning van de conclusies van de Raad.

47      In zaak C-318/04 is het Verenigd Koninkrijk bij beschikking van de president van het Hof van 17 december 2004 toegelaten tot interventie ter ondersteuning van de conclusies van de Commissie.

48      Bij beschikkingen van het Hof van 17 maart 2005 is de Europese toezichthouder voor gegevensbescherming toegelaten tot interventie ter ondersteuning van de conclusies van het Parlement in deze beide zaken.

49      Gelet op de verknochtheid van de zaken, die tijdens de mondelinge behandeling nogmaals is gebleken, moeten zij overeenkomstig artikel 43 van het Reglement voor de procesvoering worden gevoegd voor het arrest.

 Het beroep in zaak C-318/04

50      Het Parlement voert vier middelen tot nietigverklaring aan: bevoegdheidsoverschrijding, schending van de essentiële beginselen van de richtlijn, schending van de grondrechten en schending van het evenredigheidsbeginsel.

 Het eerste onderdeel van het eerste middel: schending van artikel 3, lid 2, eerste streepje, van de richtlijn

 Argumenten van partijen

51      Het Parlement stelt dat de beschikking van de Commissie ultra vires is gegeven, daar de bepalingen van de richtlijn niet zijn geëerbiedigd, en met name in strijd is met artikel 3, lid 2, eerste streepje, daarvan, dat niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten van de toepassing van deze richtlijn uitsluit.

52      Het staat buiten kijf dat de PNR-gegevens na de doorgifte aan de in de beschikking bedoelde Amerikaanse autoriteit worden en zullen worden verwerkt voor de uitoefening van specifieke activiteiten van de staten in de zin van punt 43 van het arrest van 6 november 2003, Lindqvist (C-101/01, Jurispr. blz. I‑12971).

53      De Commissie, ondersteund door het Verenigd Koninkrijk, meent dat de activiteiten van luchtvaartmaatschappijen duidelijk binnen de werkingssfeer van het gemeenschapsrecht vallen. Die particuliere marktdeelnemers verwerken de PNR-gegevens binnen de Gemeenschap en geven ze door naar een derde land. Het betreft dus activiteiten van particulieren en geen activiteiten van de lidstaat waarin die maatschappijen bedrijvig zijn of van diens overheidsdiensten, zoals het Hof die in punt 43 van het arrest Lindqvist heeft gedefinieerd. Met de verwerking van PNR-gegevens beogen de luchtvaartmaatschappijen niets anders dan de vereisten van het gemeenschapsrecht, waaronder de in punt 2 van de overeenkomst genoemde verplichting, te eerbiedigen. Artikel 3, lid 2, van de richtlijn handelt over de activiteiten van overheidsdiensten die niet binnen de werkingssfeer van het gemeenschapsrecht vallen.

 Beoordeling door het Hof

54      Volgens artikel 3, lid 2, eerste streepje, van de richtlijn is deze niet van toepassing op de verwerking van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat en de activiteiten van de staat op strafrechtelijk gebied.

55      De beschikking geldt enkel voor PNR-gegevens die aan het CBP worden doorgegeven. Blijkens overweging 6 van deze beschikking zijn de vereisten inzake deze doorgifte gebaseerd op een wet die door de Verenigde Staten in november 2001 is goedgekeurd, en op uitvoeringsvoorschriften die door het CBP krachtens die wet zijn vastgesteld. Volgens overweging 7 van de beschikking heeft de desbetreffende wetgeving van de Verenigde Staten betrekking op een grotere veiligheid en op de voorwaarden waaronder personen het land mogen binnenkomen en verlaten. Volgens overweging 8 steunt de Gemeenschap de Verenigde Staten ten volle in de strijd tegen het terrorisme binnen de grenzen van het gemeenschapsrecht. Naar luid van overweging 15 van de beschikking zullen de PNR-gegevens uitsluitend worden gebruikt ter voorkoming en bestrijding van terrorisme en aanverwante misdrijven, andere zware misdrijven, waaronder georganiseerde misdaad, die van grensoverschrijdende aard zijn, alsook het ontvluchten van een aanhoudingsbevel of arrestatie wegens die misdrijven.

56      De doorgifte van de PNR-gegevens aan het CBP is derhalve een verwerking die betrekking heeft op de openbare veiligheid en de activiteiten van de staat op strafrechtelijk gebied.

57      Hoewel de PNR-gegevens aanvankelijk door luchtvaartmaatschappijen worden verzameld in het kader van een onder het gemeenschapsrecht vallende activiteit, namelijk de verkoop van een vliegticket dat recht geeft op een dienstverlening, is de in de beschikking bedoelde gegevensverwerking van geheel andere aard. Zoals in punt 55 van dit arrest reeds in herinnering is gebracht, ziet deze beschikking namelijk niet op een verwerking die noodzakelijk is voor een dienstverrichting, maar op een verwerking die noodzakelijk wordt geacht voor het waarborgen van de openbare veiligheid en voor de wetshandhaving.

58      In punt 43 van het arrest Lindqvist, dat de Commissie in haar verweerschrift heeft aangevoerd, overwoog het Hof dat de in artikel 3, lid 2, eerste streepje, van de richtlijn als voorbeeld genoemde activiteiten telkens specifieke activiteiten van de staten of de overheidsdiensten zijn en niets van doen hebben met de gebieden waarop particulieren activiteiten ontplooien. Daaruit volgt evenwel niet dat op grond van het feit dat de PNR-gegevens door particuliere marktdeelnemers voor commerciële doeleinden zijn verzameld en het deze laatste zijn die ze doorgeven naar een derde land, de doorgifte in kwestie niet binnen de werkingssfeer van deze bepaling valt. Deze doorgifte geschiedt immers binnen een door de overheid ingesteld kader dat betrekking heeft op de openbare veiligheid.

59      Uit een en ander volgt dat de beschikking betrekking heeft op een verwerking van persoonsgegevens in de zin van artikel 3, lid 2, eerste streepje, van de richtlijn. Deze beschikking valt dus niet binnen de werkingssfeer van de richtlijn.

60      Het eerste onderdeel van het eerste middel, ontleend aan schending van artikel 3, lid 2, eerste streepje, van de richtlijn, is dan ook gegrond.

61      Bijgevolg moet de beschikking nietig worden verklaard, zonder dat de andere onderdelen van het eerste middel of de andere middelen van het Parlement behoeven te worden onderzocht.

 Het beroep in zaak C-317/04

62      Het Parlement voert zes middelen tot nietigverklaring aan: onjuiste keuze van artikel 95 EG als rechtsgrondslag van besluit 2004/496, en schending van artikel 300, lid 3, tweede alinea, EG, artikel 8 EVRM, het evenredigheidsbeginsel, de motiveringsplicht en het beginsel van loyale samenwerking.

 Het eerste middel: onjuiste keuze van artikel 95 EG als rechtsgrondslag voor besluit 2004/496

 Argumenten van partijen

63      Het Parlement stelt dat artikel 95 EG niet de juiste rechtsgrondslag is voor besluit 2004/496. Het doel en de inhoud van dit besluit is niet de instelling en de werking van de interne markt door bij te dragen tot de opheffing van belemmeringen voor het vrij verrichten van diensten, en het bevat geen bepalingen om dat doel te bereiken. Het dient namelijk de door de wettelijke regeling van de Verenigde Staten voorgeschreven verwerking van persoonsgegevens wettig te maken. Bovendien kan artikel 95 EG niet de grondslag vormen voor de bevoegdheid van de Gemeenschap om de overeenkomst te sluiten, daar deze overeenkomst ziet op verwerkingen van gegevens die buiten de werkingssfeer van de richtlijn vallen.

64      De Raad stelt dat de richtlijn, die rechtsgeldig is vastgesteld op basis van artikel 100 A van het Verdrag, in artikel 25 bepalingen bevat die in de mogelijkheid voorzien dat persoonsgegevens worden doorgegeven naar een derde land dat een passend beschermingsniveau biedt, met inbegrip van de mogelijkheid om zo nodig onderhandelingen te voeren voor de sluiting van een overeenkomst met dat land door de Gemeenschap. De overeenkomst betreft het vrije verkeer van PNR-gegevens tussen de Gemeenschap en de Verenigde Staten in omstandigheden die de vrijheden en fundamentele rechten van personen, met name de persoonlijke levenssfeer, garanderen. Zij beoogt elke verstoring van de mededinging, om redenen in verband met de bescherming van de rechten en vrijheden van personen, tussen luchtvaartmaatschappijen uit de lidstaten en tussen deze laatste en maatschappijen uit derde landen, die het gevolg kan zijn van de door de Verenigde Staten gestelde eisen, op te heffen. De mededingingsvoorwaarden voor de maatschappijen uit lidstaten die internationaal passagiersvervoer naar of vanuit de Verenigde Staten verzorgen, hadden kunnen worden vervalst indien slechts enkele maatschappijen de autoriteiten van de Verenigde Staten toegang hadden verleend tot hun gegevensbestanden. De overeenkomst legt alle betrokken maatschappijen geharmoniseerde verplichtingen op.

65      De Commissie beklemtoont dat er sprake is van een „wetsconflict”, in de zin van het volkenrecht, tussen de wetten van de Verenigde Staten en de communautaire regeling, en dat deze met elkaar moeten worden verzoend. Zij verwijt het Parlement, dat betwist dat artikel 95 EG de rechtsgrondslag voor besluit 2004/496 kan vormen, dat het niet zelf de juiste rechtsgrondslag heeft voorgesteld. Volgens de Commissie vormt dit artikel „de natuurlijke rechtsgrondslag” van het besluit, aangezien de overeenkomst de externe dimensie van de bescherming van persoonsgegevens bij hun doorgifte binnen de Gemeenschap betreft. De artikelen 25 en 26 van de richtlijn zijn de grondslag voor een exclusieve externe bevoegdheid van de Gemeenschap.

66      Verder stelt de Commissie dat deze gegevens door de luchtvaartmaatschappijen in eerste instantie voor een commercieel doel worden verwerkt. Het gebruik dat de autoriteiten van de Verenigde Staten van die gegevens maken, doet deze niet buiten de werkingssfeer van de richtlijn vallen.

 Beoordeling door het Hof

67      Artikel 95 EG, gelezen in samenhang met artikel 25 van de richtlijn, kan geen grondslag vormen voor de bevoegdheid van de Gemeenschap om de overeenkomst te sluiten.

68      De overeenkomst betreft namelijk dezelfde doorgifte van gegevens als de beschikking en dus een verwerking van gegevens die, zoals hiervoor reeds is overwogen, buiten de werkingssfeer van de richtlijn valt.

69      Besluit 2004/496 kon dus niet rechtsgeldig worden vastgesteld op grond van artikel 95 EG.

70      Dit besluit moet bijgevolg nietig worden verklaard, zonder dat de andere middelen van het Parlement behoeven te worden onderzocht.

 De beperking van de gevolgen van het arrest

71      Volgens punt 7 van de overeenkomst mag elke partij deze overeenkomst te allen tijde opzeggen en wordt de opzegging van kracht 90 dagen na de datum van de kennisgeving van opzegging aan de andere partij.

72      Volgens de punten 1 en 2 van de overeenkomst bestaat het recht van het CBP op toegang tot de PNR-gegevens en de aan de luchtvaartmaatschappijen opgelegde verplichting om die gegevens volgens de vereisten van het CBP te verwerken echter slechts zolang de beschikking van kracht is. In punt 3 van de overeenkomst heeft het CBP verklaard dat het de aan die beschikking gehechte verbintenissen uitvoert.

73      Gelet op het feit dat de Gemeenschap niet haar eigen recht kan aanvoeren om te rechtvaardigen dat zij de overeenkomst, die gedurende een termijn van 90 dagen na de opzegging van kracht blijft, niet uitvoert, en gelet op het nauwe verband tussen de overeenkomst en de beschikking, lijkt het om redenen van rechtszekerheid en ter bescherming van de betrokkenen gerechtvaardigd om de gevolgen van de beschikking gedurende die periode te handhaven. Verder moet ook rekening worden gehouden met de tijd die nodig is voor het vaststellen van de maatregelen die nodig zijn ter uivoering van dit arrest.

74      De gevolgen van de beschikking moeten dan ook worden gehandhaafd tot 30 september 2006, zij het dat die gevolgen niet worden gehandhaafd na de datum waarop de overeenkomst eindigt.

 Kosten

75      Volgens artikel 69, lid 2, van het Reglement voor de procesvoering wordt de in het ongelijk gestelde partij in de kosten verwezen, voorzover dit is gevorderd. Aangezien de Raad en de Commissie in het ongelijk zijn gesteld, moeten zij overeenkomstig de vordering van het Parlement in de kosten worden verwezen. Overeenkomstig lid 4, eerste alinea, van dit artikel zullen de interveniënten hun eigen kosten dragen.

Het Hof van Justitie (Grote kamer) verklaart:

1)      Besluit 2004/496/EG van de Raad van 17 mei 2004 betreffende de sluiting van een overeenkomst tussen de Europese Gemeenschap en de Verenigde Staten van Amerika inzake de verwerking en overdracht van PNR-gegevens door luchtvaartmaatschappijen aan het Bureau of Customs and Border Protection van het ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika, en beschikking 2004/535/EG van de Commissie van 14 mei 2004 betreffende de passende bescherming van persoonsgegevens in het Passenger Name Record van vliegtuigpassagiers die aan het Bureau of Customs and Border Protection van de Verenigde Staten worden doorgegeven, worden nietig verklaard.

2)      De gevolgen van beschikking 2004/535 worden gehandhaafd tot 30 september 2006, zij het dat die gevolgen niet worden gehandhaafd na de datum waarop de overeenkomst eindigt.

3)      De Raad van de Europese Unie wordt verwezen in de kosten in zaak C‑317/04.

4)      De Commissie van de Europese Gemeenschappen wordt verwezen in de kosten in zaak C-318/04.

5)      De Commissie van de Europese Gemeenschappen draagt haar eigen kosten in zaak C-317/04.

6)      Het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland en de Europese toezichthouder voor gegevensbescherming dragen hun eigen kosten.

ondertekeningen

* Procestaal: Frans.