Sag C-311/18
Data Protection Commissioner
mod
Facebook Ireland Ltd
og
Maximillian Schrems
(anmodning om præjudiciel afgørelse indgivet af High Court (Irland))
Domstolens dom (Store Afdeling) af 16. juli 2020
»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 47 – forordning (EU) 2016/679 – artikel 2, stk. 2 – anvendelsesområde – overførsel af personoplysninger til tredjelande til forretningsmæssige formål – artikel 45 – Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet – artikel 46 – overførsler omfattet af fornødne garantier – artikel 58 – tilsynsmyndighedernes beføjelser – behandling af de overførte oplysninger, som de offentlige myndigheder i et tredjeland foretager af hensyn til den nationale sikkerhed – vurdering af tilstrækkeligheden af det beskyttelsesniveau, der er sikret i tredjelandet – afgørelse 2010/87/EU – standardbestemmelser om beskyttelse ved overførsel af personoplysninger til tredjelande – fornødne garantier, der gives af den dataansvarlige – gyldighed – gennemførelsesafgørelse (EU) 2016/1250 – tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af Den Europæiske Unions og USA’s værn om privatlivets fred – gyldighed – klage fra en fysisk person, hvis oplysninger er blevet overført fra Den Europæiske Union til USA«
1. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – anvendelsesområde – begrebet behandling af personoplysninger – overførsler af personoplysninger, som foretages til forretningsmæssige formål af en erhvervsdrivende, der er etableret i en medlemsstat, til en anden erhvervsdrivende, der er etableret i et tredjeland – omfattet – oplysninger, der kan blive behandlet af det pågældende tredjelands myndigheder af hensyn til den nationale sikkerhed – ingen betydning
[Europa-Parlamentets og Rådets direktiv 2016/679, art. 2, stk. 1, og art. 2, stk. 2, litra a), b) og d), samt art. 4, nr. 2)]
(jf. præmis 82, 83 og 85-89 samt domskonkl. 1)
2. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – overførsler af personoplysninger til tredjelande – overførsler omfattet af fornødne garantier baseret på standardkontraktbestemmelser om databeskyttelse – begrebet tilstrækkeligt beskyttelsesniveau, som skal sikres af det pågældende tredjeland i forbindelse med sådanne overførsler – fortolkning i lyset af EU-retten – bedømmelseskriterier
[Den Europæiske Unions charter om grundlæggende rettigheder, art. 52, stk. 3; Europa-Parlamentets og Rådets forordning 2016/679, art. 46, stk. 1, og art. 46, stk. 2, litra c)]
(jf. præmis 92-96, 98-101 og 103-105 samt domskonkl. 2)
3. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – overførsel af personoplysninger til tredjelande – overførsler omfattet af fornødne garantier baseret på standardkontraktbestemmelser om databeskyttelse – nationale tilsynsmyndigheder – beføjelser – tilsyn med overførsler af personoplysninger til tredjelande – forpligtelse til at suspendere eller forbyde sådanne overførsler, hvis et tilstrækkeligt beskyttelsesniveau ikke er overholdt i det pågældende tredjeland – betingelser
[Den Europæiske Unions charter om grundlæggende rettigheder, art. 8, stk. 3, Europa-Parlamentets og Rådets forordning 2016/679, art. 45 og 46, art. 51, stk. 1, art. 57, stk. 1, litra a) og f), art. 58, stk. 1, og art. 58, stk. 2, litra f) og j)]
(jf. præmis 107, 108 og 112-121 samt domskonkl. 3)
4. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – overførsler af personoplysninger til tredjelande – overførsler omfattet af fornødne garantier baseret på standardkontraktbestemmelser om databeskyttelse – afgørelse 2010/87 om indførelse af standardkontraktbestemmelser for videregivelse af personoplysninger til tredjelande – fornødne garantier, der gives af de dataansvarlige for en sådan behandling, der er etableret i Unionen, og af tilsynsmyndighederne – forpligtelse for disse myndigheder til at suspendere eller forbyde sådanne overførsler i tilfælde af tilsidesættelse af disse bestemmelser – ret til respekt for privatlivet, til beskyttelse af personoplysninger og til en effektiv domstolsbeskyttelse – ingen tilsidesættelse – afgørelsens gyldighed
[Den Europæiske Unions charter om grundlæggende rettigheder, art. 7, 8 og 47; Europa-Parlamentets og Rådets forordning 2016/679, art. 46, stk. 1, og art. 46, stk. 2, litra c); Kommissionens afgørelse 2010/87, bilaget]
(jf. præmis 128-130, 133-145, 148 og 149 samt domskonkl. 4)
5. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – overførsel af personoplysninger til tredjelande – Kommissionens vedtagelse af en afgørelse, hvori det fastslås, at beskyttelsesniveauet i et tredjeland er tilstrækkeligt – afgørelse 2016/1250, hvori det fastslås, at der foreligger et tilstrækkeligt beskyttelsesniveau ved den beskyttelse, der opnås ved hjælp af Den Europæiske Unions og USA’s værn om privatlivets fred – national tilsynsmyndighed, hvortil der er indgivet en anmodning, hvori der rejses tvivl om, hvorvidt beskyttelsesniveauet i dette tredjeland er tilstrækkeligt – forpligtelse for denne myndighed til at behandle anmodningen – undersøgelse af gyldigheden af afgørelse 2016/1250
(Art. 288, stk. 4, TEUF; Europa-Parlamentets og Rådets forordning 2016/679, art. 45, stk. 3, og art. 77, stk. 1; Kommissionens afgørelse 2016/1250, bilag II)
(jf. præmis 151-161)
6. Grundlæggende rettigheder – Den Europæiske Unions charter om grundlæggende rettigheder – respekt for privatlivet – beskyttelse af personoplysninger – opbevaring af og adgang til personoplysninger med henblik på de offentlige myndigheders brug heraf – indgreb i disse grundlæggende rettigheder – begrænsninger i udøvelsen af disse rettigheder – overholdelse af proportionalitetsprincippet
(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7 og 8, art. 52, stk. 1, andet punktum; Europa-Parlamentets og Rådets forordning 2016/679)
(jf. præmis 170-176)
7. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – overførsel af personoplysninger til tredjelande – Kommissionens vedtagelse af en afgørelse, hvori det fastslås, at beskyttelsesniveauet i et tredjeland er tilstrækkeligt – afgørelse 2016/1250, hvori det fastslås, at der foreligger et tilstrækkeligt beskyttelsesniveau ved den beskyttelse, der opnås ved hjælp af Den Europæiske Unions og USA’s værn om privatlivets fred – ikke et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er sikret i EU-retten – tilsidesættelse af retten til respekt for privatlivet, til beskyttelse af personoplysninger og til en effektiv domstolsbeskyttelse for personer, hvis personoplysninger er genstand for disse overførsler – indførelse af en ombudsmandsmekanisme i forbindelse med værnet om privatlivets fred – ingen betydning for tilsidesættelsen af retten til en effektiv domstolsbeskyttelse – afgørelsens ugyldighed
[Den Europæiske Unions charter om grundlæggende rettigheder, art. 7, 8 og 47 samt art. 52, stk. 1, andet punktum; Europa-Parlamentets og Rådets forordning 2016/679, art. 45, stk. 2, litra a), og art. 3; Kommissionens afgørelse 2016/1250, bilag II]
(jf. præmis 180-185, 187-192 og 195-201 samt domskonkl. 5)
8. Præjudicielle spørgsmål – bedømmelse af gyldighed – EU-retsakt, der erklæres ugyldig – afgørelse 2016/1250, hvori det fastslås, at der foreligger et tilstrækkeligt beskyttelsesniveau ved den beskyttelse, der opnås ved hjælp af Den Europæiske Unions og USA’s værn om privatlivets fred – virkninger – tidsmæssig begrænsning – ingen
(Art. 267 TEUF; Europa-Parlamentets og Rådets forordning 2016/679, art. 49; Kommissionens afgørelse 2016/1250)
(jf. præmis 202)
Resumé
Domstolen fastslog, at afgørelse 2016/1250 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU’s og USA’s værn om privatlivets fred, er ugyldig
Til gengæld fastslog den, at Kommissionens afgørelse 2010/87 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande er gyldig
Den generelle forordning om databeskyttelse (1) (databeskyttelsesforordningen) bestemmer, at overførsel af personoplysninger til et tredjeland principielt kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau for disse oplysninger. Ifølge denne forordning kan Kommissionen fastslå, at et tredjeland som følge af sin nationale lovgivning eller sine internationale forpligtelser sikrer et tilstrækkeligt beskyttelsesniveau (2). Hvis der ikke er vedtaget en sådan afgørelse om tilstrækkeligheden af beskyttelsesniveauet, må en overførsel af personoplysninger kun foretages, hvis dataeksportøren, som er etableret i Unionen, giver de fornødne garantier, der bl.a. kan følge af standardbestemmelser om databeskyttelse vedtaget af Kommissionen, og hvis de registrerede har rettigheder, som kan håndhæves, og adgang til effektive retsmidler (3). Databeskyttelsesforordningen fastsætter desuden præcist, på hvilke betingelser en sådan overførsel må finde sted i mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller fornødne garantier (4).
Maximillian Schrems, der er østrigsk statsborger med bopæl i Østrig, har været bruger af Facebook siden 2008. Ligesom det er tilfældet for de øvrige brugere med bopæl i EU, overfører Facebook Ireland Maximillian Schrems’ personoplysninger helt eller delvist til servere i USA, der tilhører Facebook Inc., hvor de er genstand for en behandling. Maximillian Schrems indgav en klage til den irske tilsynsmyndighed, som i det væsentlige gik ud på at få forbudt disse overførsler. Han gjorde gældende, at USA’s lovgivning og praksis ikke giver en tilstrækkelig beskyttelse mod de offentlige myndigheders adgang til de oplysninger, der overføres til USA. Denne klage blev afslået bl.a. med den begrundelse, at Kommissionen i beslutning 2000/520 (5) (den såkaldte »safe harbor«-beslutning) havde fastslået, at USA sikrede et tilstrækkeligt beskyttelsesniveau. Ved dom af 6. oktober 2015 kendte Domstolen, som havde fået forelagt et præjudicielt spørgsmål af High Court (ret i første instans, Irland), denne beslutning ugyldig (herefter »Schrems I-dommen«) (6).
Efter Schrems I-dommen og den irske rets efterfølgende annullation af afgørelsen om afslag på Maximillian Schrems’ klage opfordrede den irske tilsynsmyndighed Maximillian Schrems til at omformulere sin klage i lyset af, at Domstolen havde kendt beslutning 2000/520 ugyldig. Maximillian Schrems fastholdt i sin omformulerede klage, at USA ikke sikrer en tilstrækkelig beskyttelse af de oplysninger, som overføres til dette land. Han anmodede om, at de overførsler af hans personoplysninger fra EU til USA, som Facebook Ireland nu foretager på grundlag af standardbestemmelserne om beskyttelse i bilaget til afgørelse 2010/87 (7), fremadrettet suspenderes eller forbydes. Eftersom den irske tilsynsmyndighed var af den opfattelse, at behandlingen af Maximillian Schrems’ klage navnlig afhang af gyldigheden af afgørelse 2010/87, indledte den en procedure ved High Court (ret i første instans) med henblik på, at denne anmodede Domstolen om en præjudiciel afgørelse. Efter indledningen af denne procedure har Kommissionen vedtaget afgørelse 2016/1250 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU’s og USA’s værn om privatlivets fred (8) (den såkaldte afgørelse om »værnet om privatlivets fred«).
Den forelæggende ret ønskede med sin anmodning om en præjudiciel afgørelse oplyst, om databeskyttelsesforordningen finder anvendelse på overførsler af personoplysninger baseret på standardbestemmelser om beskyttelse i afgørelse 2010/87, hvilket beskyttelsesniveau der kræves efter denne forordning i forbindelse med en sådan overførsel, og hvilke forpligtelser tilsynsmyndighederne har i denne sammenhæng. High Court rejste desuden spørgsmålet om gyldigheden af både afgørelse 2010/87 og afgørelse 2016/1250.
Domstolen konstaterede i sin dom, at undersøgelsen af afgørelse 2010/87 i lyset af chartret om grundlæggende rettigheder intet havde frembragt, der kunne påvirke gyldigheden af denne afgørelse. Derimod fastslog Domstolen, at afgørelse 2016/1250 er ugyldig.
Domstolen fastslog først og fremmest, at EU-retten og navnlig databeskyttelsesforordningen finder anvendelse på en overførsel af personoplysninger, der foretages til forretningsmæssige formål af en erhvervsdrivende, der er etableret i en medlemsstat, til en anden erhvervsdrivende, der er etableret i et tredjeland, selv om disse oplysninger under eller efter overførslen kan blive behandlet af det pågældende tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed. Domstolen præciserede, at denne type behandling af oplysninger foretaget af et tredjelands myndigheder ikke kan udelukke en sådan overførsel fra anvendelsesområdet for forordningen.
Med hensyn til det beskyttelsesniveau, som kræves i forbindelse med en sådan overførsel, fastslog Domstolen, at de krav, som i denne henseende er fastsat ved databeskyttelsesforordningens bestemmelser, og som vedrører fornødne garantier, rettigheder, som kan håndhæves, og effektive retsmidler, skal fortolkes således, at personer, hvis oplysninger overføres til et tredjeland på grundlag af standardbestemmelser om databeskyttelse, skal være omfattet af et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der er sikret i Unionen ved denne forordning, sammenholdt med chartret. Domstolen præciserede i denne sammenhæng, at der ved vurderingen af dette beskyttelsesniveau skal tages hensyn til både de kontraktvilkår, som er aftalt mellem dataeksportøren, der er etableret i Unionen, og modtageren af overførslen, der er etableret i det pågældende tredjeland, og – for så vidt angår en eventuel adgang for dette tredjelands offentlige myndigheder til de således overførte personoplysninger – til de relevante forhold i dettes retssystem.
Hvad angår tilsynsmyndighedernes forpligtelser i forbindelse med en sådan overførsel fastslog Domstolen, at medmindre der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som er gyldigt vedtaget af Kommissionen, har disse myndigheder bl.a. pligt til at suspendere eller forbyde en overførsel af personoplysninger til et tredjeland, såfremt de – i lyset af de omstændigheder, der kendetegner denne overførsel – finder, at standardbestemmelserne om databeskyttelse ikke er overholdt eller ikke kan overholdes i dette land, og at det ikke er muligt ved andre midler at sikre den beskyttelse af de overførte oplysninger, som kræves efter EU-retten, hvis dataeksportøren, som er etableret i Unionen, ikke selv har suspenderet overførslen eller bragt den til ophør.
Domstolen undersøgte herefter gyldigheden af afgørelse 2010/87. Ifølge Domstolen rejser den omstændighed alene, at standardbestemmelserne om databeskyttelse i denne afgørelse som følge af deres kontraktlige karakter ikke er bindende for myndighederne i det tredjeland, som oplysningerne kan blive overført til, ikke tvivl om gyldigheden af denne afgørelse. Domstolen præciserede, at gyldigheden af afgørelsen derimod afhænger af, om den omfatter effektive mekanismer, som i praksis gør det muligt at sikre, at det i EU-retten krævede beskyttelsesniveau overholdes, og at overførslerne af personoplysninger på grundlag af sådanne bestemmelser suspenderes eller forbydes, hvis disse bestemmelser overtrædes, eller hvis det er umuligt at overholde dem. Domstolen konstaterede, at afgørelse 2010/87 fastsætter sådanne mekanismer. I denne henseende fremhævede Domstolen navnlig, at denne afgørelse indfører en pligt for dataeksportøren og modtageren af overførslen til forudgående at undersøge, om dette beskyttelsesniveau er overholdt i det pågældende tredjeland, og forpligter modtageren af overførslen til at underrette dataeksportøren, såfremt den pågældende ikke er i stand til at overholde standardbestemmelserne om beskyttelse, hvorefter det påhviler dataeksportøren at suspendere dataoverførslen og/eller ophæve kontrakten med modtageren.
Domstolen undersøgte endelig gyldigheden af afgørelse 2016/1250 i lyset af de krav, der følger af databeskyttelsesforordningen, sammenholdt med chartrets bestemmelser om respekt for privatlivet og familielivet, beskyttelsen af personoplysninger og retten til en effektiv domstolsbeskyttelse. I denne henseende fremhævede Domstolen, at denne afgørelse, ligesom beslutning 2000/520, giver forrang til kravene vedrørende den nationale sikkerhed, den offentlige interesse og overholdelsen af den amerikanske lovgivning og således åbner op for, at der gøres indgreb i de grundlæggende rettigheder for de personer, hvis personoplysninger bliver overført til dette tredjeland. Ifølge Domstolen er de begrænsninger af beskyttelsen af personoplysninger, som følger af USA’s nationale bestemmelser om de amerikanske offentlige myndigheders adgang til og brug af sådanne oplysninger, der overføres fra Unionen til dette tredjeland, og som Kommissionen vurderede i afgørelse 2016/1250, ikke afgrænset på en sådan måde, at de lever op til krav, som i det væsentlige svarer til dem, der er foreskrevet i EU-retten ved proportionalitetsprincippet, for så vidt som de overvågningsprogrammer, der er baseret på disse bestemmelser, ikke er begrænset til det strengt nødvendige. På grundlag af konstateringerne i denne afgørelse fremhævede Domstolen, at for så vidt angår visse overvågningsprogrammer lader disse bestemmelser på ingen måde fremgå, at der er begrænsninger af beføjelsen i medfør af disse til at gennemføre overvågningsprogrammerne, og heller ikke, at der er garantier for ikke-amerikanske personer, som potentielt kan være omfattet af dem. Domstolen tilføjede, at selv om de samme bestemmelser fastsætter krav, som de amerikanske myndigheder skal overholde ved gennemførelsen af de pågældende overvågningsprogrammer, giver de ikke de registrerede rettigheder, som kan håndhæves over for de amerikanske myndigheder ved domstolene.
Med hensyn til kravet om domstolsbeskyttelse fastslog Domstolen, at i modsætning til, hvad Kommissionen konstaterede i afgørelse 2016/1250, tilvejebringer den ombudsmandsmekanisme, som er omhandlet i denne afgørelse, ikke et retsmiddel for et organ, som giver de registrerede garantier, der i det væsentlige svarer til dem, der kræves i EU-retten, således at det sikres, både at den ombudsmand, som er oprettet ved denne mekanisme, er uafhængig, og at der findes bestemmelser, som giver denne ombudsmand beføjelse til at træffe bindende afgørelser i forhold til de amerikanske efterretningstjenester. Af samtlige disse grunde fastslog Domstolen, at afgørelse 2016/1250 er ugyldig.